Google schließt 24 kritische Lücken in Android

Google hat das Android Security Bulletin für November veröffentlicht. Es beschreibt insgesamt 83 Schwachstellen in Googles Mobilbetriebssystem, von denen 24 als kritisch bewertet werden. Ein Angreifer kann unter Umständen aus der Ferne Schadcode in einen privilegierten Prozess einschleusen und ausführen oder gar auf durch die Trusted Execution Environment gesicherte Daten zugreifen.

Seine Partner hat Google bereits am 20. Oktober über die anstehenden Fixes informiert. Sie verteilen sich auf zwei Updates mit den Sicherheitspatch-Ebenen 1. November und 5. November. Darüber hinaus bietet Google noch einen ergänzenden Fix mit der Sicherheitspatch-Ebene 6. November an, der erst nach dem 20. Oktober entwickelt wurde. In den Updates für die eigenen Nexus-Geräte ist er jedoch nicht enthalten.

Geräte, die nun von ihren Herstellern auf die Sicherheitspatch-Ebene 1. November angehoben werden, erhalten Fixes für 28 Anfälligkeiten. Darunter sind Fehler in den Komponenten Mediaserver, der Zip-Bibliothek lipzipfile, Skia, der JPEG-Bibliothek, OpenJDK, AOSP Launcher, Account Manager, Bluetooth und der Android Runtime. Sie stecken in den Android-Versionen 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 und 7.0.

Zur Sicherheitspatch-Ebene 5. November nennt Google lediglich betroffene und noch unterstützte Google-Geräte wie Nexus 5X, 6, 6P, 9, Nexus Player, Android One und Pixel C. Einige der Anfälligkeiten bedrohen allerdings auch die erst kürzlich vorgestellten neuen Google-Smartphones Pixel und Pixel XL mit Android 7.1 Nougat. Dazu zählen Bugs im Kernel-Dateisystem, im Kernel-SCSI-Treiber, im Kernel-USB-Treiber, im Kernel-Media-Treiber und im Qualcomm-Bootloader. Letzterer erlaubt es, Schadcode mit Kernelrechten auszuführen. Eine Malware, die diese Schwachstelle nutzt, kann zudem nur durch das erneute Flashen des Betriebssystems entfernt werden.

Von den 54 Sicherheitslücken des zweiten Patches stuft Google 21 als kritisch ein. Von 23 Fehlern geht ein hohes Risiko aus. Darunter sind zahlreiche Schwachstellen in Treibern von Qualcomm und Nvidia.

Das dritte Update mit der Sicherheitspatch-Ebene 6. November werden die meisten Nutzer wohl erst im Dezember erhalten. Es schließt die seit 19. Oktober öffentlich bekannte kritische Lücke mit der Kennung CVE-2016-5195. Dabei handelt es sich um eine Privilege Escalation Vulnerability im Linux-Kernel. Ein Angreifer erhält unter Umständen Zugriff auf normalerweise schreibgeschützte Speicherbereiche. Das wiederum beschert ihm höhere Rechte. Da es möglich ist, die sogenannte Copy-on-Write-Sperre (COW) zu durchbrechen, wird der Bug auch als „Dirty Cow“ bezeichnet.

Neben Google haben auch Blackberry, LG und Samsung Sicherheitsupdates für einige ihrer Android-Smartphones angekündigt. LG verteilt seine Patches, die insgesamt 94 Sicherheitslücken abdecken und die Sicherheitspatch-Ebene 1. November einschließen, schon seit vergangener Woche.

Blackberrys Sicherheitsupdate bringt Fixes für 61 Schwachstellen. Darunter ist auch die Dirty-Cow-Lücke (Patch-Ebene 6. November), die Google in seinen eigenen Geräten offen lässt.

Samsung wiederum stopft 60 Löcher in Android. Das Sicherheitsupdate der Koreaner beseitigt aber auch 14 Anfälligkeiten, die nur die eigenen Geräte betreffen. Zur Sicherheitspatch-Ebene macht Samsung wie immer keine Angaben. Im vergangenen Monat erhielten die Galaxy-Smartphones nur die auf den 1. Oktober datierten Patches.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de