Google schließt sieben kritische Sicherheitslücken in Android

Google hat das monatliche Sicherheitsupdate für sein Mobilbetriebssystem Android veröffentlicht. Einem Security Bulletin zufolge stopft es insgesamt 19 Löcher, von denen das Unternehmen sieben als kritisch einstuft. Sie erlauben unter Umständen das Einschleusen und Ausführen von Schadcode mit Rechten, die Anwendungen von Drittanbietern normalerweise nicht erhalten. Auch eine vollständige Kompromittierung eines Android-Geräts, die sich nur durch das erneute Flashen des Betriebssystems beheben lässt, ist demnach möglich.

Android-Logo (Bild: Google)Die kritischen Lücken stecken in den Komponenten Mediaserver, Conscrypt, Keyring sowie in der Bibliothek „libvpx“, in der Qualcomm Performance Component und dem Mediatek-WLAN-Treiber. Sie lassen sich beispielsweise durch speziell präparierte Mediendateien, die im Browser wiedergegeben werden, oder auch manipulierte MMS-Nachrichten ausnutzen.

Ein hohes Risiko geht indes von einem Kernel-Bug aus, der das Umgehen von Sicherheitsfunktionen erlaubt. Das gilt auch für einen Fehler in einem Kernel-Treiber für Mediatek-Prozessoren. Die Bibliothek libstagefright kann ebenfalls benutzt werden, um Sicherheitsmaßnahmen zu umgehen. Weitere Fehler wurden in der Bluetooth-Funktion, im Mediaserver, der Telefonanwendung und im Einrichtungsassistenten entfernt.

Einige der Anfälligkeiten betreffen die Android-Versionen 4.4.4 KitKat, 5.x Lollipop und 6.0 Marshmallow. Andere sind wiederum auf das neueste Release, sprich Android Marshmallow beschränkt. Entdeckt wurden sie überwiegend von Google-Mitarbeitern. Einige der von Dritten gemeldeten Schwachstellen sind dem Unternehmen allerdings schon seit Mitte November 2015 bekannt.

Aktuelle Factory Images für die Nexus-Geräte verteilt Google ab sofort über seine Entwickler-Site. Sie stehen für Android 5.1 und Android 6.0 zum Download bereit. Die OTA-Updates folgen in den kommenden Tagen. Unter Einstellungen – Über das Telefon/Tablet können Nutzer überprüfen, ob sie das Update bereits erhalten haben. Dort sollte bei Android 5 Lollipop mindestens das Build LMY49H und bei Android 6 Marshmallow mindestens die Android-Sicherheitspatch-Ebene 1. März 2016 angezeigt werden.

ANZEIGE

Upgrade statt Neukauf: SSD steigert die Produktivität

Im Vergleich zu Festplatten glänzen SSDs mit einer höheren Leistung, geringerem Energieverbrauch und weniger Hitzeentwicklung. Die längere Lebensdauer unterstreicht Samsung zudem mit einer 10-jährigen Garantie für seine 850PRO-Serie.

Wer nicht auf das OTA-Update warten möchte, sollte beachten, dass durch die Installation eines Factory Images in der Regel alle auf dem Gerät gespeicherten Daten verloren gehen. Nutzer sollten zuvor also unbedingt ihre persönlichen Daten wie Fotos und Downloads sichern. Der ZDNet-Artikel „Nexus 4, 5 und 7: Android 5.0 Lollipop installieren“ liefert eine detaillierte Anleitung, die sich auch für Android 6.0.1 anwenden lässt. Sie beschreibt die Installation eines Factory Image mit Hilfe des Skripts Flash-all.bat. Wer die von Google veröffentlichten Systemabbilder verwendet, erhält übrigens auch künftig OTA-Updates auf neue Versionen.

Unklar ist wie immer, wann auch andere Hersteller ihre Geräte aktualisieren werden. Neben Google haben sich auch LG und Samsung verpflichtet, einmal im Monat Sicherheitsupdates bereitzustellen. Samsung beschränkt sich dabei allerdings auf wenige Flaggschiff-Modelle. Zudem weist es darauf hin, dass es je nach Modell und Region zu Verzögerungen kommen kann. Für die neuen Flaggschiff-Modelle hat Samsung allerdings ein Enterprise Device Program gestartet, in dessen Rahmen es Unternehmen ab sofort eine zweijährige Warenverfügbarkeit sowie üblicherweise monatliche Sicherheitsupdates garantiert. Dieses Programm soll auch auf zukünftige Business-Smartphones ausgedehnt werden.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

1 Kommentar zu Google schließt sieben kritische Sicherheitslücken in Android

Kommentar hinzufügen
  • Am 8. März 2016 um 18:55 von Dot2010

    Schlechter Witz

    Das OS erlaubt keine Updates fur die Masse. Fehlplanung da jeder Hersteller sein Scheiß damit macht. Auch LG

    Seit jahren au dem LG G2 kein Update. Bin immer noch net bei 5.x peinliche Nummer die wieder den Knackpunkt der Sicherheit des Os zeigt. Das OS selbst.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *