April-Patchday: Google stopft 102 Löcher in Android

32 Anfälligkeiten sind als kritisch bewertet. Sie stecken unter anderem im Mediaserver und Hardwarekomponenten von Qualcomm. Außer Google veröffentlicht bisher nur Samsung ein Security Bulletin für den Monat April.

Google hat das Android Security Bulletin für April 2017 veröffentlicht. Es beschreibt 102 Sicherheitslücken in Googles Mobilbetriebssystem, von denen 32 als kritisch eingestuft sind. Angreifer könnten mit ihrer Hilfe aus der Ferne Schadcode einschleusen und ausführen. Gefährliche Apps, die die Anfälligkeiten ausnutzen, lassen sich unter Umständen nur durch ein vollständiges Flashen des Betriebssystems entfernen, bei dem allen Nutzerdaten verlorengehen.

Security Android (Bild: ZDNet mit Material von Shutterstock/Mikko-Lemola und Google)Die Entwickler haben die Fixes auf zwei Updates aufgeteilt, die Android auf die Sicherheitspatch-Ebene 1. April beziehungsweise 5. April anheben. Das erste Update beinhaltet 23 Fixes, wovon 6 als kritisch bewertet sind. Weitere 79 Schwachstellen werden mit dem zweiten Update beseitigt, das Nutzer je nach Hersteller nicht im April sondern frühestens mit dem Mai-Patchday erhalten werden.

Sechs kritische Lücken stecken erneut im Mediaserver. Sie lassen sich in der Regel mit speziell präparierten Mediendateien ausnutzen. Zudem sind die Komponenten CameraBase, Audioserver, Telefon und Factory Reset sowie die Bibliothek libskia angreifbar.

Mit der Sicherheitspatch-Ebene 5. April korrigiert Google überwiegend Bugs in Hardwarekomponenten von Broadcom, Qualcomm, MediaTek, HTC, Nvidia und Synaptics. Weitere zum Teil kritische Schwachstellen finden sich aber auch in diversen Subsystemen des Android-Kernels sowie in Freetype und der JavaScript-Engine V8.

Betroffen sind Android-Geräte mit den Versionen 4.4.4 KitKat, 5.x Lollipop, 6.x Marshmallow und 7.x Nougat. Zum zweiten Update nennt Google wie immer nur anfällige Nexus- und Pixel-Geräte: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel, Pixel XL und Pixel C. Sie betreffen allerdings auch Geräte anderer Hersteller. Einige der Anfälligkeit sind dem Bulletin zufolge schon seit 2014 bekannt, darunter mehrere kritische Lücken in nicht näher genannten Qualcomm-Komponenten.

Über alle Sicherheitslücken informierte Google seine Partner spätestens am 6. März. Trotz der Vorlaufzeit von einem Monat liegt derzeit nur ein Security Bulletin von Samsung vor. Das koreanische Unternehmen stopft im April 49 Löcher. Darunter sind die Fixes der Android-Sicherheitspatch-Ebene 5. März 2017, die in Samsungs März-Update nicht enthalten waren. Außerdem bringt Samsungs April-Patchday Fixes für neun Fehler in eigenen Komponenten.

Zumindest hierzulande hinkt Samsung zudem weiterhin hinter seinem Update-Zeitplan her. Nutzer von Galaxy S7 und S7 Edge haben in diesem Jahr überwiegend nur das Nougat-Update erhalten, das lediglich die Sicherheitspatch-Ebene 1. Januar erreicht. Einzige Ausnahme sind Vodafone-Kunden, die Anfang März mit den Februar-Patches versorgt wurden. Auch anderen Samsung-Geräten wie der Galaxy-S6-Reihe fehlen aktuelle Sicherheitspatches.

Selbst das nicht kommerzielle und nur von einer Community gepflegte LineageOS verteilt Sicherheitspatches schneller als der Smartphone-Marktführer aus Südkorea. LineageOS-Geräte mit aktuellen Builds haben die Sicherheitspatch-Ebene 5. März. Allerdings muss LineageOS auch nicht die hohen Ansprüche eines kommerziellen Produkts erfüllen – auch wenn viele Nutzer der alternativen Android-Distribution diese als vollumfänglich alltagstauglich einstufen.

Artikel zu LineageOS

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Android-Patchday, Google, Nexus, Security, Sicherheit, Smartphone, Tablet

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

4 Kommentare zu April-Patchday: Google stopft 102 Löcher in Android

Kommentar hinzufügen
  • Am 4. April 2017 um 10:46 von Johcurt

    na toll und mein LG G5 läuft noch auf auf Sicherheitspatch Lvl 11.2016. Das Ding ist gerade mal ein Jahr raus und es gibt keine aktuellen Updates mehr?

    • Am 4. April 2017 um 17:12 von Stefan

      LG veröffentlicht tatsächlich jeden Monat ein Security Bulletin (im April leider mit fast einem Tag Verspätung). Das ist allerdings keine Garantie dafür, dass die Updates auch zeitnah bei den Nutzern ankommen, was auch für Samsung und Blackberry gilt. Wobei Du ja ganz klar noch zu denen gehörst, die „auf der Sonnenseite stehen“. Mit Sicherheitspatch-Ebene November 2016 ist dein Smartphone nach Googles Maßstäben noch einigermaßen aktuell. Erst kürzlich rühmte sich das Unternehmen, dass rund die Hälfte aller aktiven Android-Geräte 2016 mindestens ein Update erhalten hätten.

  • Am 4. April 2017 um 23:40 von Georg

    Wieso wird hier Samsung gelobt, wenn hierzulande nur Patch-Ebene 1. Januar hat?!
    Mein Sony ZX hat seit Mitte März Patch Ebene 1. Mörz und wird wohl bals auch die April Patche bekommen…

  • Am 7. April 2017 um 13:02 von Johannes

    Mein P8 Lite bekam das Update bereits am 28. März (Patch 1. April). Wieso daher Samsung gelobt wird, ist mir ein Rätsel. Der Autor kann gar nicht wissen, wann alle Geräte gepatched werden. Wie auch?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *