Categories: Workspace

Google schließt 24 kritische Lücken in Android

Google hat das Android Security Bulletin für November veröffentlicht. Es beschreibt insgesamt 83 Schwachstellen in Googles Mobilbetriebssystem, von denen 24 als kritisch bewertet werden. Ein Angreifer kann unter Umständen aus der Ferne Schadcode in einen privilegierten Prozess einschleusen und ausführen oder gar auf durch die Trusted Execution Environment gesicherte Daten zugreifen.

Seine Partner hat Google bereits am 20. Oktober über die anstehenden Fixes informiert. Sie verteilen sich auf zwei Updates mit den Sicherheitspatch-Ebenen 1. November und 5. November. Darüber hinaus bietet Google noch einen ergänzenden Fix mit der Sicherheitspatch-Ebene 6. November an, der erst nach dem 20. Oktober entwickelt wurde. In den Updates für die eigenen Nexus-Geräte ist er jedoch nicht enthalten.

Geräte, die nun von ihren Herstellern auf die Sicherheitspatch-Ebene 1. November angehoben werden, erhalten Fixes für 28 Anfälligkeiten. Darunter sind Fehler in den Komponenten Mediaserver, der Zip-Bibliothek lipzipfile, Skia, der JPEG-Bibliothek, OpenJDK, AOSP Launcher, Account Manager, Bluetooth und der Android Runtime. Sie stecken in den Android-Versionen 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 und 7.0.

Zur Sicherheitspatch-Ebene 5. November nennt Google lediglich betroffene und noch unterstützte Google-Geräte wie Nexus 5X, 6, 6P, 9, Nexus Player, Android One und Pixel C. Einige der Anfälligkeiten bedrohen allerdings auch die erst kürzlich vorgestellten neuen Google-Smartphones Pixel und Pixel XL mit Android 7.1 Nougat. Dazu zählen Bugs im Kernel-Dateisystem, im Kernel-SCSI-Treiber, im Kernel-USB-Treiber, im Kernel-Media-Treiber und im Qualcomm-Bootloader. Letzterer erlaubt es, Schadcode mit Kernelrechten auszuführen. Eine Malware, die diese Schwachstelle nutzt, kann zudem nur durch das erneute Flashen des Betriebssystems entfernt werden.

Von den 54 Sicherheitslücken des zweiten Patches stuft Google 21 als kritisch ein. Von 23 Fehlern geht ein hohes Risiko aus. Darunter sind zahlreiche Schwachstellen in Treibern von Qualcomm und Nvidia.

Das dritte Update mit der Sicherheitspatch-Ebene 6. November werden die meisten Nutzer wohl erst im Dezember erhalten. Es schließt die seit 19. Oktober öffentlich bekannte kritische Lücke mit der Kennung CVE-2016-5195. Dabei handelt es sich um eine Privilege Escalation Vulnerability im Linux-Kernel. Ein Angreifer erhält unter Umständen Zugriff auf normalerweise schreibgeschützte Speicherbereiche. Das wiederum beschert ihm höhere Rechte. Da es möglich ist, die sogenannte Copy-on-Write-Sperre (COW) zu durchbrechen, wird der Bug auch als „Dirty Cow“ bezeichnet.

Neben Google haben auch Blackberry, LG und Samsung Sicherheitsupdates für einige ihrer Android-Smartphones angekündigt. LG verteilt seine Patches, die insgesamt 94 Sicherheitslücken abdecken und die Sicherheitspatch-Ebene 1. November einschließen, schon seit vergangener Woche.

Blackberrys Sicherheitsupdate bringt Fixes für 61 Schwachstellen. Darunter ist auch die Dirty-Cow-Lücke (Patch-Ebene 6. November), die Google in seinen eigenen Geräten offen lässt.

Samsung wiederum stopft 60 Löcher in Android. Das Sicherheitsupdate der Koreaner beseitigt aber auch 14 Anfälligkeiten, die nur die eigenen Geräte betreffen. Zur Sicherheitspatch-Ebene macht Samsung wie immer keine Angaben. Im vergangenen Monat erhielten die Galaxy-Smartphones nur die auf den 1. Oktober datierten Patches.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago