Android-Patchday: Google veröffentlicht Oktober-Update für Android

Google hat mit der Verteilung aktueller Sicherheitspatches für sein Mobilbetriebssystem Android begonnen. Sie stehen als Factory-Images sowie als Over-the-Air-Update für die hauseigenen Pixel- und Nexus-Geräte zur Verfügung. Auch der Oktober hält wieder Fixes für kritische Lücken im Media Framework bereit.

Die drei kritische Anfälligkeiten im Media Framework, die mit der Sicherheitspatch-Ebene 1. Oktober beseitigt werden, erlauben nämlich das Einschleusen und Ausführen von Schadcode aus der Ferne. Eine speziell präparierte App könnte sich unter Umständen Rechte sichern, die eigentlich nur privilegierten Systemprozessen gewährt werden. Davon betroffen sind alle von Google noch unterstützten Android-Versionen von 4.4.4 KitKat bis einschließlich dem erst kürzlich eingeführten Android 8.0 Oreo.

Weitere Bugs stecken im Android Framework und im Android System. Sie ermöglichen unter anderem ebenfalls eine Remotecodeausführung. Sie machen Android aber auch anfällig für eine nicht autorisierte Ausweitung von Benutzerrechten oder das Ausspähen vertraulicher Informationen.

Mit der Sicherheitspatch-Ebene 5. Oktober schließt Google Lücken im Android-Kernel sowie in Komponenten von Drittanbietern. Dateisystem und Netzwerk-Subsystem sollen Angreifern nun nicht mehr unerlaubt höhere Nutzerrechte gewähren. Das gilt auch für den SoC-Treiber von MediaTek und das Netzwerk-Subsystem sowie den Bootvorgang von Qualcomm-Prozessoren. Ein Patch für Qualcomms SoC-Treiber soll indes eine Remotecodeausführung verhindern.

Mit insgesamt nur 14 korrigierten Schwachstellen fällt der Oktober-Patchday vergleichsweise klein aus – in den Vormonaten stopfte Google in der Regel jeweils eine dreistellige Zahl von Sicherheitslöchern. Grund dafür ist, dass Google nun ein eigenes Security-Bulletin für Pixel- und Nexus-Geräte veröffentlicht. Die Details dieser Schwachstellen stellt Google seinen Partnern ebenfalls mit einer Vorlaufzeit von mindestens einem Monat zur Verfügung. Sie müssen diese Schwachstellen allerdings nur optional beseitigen – auf die jeweilige aktuelle Android-Sicherheitspatch-Ebene haben die Fixes keinen Einfluss.

Auch das Pixel/Nexus-Bulletin betrifft alle unterstützten Android-Versionen, also gleichermaßen Geräte mit Android 4.4.4 bis hin zu Geräten mit Android 8.0. Es beschreibt weitere 38 Anfälligkeiten im Android Framework, Media Framework, Android System und Android Kernel sowie in Komponenten von Broadcom, HTC, Huawei, Motorola und Qualcomm.

Warum Google nun Android- und Nexus/Pixel-Bulletins voneinander trennt, ist nicht bekannt. Da Google es seinen Partnern überlässt, alle, nur einige oder keine der im Nexus/Pixel-Bulletin genannten Bugs zu beseitigen, können Nutzer nicht mehr nachvollziehen, ob ihre Geräte „sicher“ sind oder nicht. Selbst ein Abgleich der CVE-Kennungen mit den Bulletins ihres Anbieters schafft keine Klarheit, da Google offen lässt, welche Bugs im Nexus/Pixel-Bulletin tatsächlich Geräte anderer Hersteller betreffen. Zudem veröffentlichen derzeit nur Samsung, LG und Blackberry eigene monatliche Bulletins. Besitzer von Nokia-Geräten, die zwar monatliche Patches erhalten, tappen beispielsweise komplett im Dunkeln, weil HMD Global keine Details zu seinen Sicherheitsupdates nennt.

[mit Material von Liam Tung, ZDNet.com]