Categories: MobileMobile OS

Android-Patchday: Google veröffentlicht September-Sicherheitsupdates

Google hat die September-Sicherheitsupdates für sein Mobilbetriebssystem Android freigeben. Die Patches stehen aber für die meisten Google-Smartphones – und -Tablets noch nicht zur Verfügung. Updates Over-the-Air (OTA) sowie Factory Images mit den aktuellen Sicherheitspatches gibt es derzeit nur für die Nexus-9-Modelle. Seine Partner informierte der Internetkonzern bereits vor mehr als einem Monat über die Schwachstellen. Bisher liegt allerdings nur ein Security Bulletin von Samsung vor.

Insgesamt schließt das September-Update mehrere Dutzend Schwachstellen. Allein 24 stecken im Media Framework. Zehn davon werden als kritisch eingestuft. Sie erlauben es einem Angreifer unter Umständen, mithilfe einer speziell gestalteten Mediendatei beliebigen Schadcode einzuschleusen und im Kontext eines privilegierten Prozesses auszuführen. Der Prozess hat also möglicherweise höhere Rechte oder Berechtigungen, als die zugehörige App sie eigentlich hat.

Davon betroffen sind Android 4.4.4 KitKat, Android 5.x Lollipop, Android 6.x Marshmallow, Android 7.x Nougat sowie Android 8.0 Oreo. Neben dem Media Framework sind auch die Komponenten Framework, Libraries, System, Runtime und Kernel anfällig. Die zugehörigen Fixes erhalten Nutzer zusammen mit der Android-Sicherheitspatch-Ebene 1. September.

Das Update, das Android-Geräte auf die Sicherheitspatch-Ebene 5. September hebt, schließt weitere Sicherheitslücken. Es soll Angriffe auf den Android-Kernel sowie Hardware-Komponenten von Broadcom, MediaTek und Qualcomm verhindern.

Auch Samsung hat September-Update bereits angekündigt

Zusätzlich zu den von Google veröffentlichten Updates stellen Smartphone-Hersteller gerätespezifische Aktualisierungen bereit. Einer der wenigen Hersteller, die darüber Auskunft geben, ist Samsung. In seinem monatlichen Sicherheitsbulletin berichtet der weltweit größte Smartphonehersteller über bekannte Anfälligkeiten. Diesen Monat betreffen diese S-Voice, E-Mail und die Zertifikatsverwaltung. Keine davon ist als kritisch eingestuft. Des Weiteren teilt Samsung mit, dass weitere Sicherheitslücken gegenwärtig nicht mitgeteilt werden können. Vermutlich will der Konzern verhindern, dass diese von Hackern ausgenutzt werden.

Updates für Smartphone-Nutzer

Die Veröffentlichung von Sicherheitspatches durch Google bedeutet jedoch nicht, dass sämtliche Android-Smartphones die Aktualisierungen auch erhalten. Zunächst müssen die Smartphonehersteller diese an ihre eigene Firmware anpassen. Lediglich für die von Google vertriebenen Nexus- und Pixel-Modelle werden die Updates zeitnah bereitgestellt. Allerdings nur, wenn das Gerät nicht älter als drei Jahre ist.

Von den großen Smartphoneherstellern liefert Samsung mehr oder weniger die monatlichen Sicherheitsaktualisierungen aus. Dies gilt zumindest für die freien Geräte ohne Providerbindung. Stammt etwas ein Gerät von 1&1 kann es wie im Fall des Galaxy S7 passieren, dass über Monate keine Patches ausgeliefert werden, obwohl diese verfügbar sind.

Nutzer älterer Android-Smartphones, die keinen Zugriff auf aktuelle Android-Versionen oder Sicherheitspatches ihres Geräteherstellers haben, können über einen Wechsel zu einer Custom-ROM nachdenken. Android-Distributionen wie LineageOS erreichen in der Regel durchaus die Qualität der ab Werk installierten Android-Version. Zudem sind sie auch eine einfache Möglichkeit, an eine aktuellere Android-Version sowie monatliche Sicherheitsupdates zu kommen.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago