Android-Patchday: Google schließt im Februar 42 Sicherheitslücken

Google hat das Android Security Bulletin für Februar veröffentlicht. Demnach schließen die ab sofort für die Pixel-Geräte und das Android Open Source Project zur Verfügung stehenden Patches insgesamt 42 Sicherheitslücken. Davon sind elf als kritisch eingestuft. Sie erlauben unter Umständen das Einschleusen und Ausführen von Schadcode, möglicherweise sogar innerhalb eines privilegierten Prozesses, oder die Installation von Apps ohne Wissen und Interaktion mit einem Nutzer.

Betroffen sind die Android-Versionen 7.x Nougat, 8.x Oreo und 9 Pie. Die Fixes haben die Entwickler wie immer auf zwei Sicherheitspatch-Ebenen aufgeteilt: 1. Februar und 5. Februar. Das erste Update stopft Löcher in den Komponenten Framework, Library und System. Nutzer, deren Geräte die Sicherheitspatch-Ebene 5. Februar erreichen, sind auch vor Angriffen auf Kernel-Komponenten sowie Komponenten von Nvidia und Qualcomm geschützt. Letztere betreffen auch den Bootloader.

Neben dem Einschleusen von Schadcode lassen sich die Schwachstellen auch für eine nicht autorisierte Ausweitung von Benutzerrechten missbrauchen. Auch der Diebstahl von Daten oder Denial-of-Service-Angriffe sind möglich.

Googles Android-Partner wissen seit mindestens vier Wochen von den Schwachstellen. Ein eigenes Sicherheitsbulletin liegt bisher allerdings nur von Google für seine Pixel-Geräte und von LG für ausgewählte Premium-Geräte vor. Während Google im Februar keine Pixel-spezifischen Sicherheitsupdates bereitstellt, kündigte LG Fixes für 27 Sicherheitslücken in Android und zwei Schwachstellen in eigener Software an. Davon sind sechs mit kritisch bewertet.

LG-Geräte erreichen nun die Sicherheitspatch-Ebene 1. Februar – das Update enthält somit auch die Fixes der Sicherheitspatch-Ebene 5. Januar, die LG im vergangenen Monat nicht berücksichtigt hatte. Neben LG verteilen auch andere Hersteller wie Blackberry, Nokia und Samsung regelmäßig Sicherheitsupdates für ihre Android-Produkte – Samsung veröffentlicht in der Regel auch zeitnah ein eigenes Bulletin.

Nutzer erhalten die Updates Over-the-Air. Google stellt zudem auf seiner Entwickler-Website aktuelle Firmware-Images zum Download bereit. Je nach Hersteller können jedoch mehrere Tage oder auch Wochen vergehen, bis die Aktualisierungen ausgeliefert werden. Samsung beispielsweise versorgt bestimmte ältere Geräte sowie seine Tablets nur vierteljährlich mit Updates.