Categories: MobileMobile OS

Android-Patchday: Google stopft erneut kritische Löcher im Android Media Framework

Google hat die neusten Sicherheitsupdates für sein Mobilbetriebssystem Android freigegeben. Der Juli-Patchday bringt Fixes für insgesamt 140 Schwachstellen. Sie sind wie immer auf zwei Sicherheitspatch-Ebenen verteilt: 1. Juli für allgemeine Schwachstellen in Android und 5. Juli für treiberspezifische Sicherheitslücken. Erstere schließt 43 Sicherheitslöcher, von denen Google zehn als kritisch einstuft – sie stecken alle im Media Framework.

Davon betroffen sind alle Android-Version ab KitKat 4.4.4 bis hin zu Nougat 7.x. Ein Angreifer kann unter Umständen Schadcode aus der Ferne einschleusen und innerhalb der Trusted Execution Environment ausführen. Auch eine permanente Kompromittierung eines Android-Geräts ist möglich, die sich nur durch ein erneutes Flashen der Gerätesoftware mit einhergehendem Verlust aller ungesicherten Daten beseitigen lässt.

Weitere Anfälligkeiten stecken in der Android-Runtime, dem Android-Framework, verschiedenen Bibliotheken und der System-UI. Sie ermöglichen ebenfalls eine Remotecodeausführung oder Denial-of-Service-Angriffe sowie eine nicht autorisierte Ausweitung von Benutzerrechten. Eine gefährliche App, die eine der Schwachstellen ausnutzt, könnte aber auch vertrauliche Informationen ausspähen.

Sicherheitspatch-Eben 5. Juli

Weitere 97 Fixes erhalten Nutzer mit der Sicherheitspatch-Ebene 5. Juli. Sie korrigieren Fehler in Komponenten von Broadcom, HTC, MediaTek, Nvidia und Qualcomm, wobei auf Komponenten von Qualcomm 82 Bugs entfallen. Betroffen sind Treiber für Netzwerk, Kamera, GPU, WLAN, Audio, USB und Modem. Darüber hinaus patcht Google sechs Kernellücken. Von diesen Schwachstellen geht allerdings maximal ein hohes Sicherheitsrisiko aus. Eine schädliche App könnte schlimmstenfalls Code mit den Rechten eines privilegierten Prozesses ausführen.

Googles Partner wurden bereits vor mindestens einem Monat über die zu patchenden Schwachstellen informiert. Blackberry, LG und Samsung haben diese Informationen genutzt, um eigene Sicherheitsupdates für ihre Geräte zu entwickeln. LG und Samsung lassen die Fehlerkorrekturen allerdings nur ausgewählten Geräten zukommen – zum Teil mit erheblichen zeitlichen Verzögerungen. Samsungs Vorjahres-Flaggschiff Galaxy S7 wartet hierzulande beispielsweise noch auf die Juni-Patches.

Blackberry bietet seinen Kunden Fixes für 62 Sicherheitslücken. Ihre Geräte erreichen nach Installation des Updates die Sicherheitspatch-Ebene 1. Juli oder höher. LG listet in seinem Advisory die CVE-Kennungen von 119 Schwachstellen – die 97 Fixes der Sicherheitspatch-Ebene 5. Juli erhalten seine Kunden erst im August.

Samsung macht wie immer keine Angaben zur Sicherheitspatch-Ebene – in der Regel berücksichtigt es aber nur das erste kleinere Update. Trotzdem haben die Samsung-Entwickler 65 sicherheitsrelevante Fehler entfernt. In Samsungs eigener Software stecken zudem neun Schwachstellen. Unter anderem wird ein Fehler behoben, der nur unter Android 4.4 KitKat auftritt und dazu führt, das PIN-Eingaben nicht korrekt verarbeitet werden.

Google hat indes bereits mit der Verteilung der Sicherheitsupdates für seine Nexus- und Pixel-Geräte Over-the-Air begonnen. Aktuelle Firmware-Images sind zudem auf Googles Developer Site für Nexus 5X, 6, 6P, 9, Nexus Player, Pixel und Pixel XL sowie Pixel C erhältlich.

Loading ...

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Windows 10: Microsoft erlaubt Umgehung von Update-Sperren

Der Oktober-Patchday bringt eine neue Gruppenrichtlinie. Mit ihr lassen sich die Sperren generell abschalten. In…

22 Stunden ago

Mozilla testet Seitenisolierung für Firefox

Der Browser führt künftig alle Tabs in einem eigenen Prozess aus. Das verbessert die Sicherheit…

23 Stunden ago

Intel erfüllt die Erwartungen im dritten Quartal

Umsatz und Gewinn schrumpfen jedoch im Vergleich zum Vorjahreszeitraum. Vor allem die Data Center Group…

23 Stunden ago

Huawei stellt Mate 40 Pro

Das neue Flaggschiff-Smartphone basiert auf dem hauseigenen Kirin-9000-Prozessor. Im Benchmark hängt dieser Qualcomms Snapdragon 865…

1 Tag ago

Hacker kontrollieren Windows-Trojaner per Telegram-Channel

T-RAT erhält per Telegram 98 unterschiedliche Befehle. Sie erlauben es der Malware, umfangreiche Daten zu…

1 Tag ago

WordPress verteilt Zwangs-Update für unsicheres Plug-in

Betroffen ist die Erweiterung Loginizer. Ein Angreifer kann unter Umständen eine WordPress-Website vollständig kompromittieren. Die…

2 Tagen ago