Google hat das Android Security Bulletin für November veröffentlicht. Es beschreibt insgesamt 83 Schwachstellen in Googles Mobilbetriebssystem, von denen 24 als kritisch bewertet werden. Ein Angreifer kann unter Umständen aus der Ferne Schadcode in einen privilegierten Prozess einschleusen und ausführen oder gar auf durch die Trusted Execution Environment gesicherte Daten zugreifen.
Geräte, die nun von ihren Herstellern auf die Sicherheitspatch-Ebene 1. November angehoben werden, erhalten Fixes für 28 Anfälligkeiten. Darunter sind Fehler in den Komponenten Mediaserver, der Zip-Bibliothek lipzipfile, Skia, der JPEG-Bibliothek, OpenJDK, AOSP Launcher, Account Manager, Bluetooth und der Android Runtime. Sie stecken in den Android-Versionen 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 und 7.0.
Zur Sicherheitspatch-Ebene 5. November nennt Google lediglich betroffene und noch unterstützte Google-Geräte wie Nexus 5X, 6, 6P, 9, Nexus Player, Android One und Pixel C. Einige der Anfälligkeiten bedrohen allerdings auch die erst kürzlich vorgestellten neuen Google-Smartphones Pixel und Pixel XL mit Android 7.1 Nougat. Dazu zählen Bugs im Kernel-Dateisystem, im Kernel-SCSI-Treiber, im Kernel-USB-Treiber, im Kernel-Media-Treiber und im Qualcomm-Bootloader. Letzterer erlaubt es, Schadcode mit Kernelrechten auszuführen. Eine Malware, die diese Schwachstelle nutzt, kann zudem nur durch das erneute Flashen des Betriebssystems entfernt werden.
Von den 54 Sicherheitslücken des zweiten Patches stuft Google 21 als kritisch ein. Von 23 Fehlern geht ein hohes Risiko aus. Darunter sind zahlreiche Schwachstellen in Treibern von Qualcomm und Nvidia.
Das dritte Update mit der Sicherheitspatch-Ebene 6. November werden die meisten Nutzer wohl erst im Dezember erhalten. Es schließt die seit 19. Oktober öffentlich bekannte kritische Lücke mit der Kennung CVE-2016-5195. Dabei handelt es sich um eine Privilege Escalation Vulnerability im Linux-Kernel. Ein Angreifer erhält unter Umständen Zugriff auf normalerweise schreibgeschützte Speicherbereiche. Das wiederum beschert ihm höhere Rechte. Da es möglich ist, die sogenannte Copy-on-Write-Sperre (COW) zu durchbrechen, wird der Bug auch als „Dirty Cow“ bezeichnet.
Neben Google haben auch Blackberry, LG und Samsung Sicherheitsupdates für einige ihrer Android-Smartphones angekündigt. LG verteilt seine Patches, die insgesamt 94 Sicherheitslücken abdecken und die Sicherheitspatch-Ebene 1. November einschließen, schon seit vergangener Woche.
Blackberrys Sicherheitsupdate bringt Fixes für 61 Schwachstellen. Darunter ist auch die Dirty-Cow-Lücke (Patch-Ebene 6. November), die Google in seinen eigenen Geräten offen lässt.
Samsung wiederum stopft 60 Löcher in Android. Das Sicherheitsupdate der Koreaner beseitigt aber auch 14 Anfälligkeiten, die nur die eigenen Geräte betreffen. Zur Sicherheitspatch-Ebene macht Samsung wie immer keine Angaben. Im vergangenen Monat erhielten die Galaxy-Smartphones nur die auf den 1. Oktober datierten Patches.
Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…