Categories: MobileMobile OS

Android-Patchday: Google stopft erneut kritische Löcher im Android Media Framework

Google hat die neusten Sicherheitsupdates für sein Mobilbetriebssystem Android freigegeben. Der Juli-Patchday bringt Fixes für insgesamt 140 Schwachstellen. Sie sind wie immer auf zwei Sicherheitspatch-Ebenen verteilt: 1. Juli für allgemeine Schwachstellen in Android und 5. Juli für treiberspezifische Sicherheitslücken. Erstere schließt 43 Sicherheitslöcher, von denen Google zehn als kritisch einstuft – sie stecken alle im Media Framework.

Davon betroffen sind alle Android-Version ab KitKat 4.4.4 bis hin zu Nougat 7.x. Ein Angreifer kann unter Umständen Schadcode aus der Ferne einschleusen und innerhalb der Trusted Execution Environment ausführen. Auch eine permanente Kompromittierung eines Android-Geräts ist möglich, die sich nur durch ein erneutes Flashen der Gerätesoftware mit einhergehendem Verlust aller ungesicherten Daten beseitigen lässt.

Weitere Anfälligkeiten stecken in der Android-Runtime, dem Android-Framework, verschiedenen Bibliotheken und der System-UI. Sie ermöglichen ebenfalls eine Remotecodeausführung oder Denial-of-Service-Angriffe sowie eine nicht autorisierte Ausweitung von Benutzerrechten. Eine gefährliche App, die eine der Schwachstellen ausnutzt, könnte aber auch vertrauliche Informationen ausspähen.

Sicherheitspatch-Eben 5. Juli

Weitere 97 Fixes erhalten Nutzer mit der Sicherheitspatch-Ebene 5. Juli. Sie korrigieren Fehler in Komponenten von Broadcom, HTC, MediaTek, Nvidia und Qualcomm, wobei auf Komponenten von Qualcomm 82 Bugs entfallen. Betroffen sind Treiber für Netzwerk, Kamera, GPU, WLAN, Audio, USB und Modem. Darüber hinaus patcht Google sechs Kernellücken. Von diesen Schwachstellen geht allerdings maximal ein hohes Sicherheitsrisiko aus. Eine schädliche App könnte schlimmstenfalls Code mit den Rechten eines privilegierten Prozesses ausführen.

Googles Partner wurden bereits vor mindestens einem Monat über die zu patchenden Schwachstellen informiert. Blackberry, LG und Samsung haben diese Informationen genutzt, um eigene Sicherheitsupdates für ihre Geräte zu entwickeln. LG und Samsung lassen die Fehlerkorrekturen allerdings nur ausgewählten Geräten zukommen – zum Teil mit erheblichen zeitlichen Verzögerungen. Samsungs Vorjahres-Flaggschiff Galaxy S7 wartet hierzulande beispielsweise noch auf die Juni-Patches.

Blackberry bietet seinen Kunden Fixes für 62 Sicherheitslücken. Ihre Geräte erreichen nach Installation des Updates die Sicherheitspatch-Ebene 1. Juli oder höher. LG listet in seinem Advisory die CVE-Kennungen von 119 Schwachstellen – die 97 Fixes der Sicherheitspatch-Ebene 5. Juli erhalten seine Kunden erst im August.

Samsung macht wie immer keine Angaben zur Sicherheitspatch-Ebene – in der Regel berücksichtigt es aber nur das erste kleinere Update. Trotzdem haben die Samsung-Entwickler 65 sicherheitsrelevante Fehler entfernt. In Samsungs eigener Software stecken zudem neun Schwachstellen. Unter anderem wird ein Fehler behoben, der nur unter Android 4.4 KitKat auftritt und dazu führt, das PIN-Eingaben nicht korrekt verarbeitet werden.

Google hat indes bereits mit der Verteilung der Sicherheitsupdates für seine Nexus- und Pixel-Geräte Over-the-Air begonnen. Aktuelle Firmware-Images sind zudem auf Googles Developer Site für Nexus 5X, 6, 6P, 9, Nexus Player, Pixel und Pixel XL sowie Pixel C erhältlich.

Loading ...

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

15 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

15 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

2 Tagen ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

2 Tagen ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

2 Tagen ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

2 Tagen ago