-
-
folge blueBit auf Facebook -
folge blueBit auf Twitter@blueBit_News folgen -
folge blueBit auf Google Plus
-
von Dennis Lenz •
Google hat mit einem großem Update 31 zum Teil gefährliche Sicherheitslücken behoben. Außerdem wurden 56 Schwachstellen in Pixel- und Nexus-Smartphones behoben.
Google hat vor kurzem das Advisory für den November-Android-Patchday herausgegeben. Das Dokument enthält Informationen zu 31 Schwachstellen, von denen Google neun als gefährlich bewertet hat. Ein Ausnutzen der Lücken erlaubt es unter Umständen Schadcode innerhalb des Trusted Execution Environment (TEE)einzuschleusen und auszuführen. Es ist außerdem möglich ohne Einwirkung des Nutzer Malware aus der Ferne zu installieren und das Sicherheitsfeature Secure Boot zu umgehen.
Die Patches werden von Google auf drei Updates aufgeteilt verteilt. Am 1.November erfolgte der erste Sicherheitspatch, der 11 Lücken in Android behebt. Betroffen von den Lücken im Android-Framework, im Mediaplayer und im Android-System waren Geräte mit den Android-Versionen 5.0.2 Lollipop, 6.0 und 6.01 Marshmallow, 7.0 7.1.1 und 7.1.2 Nougat und 8.0 Oreo.
Der zweite Sicherheitspatch wurde von Google am 5.November ausgerollt. Er behebt Schwachstellen im Kernel und in Komponenten der Hersteller Qualcomm, MediaTek und Nvidia. Betroffen waren Grafiktreiber von Nvidia und Qualcomm sowie WLAN-Modul-Treiber die ebenfalls aus dem Hause Qualcomm kamen.
Am 6.November wurde der dritte Patch veröffentlicht. Er behebt neun Lücken, die alle eine nicht erlaubte Vergrößerung von Benutzerrechten erlaubten. Bei den behobenen Bugs handelt es um Lücken die unter dem Oberbegriff KRACK Mitte Oktober für Aufsehen sorgen konnten. Sie ermöglichen Angriffe auf die WPA2-Verschlüsselung von WLAN-Verbindungen. Die KRACK-Lücke betrifft alle Android-Generation von 5.0.2 Lollipop bis 8.0 Oreo. Laut Google müssen die Gerätehersteller jedoch noch zusätzliche Patches ihrer WLAN-Chip-Hersteller besorgen, um das Problem vollständig zu beheben.
Wie üblich stellt Google die Updates sowohl für das Android Open Source Projekt als auch für die eigene Hardwarepalette bereit. Die Google Pixel- und Nexus-Smartphones erhielten zusätzlich Patches für 56 weitere Schwachstellen. Sie betreffen unteranderem das Media Framework, die Android Runtime, das Android System, den Kernel, sowie Komponenten der Hersteller Qualcomm, Nvidia und MediaTek. Das Update beseitigt außerdem einige Fehler die nicht sicherheitsrelevant sind und die Audiowiedergabe, Bluetooth, die Kamera und die mobile Datenverbindung betreffen.
Samsung und LG kündigten bereits an ebenfalls eigene Updates zu veröffentlichen. Neben den von Google bereitgestellten Patches, die die Sicherheitslücken beheben, sollen auch Fehler in der eigenen Android-Software behoben werden. LG gab an vier kritische Sicherheitslücken zu patchen, die es beispielsweise erlauben den Speerbildschirm von LG-Smartphones zu umgehen. Samsung erklärte, dass der Patch Reaktionen auf schädliche MTP-Befehle, die bei gesperrten Geräten ausgeführt werden können, entfernt. Der Bootloader des neuen Galaxy Note 8 erhält ebenfalls ein Update das das Starten des Bootloaders mit Root-Rechten verhindern soll.
Ein genauer Zeitpunkt für das Release der Patches von Samsung und LG ist noch nicht bekannt. In Deutschland stellt Samsung fast nur Updates für die aktuellen Modelle bereit. Obwohl es für das Galaxy S7 und S7 Edge ein Update-Versprechen von Samsung gibt, sind die Smartphones aktuell noch auf dem Softwarestand von Anfang August.