Categories: Workspace

Google schließt 24 kritische Lücken in Android

Google hat das Android Security Bulletin für November veröffentlicht. Es beschreibt insgesamt 83 Schwachstellen in Googles Mobilbetriebssystem, von denen 24 als kritisch bewertet werden. Ein Angreifer kann unter Umständen aus der Ferne Schadcode in einen privilegierten Prozess einschleusen und ausführen oder gar auf durch die Trusted Execution Environment gesicherte Daten zugreifen.

Seine Partner hat Google bereits am 20. Oktober über die anstehenden Fixes informiert. Sie verteilen sich auf zwei Updates mit den Sicherheitspatch-Ebenen 1. November und 5. November. Darüber hinaus bietet Google noch einen ergänzenden Fix mit der Sicherheitspatch-Ebene 6. November an, der erst nach dem 20. Oktober entwickelt wurde. In den Updates für die eigenen Nexus-Geräte ist er jedoch nicht enthalten.

Geräte, die nun von ihren Herstellern auf die Sicherheitspatch-Ebene 1. November angehoben werden, erhalten Fixes für 28 Anfälligkeiten. Darunter sind Fehler in den Komponenten Mediaserver, der Zip-Bibliothek lipzipfile, Skia, der JPEG-Bibliothek, OpenJDK, AOSP Launcher, Account Manager, Bluetooth und der Android Runtime. Sie stecken in den Android-Versionen 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 und 7.0.

Zur Sicherheitspatch-Ebene 5. November nennt Google lediglich betroffene und noch unterstützte Google-Geräte wie Nexus 5X, 6, 6P, 9, Nexus Player, Android One und Pixel C. Einige der Anfälligkeiten bedrohen allerdings auch die erst kürzlich vorgestellten neuen Google-Smartphones Pixel und Pixel XL mit Android 7.1 Nougat. Dazu zählen Bugs im Kernel-Dateisystem, im Kernel-SCSI-Treiber, im Kernel-USB-Treiber, im Kernel-Media-Treiber und im Qualcomm-Bootloader. Letzterer erlaubt es, Schadcode mit Kernelrechten auszuführen. Eine Malware, die diese Schwachstelle nutzt, kann zudem nur durch das erneute Flashen des Betriebssystems entfernt werden.

Von den 54 Sicherheitslücken des zweiten Patches stuft Google 21 als kritisch ein. Von 23 Fehlern geht ein hohes Risiko aus. Darunter sind zahlreiche Schwachstellen in Treibern von Qualcomm und Nvidia.

Das dritte Update mit der Sicherheitspatch-Ebene 6. November werden die meisten Nutzer wohl erst im Dezember erhalten. Es schließt die seit 19. Oktober öffentlich bekannte kritische Lücke mit der Kennung CVE-2016-5195. Dabei handelt es sich um eine Privilege Escalation Vulnerability im Linux-Kernel. Ein Angreifer erhält unter Umständen Zugriff auf normalerweise schreibgeschützte Speicherbereiche. Das wiederum beschert ihm höhere Rechte. Da es möglich ist, die sogenannte Copy-on-Write-Sperre (COW) zu durchbrechen, wird der Bug auch als „Dirty Cow“ bezeichnet.

Neben Google haben auch Blackberry, LG und Samsung Sicherheitsupdates für einige ihrer Android-Smartphones angekündigt. LG verteilt seine Patches, die insgesamt 94 Sicherheitslücken abdecken und die Sicherheitspatch-Ebene 1. November einschließen, schon seit vergangener Woche.

Blackberrys Sicherheitsupdate bringt Fixes für 61 Schwachstellen. Darunter ist auch die Dirty-Cow-Lücke (Patch-Ebene 6. November), die Google in seinen eigenen Geräten offen lässt.

Samsung wiederum stopft 60 Löcher in Android. Das Sicherheitsupdate der Koreaner beseitigt aber auch 14 Anfälligkeiten, die nur die eigenen Geräte betreffen. Zur Sicherheitspatch-Ebene macht Samsung wie immer keine Angaben. Im vergangenen Monat erhielten die Galaxy-Smartphones nur die auf den 1. Oktober datierten Patches.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago