März-Patchday: Google stopft 80 Löcher in Android

Google hat die Android-Sicherheitsupdates für den Monat März veröffentlicht. Insgesamt 80 Schwachstellen beschreibt das Unternehmen in den Sicherheitswarnungen für Android und die Pixel-und Nexus-Geräte. Auch LG und Samsung kündigen Sicherheitspatches für ihre Smartphones und Tablets an.

Das Android Security Bulletin listet 37 Anfälligkeiten, von denen elf als kritisch eingestuft sind. Drei Lücken im Media Framework erlauben eine Remotecodeausführung. Den eingeschleusten Code kann ein Angreifer unter Umständen auch mithilfe einer speziell gestalteten Datei oder einer schädlichen App im Kontext eines privilegierten Prozesses ausführen. Betroffen sind Android 6.x Marshmallow bis 8.1 Oreo.

Schadcode lässt sich zudem aus der Ferne über vier Lücken im Android System einschleusen. Das gilt auch für Bugs im WLAN-Treiber von Qualcomm. Hier sind sogar Geräte ab Android 5.1.1 Lollipop betroffen. Vor Angriffen auf all diese Schwachstellen sind Nutzer geschützt, deren Geräte die Sicherheitspatch-Ebene 5. März ausweisen. Geräte mit Sicherheitspatch-Ebene 1. März erhalten die Fixes für Fehler im Kernel sowie Komponenten von Nvidia und Qualcomm erst im April.

Das Bulletin für Pixel- und Nexus-Geräte enthält Details zu 43 Schwachstellen. Von zwei Schwachstellen geht ein hohes Risiko aus, den Rest bewertet Google als mittelschwer. Betroffen sind das Android Framework, das Media Framework, das Android System, der Kernel und Komponenten von Nvidia und Qualcomm.

Gerätehersteller informierte Google wie immer bereits vor vier Wochen über die für März geplanten Patches. Sie sollen nun im Lauf der nächsten 48 Stunden dem Android Open Source Project zur Verfügung stehen. Google beginnt zudem mit der Verteilung von OTA-Updates für Nexus 5X und 6P, Pixel C, Pixel und Pixel XL sowie Pixel 2 und Pixel 2 XL. Zudem hält die Entwicklerwebsite von Google Image-Dateien für die besagten Geräte bereit, die sich auch manuell installieren lassen.

Nutzer von Smartphones und Tablets anderer Hersteller müssen sich wie immer in Geduld üben. Gleichzeitig mit Google informieren nur LG und Samsung über anstehende Patches, die sie allerdings nur für ausgewählte Geräte und in der Regel auch nur mit einer zum Teil erheblichen Verzögerung von mehreren Wochen anbieten. Samsung ist zudem dazu übergegangen, gewisse Geräte zumindest vorübergehend nur vierteljährlich mit Sicherheitsupdates zu versorgen.

Samsungs März-Update umfasst Fixes für 51 Anfälligkeiten, bis einschließlich Sicherheitspatch-Ebene 1. März. Es sind also auch die Korrekturen der Sicherheitspatch-Ebene 5. Februar enthalten. Darüber hinaus stopft Samsung drei Löcher in der eigenen Software, darunter ein Kernel Pointer Leak im USB-Gadget-Treiber. Darüber hinaus gab das Edge-Panel zuletzt Inhalte der Zwischenablage preis.

LG wiederum beseitigt 30 Anfälligkeiten – ebenfalls nur bis einschließlich Sicherheitspatch-Ebene 1. März. 10 Lücken bewertet LG als kritisch und die restlichen 20 als wichtig. Genauso wie Samsung verteilt auch LG die Updates Over-the-Air.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de