Android-Patchday: Google stopft 31 zum Teil kritische Sicherheitslöcher

Darunter sind auch Fixes für die KRACK-Lücken in der WLAN-Verschlüsselung WPA2. Ein weiteres Update soll 56 Schwachstellen in den Pixel- und Nexus-Geräten beseitigen. Auch Samsung und LG kündigen Patches für ausgewählte Geräte an.

Google hat das Advisory für den November-Android-Patchday veröffentlicht. Es enthält Details zu 31 Schwachstellen, von denen neun als kritisch eingestuft sind. Sie erlauben unter Umständen das Einschleusen und Ausführen von Schadcode innerhalb der eigentlich als vertrauenswürdig geltenden Trusted Execution Environment (TEE), die Installation schädlicher Apps aus der Ferne und ohne Wissen des Nutzers oder die Umgehung der Sicherheitsfunktion Secure Boot.

Security Android (Bild: ZDNet mit Material von Shutterstock/Mikko-Lemola und Google)Die Patches verteilt Google auf drei Updates. Mit der Sicherheitspatch-Ebene 1. November werden Fixes für 11 Anfälligkeiten bereitgestellt, die im Android-Framework, im Media Framework und im Android System stecken. Betroffen sind die Versionen 5.0.2 Lollipop, 6.0 und 6.0.1 Marshmallow, 7.0, 7.1.1 und 7.1.2 Nougat und 8.0 Oreo.

Geräte mit der Sicherheitspatch-Ebene 5. November haben Fixes für Schwachstellen im Kernel sowie Komponenten von MediaTek, Nvidia und Qualcomm erhalten. Anfällig sind unter anderem die GPU-Treiber von Nvidia und Qualcomm sowie die WLAN-Module von Qualcomm.

Mit dem dritten Patch (Sicherheitsebene 6. November) werden weitere 9 Lücken geschlossen, die allesamt eine nicht autorisierte Ausweitung von Benutzerrechten erlauben. Hierbei handelt es sich um die Bugs, die die als KRACK bezeichneten und Mitte Oktober aufgedeckten Angriffe auf die WPA2-Verschlüsselung von WLAN-Netzwerken ermöglichen. Davon betroffen sind ebenfalls alle Android-Versionen ab 5.0.2 Lollipop bis einschließlich 8.0 Oreo. Google weist zudem darauf hin, dass Gerätehersteller möglicherweise zusätzliche Fixes von den Herstellern ihrer WLAN-Chipsätze benötigen.

Die Updates stellt Google wie immer für das Android Open Source Project und seine eigenen Pixel- und Nexus-Smartphones zur Verfügung. Letztere erhalten zudem Fixes für weitere 56 Schwachstellen, die Google in einem separaten Bulletin aufführt. Sicherheitsrelevante Fehler beseitigt Google demnach im Media Framework, in der Android Runtime, im Android System, im Kernel sowie in Komponenten von MediaTek, Nvidia und Qualcomm. Zudem sind Fixes für nicht sicherheitsrelevante Fehler enthalten. Sie sollen Probleme mit der Audiowiedergabe, Bluetooth, der Kamera und der Nutzung der mobilen Datenverbindung beheben.

Eigene Updates kündigten zudem LG und Samsung an. Beide Unternehmen geben aber nicht nur die von Google bereitgestellten Fixes weiter, sondern stopfen auch Löcher in ihrer eigenen Android-Software. Bei LG sind es vier Schwachstellen, von denen ein hohes Risiko ausgeht. Unter anderem kann der Sperrbildschirm von LG-Smartphones umgangen werden. Samsung korrigiert indes Fehler, die dazu führen, dass seine Geräte auf schädliche MTP-Befehle reagieren, während sie gesperrt sind. Zudem erlaubt der Bootloader des Galaxy Note 8 das Starten des Geräts mit Root-Rechten.

Wann die Patches von LG und Samsung tatsächlich zur Verfügung stehen, ist nicht bekannt. Hierzulande wurden beispielsweise von Samsung zuletzt fast ausschließlich die aktuellen Modelle wie Galaxy S8, S8+ und Note 8 mit Updates versorgt. Galaxy S7 und S7 Edge, für die weiterhin das Update-Versprechen des Unternehmens gilt, sind derzeit noch auf dem Stand von Anfang August.

ANZEIGE

Kostenloses Live-Webinar: Rechtzeitig compliant!

Erfahren Sie am 08.12.2017 um 10:30 Uhr im kostenlosen Live-Webinar mit David Pütz von KYOCERA, wie Ihnen Dokumentenlösungen helfen können, die Vorgaben der EU-Datenschutzgrundverordnung umzusetzen, die im Mai 2018 in Kraft tritt. Informieren Sie sich jetzt, denn den Unternehmen, die die Anforderungen der EU-DSGVO nicht erfüllen, drohen empfindliche Strafen.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Betriebssystem, Google, Security, Sicherheit, Smartphone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Android-Patchday: Google stopft 31 zum Teil kritische Sicherheitslöcher

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *