Android-Patchday: Google stopft erneut kritische Lücken im Media Framework

Google hat die August-Sicherheitsupdates für sein Mobilbetriebssystem Android freigeben. Die Patches stehen ab sofort Over-the-Air sowie als Factory Images für die Nexus- und Pixel-Geräte von Google zur Verfügung. Seine Partner informierte der Internetkonzern bereits vor mehr als einem Monat über die Schwachstellen. Bisher liegt allerdings nur ein Security Bulletin von Samsung vor.

Der Android-Patchday fällt in diesem Monat vergleichsweise klein aus. Er bringt lediglich Fixes für 52 Anfälligkeiten – in den vergangenen Monaten hat Google meist eine dreistellige Zahl an Sicherheitslücken in seinem Mobil-OS behoben. Als kritisch werden zudem nur zehn Fehler in Media Framework bewertet. Sie erlauben es einem Angreifer unter Umständen, mithilfe einer speziell gestalteten Mediendatei beliebigen Schadcode einzuschleusen und im Kontext eines privilegierten Prozesses auszuführen. Der Prozess hat also möglicherweise höhere Rechte oder Berechtigungen, als die zugehörige App sie eigentlich hat.

Davon betroffen sind Android 4.4.4 KitKat, Android 5.x Lollipop, Android 6.x Marshmallow und Android 7.x Nougat. Neben dem Media Framework sind auch die Komponenten Framework und Libraries anfällig. Die zugehörigen insgesamt 28 Fixes erhalten Nutzer zusammen mit der Android-Sicherheitspatch-Ebene 1. August.

Das Update, das Android-Geräte auf die Sicherheitspatch-Ebene 5. August hebt, schließt weitere 24 Sicherheitslücken. Es soll Angriffe auf den Android-Kernel sowie Hardware-Komponenten von Broadcom, MediaTek und Qualcomm verhindern.

Auch Samsung hat August-Update bereits angekündigt

Google aktualisiert neben Pixel und Pixel XL auch Nexus 5X, 6, 6P, 9, Nexus Player und Pixel C. Darüber hinaus kündigte Samsung sein August-Update an, das 50 Google-Patches und 12 Fixes für Schwachstellen in Samsung-Software bringt. Das koreanische Unternehmen beschränkt seine Sicherheitsupdates jedoch auf aktuelle Geräte der Serien Galaxy A (2016 und 2017), Galaxy S (S6, 7 und 8) und Galaxy Note (4 und 5).

Zudem wich Samsung zuletzt mehrfach von der Zusage ab, alle diese Geräte mit monatlichen Patches zu versorge. Besitzer des Galaxy S7 warteten hierzulande unter anderem im Juni vergeblich auf eine Aktualisierung.

Nutzer älterer Android-Smartphones, die keinen Zugriff auf aktuelle Android-Versionen oder Sicherheitspatches ihres Geräteherstellers haben, können über einen Wechsel zu einer Custom-ROM nachdenken. Android-Distributionen wie LineageOS erreichen in der Regel durchaus die Qualität der ab Werk installierten Android-Version. Zudem sind sie auch eine einfache Möglichkeit, an eine aktuellere Android-Version sowie monatliche Sicherheitsupdates zu kommen.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de