Android-Patchday: Google stopft erneut kritische Löcher im Android Media Framework

Google hat die neusten Sicherheitsupdates für sein Mobilbetriebssystem Android freigegeben. Der Juli-Patchday bringt Fixes für insgesamt 140 Schwachstellen. Sie sind wie immer auf zwei Sicherheitspatch-Ebenen verteilt: 1. Juli für allgemeine Schwachstellen in Android und 5. Juli für treiberspezifische Sicherheitslücken. Erstere schließt 43 Sicherheitslöcher, von denen Google zehn als kritisch einstuft – sie stecken alle im Media Framework.

Davon betroffen sind alle Android-Version ab KitKat 4.4.4 bis hin zu Nougat 7.x. Ein Angreifer kann unter Umständen Schadcode aus der Ferne einschleusen und innerhalb der Trusted Execution Environment ausführen. Auch eine permanente Kompromittierung eines Android-Geräts ist möglich, die sich nur durch ein erneutes Flashen der Gerätesoftware mit einhergehendem Verlust aller ungesicherten Daten beseitigen lässt.

Weitere Anfälligkeiten stecken in der Android-Runtime, dem Android-Framework, verschiedenen Bibliotheken und der System-UI. Sie ermöglichen ebenfalls eine Remotecodeausführung oder Denial-of-Service-Angriffe sowie eine nicht autorisierte Ausweitung von Benutzerrechten. Eine gefährliche App, die eine der Schwachstellen ausnutzt, könnte aber auch vertrauliche Informationen ausspähen.

Sicherheitspatch-Eben 5. Juli

Weitere 97 Fixes erhalten Nutzer mit der Sicherheitspatch-Ebene 5. Juli. Sie korrigieren Fehler in Komponenten von Broadcom, HTC, MediaTek, Nvidia und Qualcomm, wobei auf Komponenten von Qualcomm 82 Bugs entfallen. Betroffen sind Treiber für Netzwerk, Kamera, GPU, WLAN, Audio, USB und Modem. Darüber hinaus patcht Google sechs Kernellücken. Von diesen Schwachstellen geht allerdings maximal ein hohes Sicherheitsrisiko aus. Eine schädliche App könnte schlimmstenfalls Code mit den Rechten eines privilegierten Prozesses ausführen.

Googles Partner wurden bereits vor mindestens einem Monat über die zu patchenden Schwachstellen informiert. Blackberry, LG und Samsung haben diese Informationen genutzt, um eigene Sicherheitsupdates für ihre Geräte zu entwickeln. LG und Samsung lassen die Fehlerkorrekturen allerdings nur ausgewählten Geräten zukommen – zum Teil mit erheblichen zeitlichen Verzögerungen. Samsungs Vorjahres-Flaggschiff Galaxy S7 wartet hierzulande beispielsweise noch auf die Juni-Patches.

Blackberry bietet seinen Kunden Fixes für 62 Sicherheitslücken. Ihre Geräte erreichen nach Installation des Updates die Sicherheitspatch-Ebene 1. Juli oder höher. LG listet in seinem Advisory die CVE-Kennungen von 119 Schwachstellen – die 97 Fixes der Sicherheitspatch-Ebene 5. Juli erhalten seine Kunden erst im August.

Samsung macht wie immer keine Angaben zur Sicherheitspatch-Ebene – in der Regel berücksichtigt es aber nur das erste kleinere Update. Trotzdem haben die Samsung-Entwickler 65 sicherheitsrelevante Fehler entfernt. In Samsungs eigener Software stecken zudem neun Schwachstellen. Unter anderem wird ein Fehler behoben, der nur unter Android 4.4 KitKat auftritt und dazu führt, das PIN-Eingaben nicht korrekt verarbeitet werden.

Google hat indes bereits mit der Verteilung der Sicherheitsupdates für seine Nexus- und Pixel-Geräte Over-the-Air begonnen. Aktuelle Firmware-Images sind zudem auf Googles Developer Site für Nexus 5X, 6, 6P, 9, Nexus Player, Pixel und Pixel XL sowie Pixel C erhältlich.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de