Android-Patchday: Google schließt mit Dezember-Update 11 kritische Schwachstellen

Google hat das Security-Bulletin für den Android-Patchday im Dezember veröffentlicht. Es beschreibt insgesamt 53 Schwachstellen, von denen 11 als kritisch eingestuft sind. Vier der am höchsten bewerteten Anfälligkeiten stecken im Media Framework, zwei im Android System und weitere sechs in Closed-Source-Komponenten von Qualcomm. Betroffen sind alle unterstützten Android-Versionen von 7.x Nougat bis 9 Pie.

Angreifer können unter Umständen aus der Ferne Schadcode in einen privilegierten Prozess einschleusen und ausführen. Je nach Art der Schwachstelle kann auch die Secure-Boot-Funktion umgangen oder die Trusted Execution Environment kompromittiert werden. In einem solchen Fall muss in der Regel die Firmware eines infizierten Android-Geräts neu installiert werden, was zu einem Verlust nicht gesicherter Daten führt.

Google teilt die Patches wie immer auf zwei Sicherheitsebenen auf. Geräte mit der Sicherheitspatch-Ebene 1. Dezember erhalten Fixes für Fehler im Android Framework, Media Framework und Android System. Mit der Sicherheitspatch-Ebene 5. Dezember stopft Google vor allem Löcher im Kernel, in HTC-Komponenten und in Komponenten von Qualcomm.

Einen weiteren Bug in einer Qualcomm-Komponente korrigiert Google mit dem Dezember-Update für die Pixel- und Nexus-Geräte. Darüber hinaus erhalten die Google-Smartphones mehrere nicht sicherheitsrelevante Fixes. Sie sollen unter anderem die Kamera und die Speicherperformance von Pixel 2, 2XL, 3 und 3XL verbessern. Letzteres soll laut XDA Developers verhindern, dass Android 9 vorschnell Apps vollständig beendet, um die Speicherauslastung zu verringern.

Es wurde aber auch die Anpassung der Lautstärke beim Wechsel zwischen Bluetooth-Geräten überarbeitet. Auch der Kameraverschluss von Pixel 3 und Pixel 3 XL soll nun besser funktionieren. Gleiches soll auch für das Entsperren aller Pixel-Smartphones per Bluetooth gelten.

Google verteilt die Updates an seine Smartphones Over the Air. Alternativ bietet das Unternehmen auf seiner Entwickler-Website aber auch aktuelle Factory-Images zum Download an.

Neben Google haben auch LG und Samsung Details zu ihren Dezember-Patchdays veröffentlicht. Beide Unternehmen werden ihre Geräte auf die Sicherheitspatch-Ebene 1. Dezember anheben, was die im November ausgelassenen Fixes der Sicherheitspatch-Ebene 5. November beinhaltet. Somit schließt LG 36 und Samsung 21 Sicherheitslücken in Android. Bei LG kommen noch drei Patches für die eigene Android-Software hinzu. Samsung stopft weitere neun Sicherheitslöcher. Unter anderem sollen nicht autorisierte Zugriffe auf den Sicheren Ordner und ein Aushebeln des Sperrbildschirms mithilfe der Quick Tools verhindert werden.

Auch LG und Samsung verteilen ihre Updates Over the Air, in der Regel aber nur an ausgewählte Premium-Geräte sowie mit einer zeitlichen Verzögerung von oftmals mehreren Wochen. Beide Anbieter behalten sich zudem das Recht vor, einige Produkte sogar nur vierteljährlich oder gar unregelmäßig mit Updates zu versorgen.