Categories: MobileMobile OS

Android-Patchday: Google stopft erneut kritische Löcher im Mediaserver

Google hat die August-Sicherheitspatches für Android veröffentlicht. Sie schließen unter anderem drei als kritisch eingestufte Lücken im Mediaserver, die es einem Angreifer mithilfe speziell gestalteter Dateien erlauben, Schadcode einzuschleusen und auszuführen. Davon betroffen sind Android 4.4.4 KitKat, 5.0 und 5.1 Lollipop sowie 6.0 Marshmallow. Insgesamt hält der August-Patchday Fixes für 103 Schwachstellen bereit.

Von weiteren acht Anfälligkeiten im Mediaserver geht ein hohes Risiko aus. Sie können für Denial-of-Service-Angriffe sowie eine nicht autorisierte Ausweitung von Rechten benutzt werden. Als moderat bewertet Google indes Fehler in den Komponenten Shell, OpenSSL, Camera-API, WLAN, System UI und Bluetooth. Hier erhalten Angreifer unter Umständen höhere Nutzerrechte oder Zugriff auf persönliche Informationen.

Wie schon im Vormonat verteilt Google auch im August einen zweiten Patch mit Fixes für Treiber von Drittanbietern. Er stopft 81 Löcher, von denen Google 44 als kritisch bezeichnet. 53 sicherheitsrelevante Fehler stecken alleine in Komponenten von Qualcomm. Aber auch Treiber von Nvidia, LG Electronics und MediaTek sind anfällig. Darüber hinaus wurden Schwachstellen in zahlreichen Kernel-Komponenten beseitigt, darunter der Kernel-Video-Treiber, die Sound-Komponenten, das Speichersystem und die Netzwerk-Komponente.

Die Fixes sollen in erster Linie eine nicht autorisierte Ausweitung von Nutzerrechten verhindern. Es sind aber auch Denial-of-Service-Angriffe sowie das Ausspähen von persönlichen Informationen möglich, Letzteres beispielsweise durch eine Anfälligkeit in den USB-Treibern.

Google verteilt die Patches in den kommenden Tagen Over-the-Air an seine Nexus-Geräte. Auf der Entwicklerseite stehen außerdem Firmware-Images zum Download bereit. Nach der Installation sollten Smartphones und Tablets die Sicherheitspatch-Ebene 5. August anzeigen.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Googles Partnern sind die Details der Schwachstellen schon seit 6. Juli oder früher bekannt. Blackberry, LG und Samsung haben die Korrekturen bereits in eigene Patches integriert. Blackberry stellt ab sofort ein Update für das Blackberry Priv zur Verfügung, dass 41 Sicherheitslücken schließt und das Smartphone auf die Sicherheitspatch-Ebene 5. August hebt.

Das Update von LG richtet sich an die Modelle G3, G4, G4 Stylus, G5, V10, CK und G Stylo. Es beinhaltet insgesamt 75 Fixes, erreicht laut LG aber nur die Sicherheitspatch-Ebene 1. August – es fehlen demnach Korrekturen für Fehler in Hardwaretreibern und Kernel-Komponenten.

Samsung wiederum stopft 56 Löcher in Android und weitere 8 Lücken in seinen eigenen Android-Anwendungen. Darunter ist eine bereits öffentlich bekannte Schwachstelle, die es erlaubt, während der Einrichtung eines Geräts schädliche Anwendungen einzuschleusen. Zumindest in seinem Security Bulletin macht Samsung keine Angaben zur Sicherheitspatch-Ebene.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

13 Stunden ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

4 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

5 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

5 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago