Android-Patchday: November bringt Fixes für 39 Schwachstellen

Google hat die Security-Bulletins für den jüngsten Android-Patchday veröffentlicht. Im November schließt das Unternehmen insgesamt 39 zum Teil als kritisch eingestufte Sicherheitslücken in seinem Mobilbetriebssystem. Auch LG und Samsung haben bereits die Details zu ihren eigenen monatlichen Android-Patches bereitgestellt – Samsung soll sogar schon mit deren Verteilung begonnen haben.

Google verteilt seine Fixes wie immer auf zwei Sicherheitswarnungen: das Android Security Bulletin und das Pixel/Nexus Security Bulletin. Ersteres nennt Details zu 36 Schwachstellen, die wiederum auf die Sicherheitspatch-Ebenen 1. und 5. November aufgeteilt sind. Die Anfälligkeiten stecken in den Komponenten Framework, Media Framework und System sowie in Komponenten von Qualcomm. Sie erlauben das Einschleusen von Schadcode aus der Ferne, die nicht autorisierte Ausweitung von Benutzerrechten, den Diebstahl vertraulicher Daten und unter Umständen auch Denial-of-Service-Angriffe.

Davon betroffen sind alle unterstützten Android-Versionen von 7.x bis 9. Darüber hinaus entfernt Google die Bibliothek Libxaac aus allen Android-Builds für den produktiven Einsatz. Grund dafür sind insgesamt 18 Sicherheitslöcher in der Bibliothek, die nun als experimentell eingestuft ist.

Das Pixel/Nexus-Bulletin beschreibt weitere drei Sicherheitslöcher in Komponenten von HTC und Qualcomm, von denen eine moderate Gefahr ausgeht. Betroffen sind der Bootloader von HTC-Geräten und der WLAN-Host von Qualcomm-Geräten.

Des Weiteren enthält der November-Patch Fehlerkorrekturen für Pixel-Geräte mit Android 9 Pie. Sie sollen die Leistung von Geräten und Apps verbessern, die die Picture-in-Picture-Funktion nutzen. Auch die Stabilität von Benachrichtigungen wurde verbessert.

LG und Samsung kündigten ebenfalls Sicherheitsaktualisierungen für bestimmte Smartphones und Tablets an. LG übernimmt 27 Fixes aus dem Android-November-Bulletin und schließt darüber hinaus eine Lücke in den Knock-Code-Einstellungen, von der ein hohes Risiko ausgeht. Damit hebt LG seine Geräte auf die Sicherheitspatch-Ebene 1. November 2018.

Auch Samsungs Android-Geräte sollten nach Installation des November-Patches diese Sicherheitsebene erreichen – mit dem November-Update verteilen Samsung und LG also auch Fixes, die bisher Geräten mit der Sicherheitspacht-Ebene 5. Oktober vorbehalten waren. Insgesamt stopft Samsung 29 Löcher, von denen elf als kritisch gekennzeichnet sind. Zusätzlich sollen vier Anfälligkeiten beseitigt werden, die es unter anderem erlauben, während der Ersteinrichtung eines Geräts eine schädliche Anwendung einzuschleusen oder im Dex-Modus selbst bei gesperrtem Gerät auf Benachrichtigungen zuzugreifen.

Google, LG und Samsung verteilen ihre Sicherheitsupdates Over-the-Air. Während sie für Pixel- und Nexus-Geräte bereits zur Verfügung stehen sollten, müssen die meisten Besitzer von LG- und Samsung-Geräten unter Umständen sogar mehrere Wochen auf die Patches warten. Google stellt darüber hinaus auf seiner Entwickler-Website Firmware-Images zum Download bereit.