Categories: MobileMobile OS

Dezember-Patchday bringt Fixes für 52 Lücken in Android

Google hat seine beiden Security Bulletins für den aktuellen Android-Patchday veröffentlicht. 52 Sicherheitslücken schließt das Unternehmen demnach im Dezember. Sieben Anfälligkeiten sind als kritisch eingestuft. Sie erlauben es unter Umständen, Schadcode aus der Ferne, beispielsweise mithilfe einer speziell präparierten App, einzuschleusen und die Kontrolle über ein ungepatchtes Smartphone zu übernehmen.

Das Android Security Bulletin für Dezember enthält Details zu 44 Anfälligkeiten. Nutzer, die Updates mit der Sicherheitspatch-Ebene 1. Dezember erhalten, sind unter anderem vor Angriffen auf kritische Lücken im Android Framework und dem Media Framework geschützt. Sie betreffen die Android-Versionen 8.0, 8.1, 9 und 10. Die Entwickler korrigieren aber auch sicherheitsrelevante Bugs im Android System sowie in Google Play. Sie lassen sich auch für Denial-of-Service-Attacken, eine nicht autorisierte Ausweitung von Nutzerrechten und Informationsdiebstahl ausnutzen.

Der zweite Teil des Dezember-Updates stopft ebenfalls Löcher in Framework und System sowie in Kernel-Komponenten und Komponenten von Qualcomm. Angreifbar sind unter anderem der TCP-Stack, WLAN-Chips von Qualcomm, der USB-Midi-Class-Treiber und der Prism54-WLAN-USB-Treiber.

Das Pixel-Bulletin listet lediglich acht Anfälligkeiten, darunter eine kritische Lücke im Android-System, die unter Android 10 vertrauliche Informationen preisgibt. Die Pixel-Geräte erhalten aber mehrere Fehlerkorrekturen, die Google im Pixel-Community-Forum beschreibt. Verbesserungen stehen vor allem für das Google Pixel 4 und 4XL zur Verfügung. Sie betreffen Funktionen wie Bluetooth, Audio und System UI. Ein Patch soll zudem ein Bildschirmflackern in verschiedenen Situationen beseitigen.

Samsung legte indes erneut einen Frühstart hin und begann schon vor Google mit der Verteilung des Dezember-Updates an mehrere Geräte, darunter Galaxy Note 10 und Note 9. Da seit dem Wochenende erhältliche Android-10-Update für das Galaxy S10, S10+ und S10e hebt die Geräte ebenfalls auf die Sicherheitspatch-Ebene 1. Dezember.

Mit ihr schließt das koreanische Unternehmen 38 Sicherheitslücken in Android. Darüber hinaus meldet Samsung sechs Schwachstellen in seiner eigenen Software, darunter zwei Bugs, die persönliche Daten von gesperrten Geräten preisgeben.

LG bringt es im Dezember ebenfalls auf 38 gepatchte Schwachstellen. Davon sind acht als kritisch bewertet. Sie treten unter Android 8.x Nougat und 9 Pie auf.

Sicherheitsupdates stellen auch andere Hersteller zeitnah bereit, darunter Nokia, OnePlus, Huawei, Xiaomi, Motorola und Blackberry. Die Auslieferung erfolgt in der Regel Over-the-Air über die in Android integrierte Update-Funktion. Je nach Land und Mobilfunkprovider kann sich die Bereitstellung jedoch verzögern. Zudem beschränken fast alle Hersteller zumindest die regelmäßige Versorgung mit Patches auf aktuelle und hochpreisige Geräte.

WEBINAR

Webinar-Aufzeichnung: Zugangsdaten unter Kontrolle behalten

Sicherheit beginnt bei Identitäten, hört aber nicht dort auf. Wie Identity Management, Active Directory und Privileged Access Management (PAM) zusammenpassen, erfahren Sie in diesem Webinar.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Türkei hebt nach fast drei Jahren Sperre von Wikipedia auf

Die Regierung setzt ein Urteil des Obersten Gerichtshofs um. Der stuft die Blockade als verfassungswidrig ein. Das Gericht folgt seiner…

59 Minuten ago

Google stellt Chrome-Apps auf allen Plattformen ein

Die Änderung gilt schon in diesem Jahr für Windows, macOS und Linux. Unter Chrome OS gibt Google seinen Kunden mehr…

3 Stunden ago

Januar-Patchday: Oracle schließt 334 Lücken in seinen Produkten

Es sind insgesamt 94 Produkte betroffen. 191 Schwachstellen lassen sich aus der Ferne ohne Eingabe von Anmeldedaten ausnutzen. Die Gesamtzahlen…

5 Stunden ago

Proof-of-Concept-Exploits für NSA-Crypto-Lücke in Windows veröffentlicht

Es liegen mindestens drei verschiedene Exploits vor, von denen zwei öffentlich verfügbar sind. Das erhöht die Wahrscheinlichkeit von Angriffen deutlich.…

6 Stunden ago

Mozilla entlässt 70 Mitarbeiter – auch führende Manager

Das Unternehmen reagiert auf sinkende Nutzerzahlen und den damit verbundenen Umsatzrückgang. CEO Mitchell Baker räumt ein, dass der Aufbau neuer…

21 Stunden ago

Sophos: Abo-Betrug im Play Store betrifft mehr als 600 Millionen Nutzer

Insgesamt 25 Apps nutzen eine Lücke in Googles Play-Store-Richtlinie. Nutzer, die diese Apps während einer Testphase löschen, beenden damit nicht…

23 Stunden ago