Dezember-Patchday bringt Fixes für 52 Lücken in Android

Google hat seine beiden Security Bulletins für den aktuellen Android-Patchday veröffentlicht. 52 Sicherheitslücken schließt das Unternehmen demnach im Dezember. Sieben Anfälligkeiten sind als kritisch eingestuft. Sie erlauben es unter Umständen, Schadcode aus der Ferne, beispielsweise mithilfe einer speziell präparierten App, einzuschleusen und die Kontrolle über ein ungepatchtes Smartphone zu übernehmen.

Das Android Security Bulletin für Dezember enthält Details zu 44 Anfälligkeiten. Nutzer, die Updates mit der Sicherheitspatch-Ebene 1. Dezember erhalten, sind unter anderem vor Angriffen auf kritische Lücken im Android Framework und dem Media Framework geschützt. Sie betreffen die Android-Versionen 8.0, 8.1, 9 und 10. Die Entwickler korrigieren aber auch sicherheitsrelevante Bugs im Android System sowie in Google Play. Sie lassen sich auch für Denial-of-Service-Attacken, eine nicht autorisierte Ausweitung von Nutzerrechten und Informationsdiebstahl ausnutzen.

Der zweite Teil des Dezember-Updates stopft ebenfalls Löcher in Framework und System sowie in Kernel-Komponenten und Komponenten von Qualcomm. Angreifbar sind unter anderem der TCP-Stack, WLAN-Chips von Qualcomm, der USB-Midi-Class-Treiber und der Prism54-WLAN-USB-Treiber.

Das Pixel-Bulletin listet lediglich acht Anfälligkeiten, darunter eine kritische Lücke im Android-System, die unter Android 10 vertrauliche Informationen preisgibt. Die Pixel-Geräte erhalten aber mehrere Fehlerkorrekturen, die Google im Pixel-Community-Forum beschreibt. Verbesserungen stehen vor allem für das Google Pixel 4 und 4XL zur Verfügung. Sie betreffen Funktionen wie Bluetooth, Audio und System UI. Ein Patch soll zudem ein Bildschirmflackern in verschiedenen Situationen beseitigen.

Samsung legte indes erneut einen Frühstart hin und begann schon vor Google mit der Verteilung des Dezember-Updates an mehrere Geräte, darunter Galaxy Note 10 und Note 9. Da seit dem Wochenende erhältliche Android-10-Update für das Galaxy S10, S10+ und S10e hebt die Geräte ebenfalls auf die Sicherheitspatch-Ebene 1. Dezember.

Mit ihr schließt das koreanische Unternehmen 38 Sicherheitslücken in Android. Darüber hinaus meldet Samsung sechs Schwachstellen in seiner eigenen Software, darunter zwei Bugs, die persönliche Daten von gesperrten Geräten preisgeben.

LG bringt es im Dezember ebenfalls auf 38 gepatchte Schwachstellen. Davon sind acht als kritisch bewertet. Sie treten unter Android 8.x Nougat und 9 Pie auf.

Sicherheitsupdates stellen auch andere Hersteller zeitnah bereit, darunter Nokia, OnePlus, Huawei, Xiaomi, Motorola und Blackberry. Die Auslieferung erfolgt in der Regel Over-the-Air über die in Android integrierte Update-Funktion. Je nach Land und Mobilfunkprovider kann sich die Bereitstellung jedoch verzögern. Zudem beschränken fast alle Hersteller zumindest die regelmäßige Versorgung mit Patches auf aktuelle und hochpreisige Geräte.