Categories: MobileMobile OS

Android-Patchday: Google schließt mit Dezember-Update 11 kritische Schwachstellen

Google hat das Security-Bulletin für den Android-Patchday im Dezember veröffentlicht. Es beschreibt insgesamt 53 Schwachstellen, von denen 11 als kritisch eingestuft sind. Vier der am höchsten bewerteten Anfälligkeiten stecken im Media Framework, zwei im Android System und weitere sechs in Closed-Source-Komponenten von Qualcomm. Betroffen sind alle unterstützten Android-Versionen von 7.x Nougat bis 9 Pie.

Angreifer können unter Umständen aus der Ferne Schadcode in einen privilegierten Prozess einschleusen und ausführen. Je nach Art der Schwachstelle kann auch die Secure-Boot-Funktion umgangen oder die Trusted Execution Environment kompromittiert werden. In einem solchen Fall muss in der Regel die Firmware eines infizierten Android-Geräts neu installiert werden, was zu einem Verlust nicht gesicherter Daten führt.

Google teilt die Patches wie immer auf zwei Sicherheitsebenen auf. Geräte mit der Sicherheitspatch-Ebene 1. Dezember erhalten Fixes für Fehler im Android Framework, Media Framework und Android System. Mit der Sicherheitspatch-Ebene 5. Dezember stopft Google vor allem Löcher im Kernel, in HTC-Komponenten und in Komponenten von Qualcomm.

Einen weiteren Bug in einer Qualcomm-Komponente korrigiert Google mit dem Dezember-Update für die Pixel- und Nexus-Geräte. Darüber hinaus erhalten die Google-Smartphones mehrere nicht sicherheitsrelevante Fixes. Sie sollen unter anderem die Kamera und die Speicherperformance von Pixel 2, 2XL, 3 und 3XL verbessern. Letzteres soll laut XDA Developers verhindern, dass Android 9 vorschnell Apps vollständig beendet, um die Speicherauslastung zu verringern.

Es wurde aber auch die Anpassung der Lautstärke beim Wechsel zwischen Bluetooth-Geräten überarbeitet. Auch der Kameraverschluss von Pixel 3 und Pixel 3 XL soll nun besser funktionieren. Gleiches soll auch für das Entsperren aller Pixel-Smartphones per Bluetooth gelten.

Google verteilt die Updates an seine Smartphones Over the Air. Alternativ bietet das Unternehmen auf seiner Entwickler-Website aber auch aktuelle Factory-Images zum Download an.

Neben Google haben auch LG und Samsung Details zu ihren Dezember-Patchdays veröffentlicht. Beide Unternehmen werden ihre Geräte auf die Sicherheitspatch-Ebene 1. Dezember anheben, was die im November ausgelassenen Fixes der Sicherheitspatch-Ebene 5. November beinhaltet. Somit schließt LG 36 und Samsung 21 Sicherheitslücken in Android. Bei LG kommen noch drei Patches für die eigene Android-Software hinzu. Samsung stopft weitere neun Sicherheitslöcher. Unter anderem sollen nicht autorisierte Zugriffe auf den Sicheren Ordner und ein Aushebeln des Sperrbildschirms mithilfe der Quick Tools verhindert werden.

Auch LG und Samsung verteilen ihre Updates Over the Air, in der Regel aber nur an ausgewählte Premium-Geräte sowie mit einer zeitlichen Verzögerung von oftmals mehreren Wochen. Beide Anbieter behalten sich zudem das Recht vor, einige Produkte sogar nur vierteljährlich oder gar unregelmäßig mit Updates zu versorgen.

ANZEIGE

IT-Kosten im digitalen Zeitalter optimieren – Nutzen Sie innovative Technologien und generieren Sie neue Geschäftschancen

Erfahren Sie in diesem Whitepaper von Konica Minolta, wie sich durch die Nutzung innovativer Technologien neue Geschäftschancen generieren lassen. Jetzt herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

3 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

4 Tagen ago