Juni-Patchday: Google stopft 103 Sicherheitslöcher in Android

Google hat mit der Verteilung der Juni-Sicherheitsupdates für seine Pixel- und Nexus-Geräte begonnen. Der Juni-Patchday bringt Fixes für insgesamt 103 Schwachstellen, die das Unternehmen seinen Android-Partnern und auch dem Android Open Source Project (AOSP) zur Verfügung stellt. Blackberry und Samsung haben bereits eigene Sicherheitsbulletins veröffentlicht.

Mit der Android-Sicherheitspatch-Ebene 1. Juni beseitigt Google 21 Schwachstellen in seinem Mobilbetriebssystem. Sie stecken in diversen nicht näher genannten Bibliotheken, der Bluetooth-Komponente, im System UI und im Media Framework. Letzteres enthält eine als kritisch eingestufte Anfälligkeit, die das Einschleusen und Ausführen von Schadcode ermöglicht. Weitere Sicherheitslücken lassen sich für Denial-of-Service-Angriffe, die unerlaubte Ausweitung von Nutzerrechten oder das Ausspähen vertraulicher Informationen benutzen. Davon betroffen sind alle Android-Versionen von 4.4.4 KitKat über 5.x Lollipop und 6.x Marshmallow bis hin zu Android 7.x Nougat.

Die restlichen Fixes erhalten Nutzer mit der Android-Sicherheitspatch-Ebene 5. Juni und höher. Damit werden zum Teil kritische Anfälligkeiten im Kernel, in Bibliotheken sowie Komponenten von MediaTek, Nvidia, Qualcomm und Synaptics beseitigt. Kritische Lücken klaffen ausschließlich in Qualcomm-Produkten, darunter der Bluetooth-Treiber und zahlreiche Closed-Source-Komponenten, zu denen Google keine weiteren Angaben macht. Die CVE-Kennungen zeigen jedoch, dass einige Bugs schon seit 2014 bekannt sind – Qualcomm hat für die Entwicklung der fraglichen Patches also rund drei Jahre benötigt.

Google verteilt die Updates an Pixel, Pixel XL, Nexus 5x, 6, 6P, 9, Nexus Player und Pixel C Over-the-Air oder über seine Entwickler-Website. Sie heben die Google-Geräte alle die Sicherheitspatch-Ebene 5. Juni.

Auch Blackberrys Android-Smartphones sollten nach der Installation der Juni-Updates die Sicherheitspatch-Ebene 5. Juni erreichen. Das kanadische Unternehmen schließt seiner Sicherheitswarnung zufolge 43 Lücken.

Samsung wiederum stellt 96 Fixes für ausgewählte Smartphones der Modellreihen Galaxy S, A und Note bereit, die in den kommenden Wochen ausgerollt werden. Es korrigiert zudem sechs Fehler in der eigenen Android-Software, darunter Bugs in PersonManager und WifiService. Samsung will aber auch verhindern, dass Angreifer ohne Zustimmung des Nutzers SMS verschicken oder dass Apps jegliche Aktivitäten mit Systemrechten ausführen können.

Das koreanische Unternehmen macht wie immer keine Angaben zur Sicherheitspatch-Ebene. Erfahrungsgemäß liefert es im aktuellen Monat lediglich einen Teil der möglichen Fixes aus – Samsung-Geräte sollten nach der Installation der aktuellen Patches also die Sicherheits-Ebene 1. Juni melden. Die restlichen Korrekturen wird das Unternehmen im Juli nachreichen.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de