MobileMobile OS

Sicherheits-Update: Google behebt in Android sieben gefährliche Schwachstellen

Android Logo (Bild: Google)
1 1 Keine Kommentare

Gegebenenfalls ermöglichen diese das Einschleusen und Ausführen von Schadcode. Die monatliche Sicherheitsaktualisierung für März liefert Patches für insgesamt 19 Lücken. Sie finden sich in Komponenten wie Mediaserver, Keyring, Conscrypt, den WLAN-Treibern von Mediatek sowie der Bluetooth-Funktion.

Google hat die monatliche Sicherheitsaktualisierung für Android freigegeben. Dem Security Bulletin zufolge schließt das Update alles in allem 19 Schwachstellen, von denen der Konzern sieben als bedrohlich einstuft. Gegebenenfalls ermöglichen sie das Einschleusen und Ausführen von Schadcode mit Rechten, die Anwendungen von Drittanbietern für gewöhnlich nicht bekommen. Zudem kann es demnach auch möglich sein, dass das Android-Gerät komplett übernommen wird, was sich nur durch das erneute Flashen des Betriebssystems korrigieren lässt.

Die aktuelle Sicherheitsaktualisierung liefert Patches für insgesamt 19 Lücken. Sie finden sich in Komponenten wie Mediaserver, Keyring, Conscrypt, den WLAN-Treibern von Mediatek sowie der Bluetooth-Funktion (Bild: Google).

Die gravierenden Lücken finden sich in den Komponenten Mediaserver, Conscrypt, Keyring sowie in der Bibliothek “libvpx”, in der Qualcomm Performance Component sowie dem Mediatek-WLAN-Treiber. Ausnutzen lassen sie sich zum Beispiel durch speziell gestaltete Mediendateien, die im Browser angespielt werden, oder auch durch manipulierte MMS-Nachrichten.

Ein hohes Risiko geht derweil auch von einem Kernel-Fehler aus, der das Umgehen von Sicherheitsfunktionen ermöglicht. Das gilt auch für einen weiteren Bug in einem Kernel-Treiber für Mediatek-Prozessoren. Die Bibliothek libstagefright kann ebenfalls ausgenutzt werden, um Sicherheitsmaßnahmen auszuhebeln. Weitere Fehler wurden in der Bluetooth-Funktion, im Mediaserver, der Telefonanwendung und im Einrichtungsassistenten entfernt.

Einige der Sicherheitslücken betreffen die Android-Versionen 4.4.4 KitKat, 5.x Lollipop und 6.0 Marshmallow. Andere stecken ledoglich im neuesten Release, also Android Marshmallow. Entdeckt wurden sie vornehmlich von Google-Mitarbeitern. Einige der von Dritten gemeldeten Anfälligkeiten sind dem Unternehmen jedoch bereits seit Mitte November 2015 bekannt.

Aktuelle Factory Images für die Nexus-Geräte liefert Google ab sofort über seine Entwickler-Site aus. Sie stehen für Android 5.1 und Android 6.0 zum Download parat. Die OTA-Updates folgen in den nächsten Tagen. Unter Einstellungen – Über den Menüpunkt Telefon/Tablet können Anwender prüfen, ob sie das Update schon erhalten haben. Dort sollte bei Android 5 Lollipop mindestens das Build LMY49H und bei Android 6 Marshmallow mindestens die Android-Sicherheitspatch-Ebene 1. März 2016 angezeigt werden.

Wer nicht auf das OTA-Update warten möchte, sollte beachten, dass durch die Installation eines Factory Images in der Regel sämtliche auf dem Gerät gespeicherten Daten verloren gehen. Anwender sollten vorher also unbedingt ihre persönlichen Informationen wie Bilder und Downloads sichern. Der Artikel der ITespresso-Schwestersite ZDNet„Nexus 4, 5 und 7: Android 5.0 Lollipop installieren“ liefert an dieser Stelle eine detaillierte Anleitung, die ebenso für Android 6.0.1 angewendet werden kann. Sie beschreibt die Installation eines Factory Image mit Hilfe des Skripts Flash-all.bat. Wer die von Google veröffentlichten Systemabbilder verwendet, bekommt dann in Zukunft auch OTA-Updates auf neue Versionen.

Unklar ist wie immer, wann auch andere Hersteller ihre Geräte aktualisieren werden. Neben Google haben sich auch LG und Samsung verpflichtet, einmal im Monat Sicherheitsupdates verfügbar zu machen. Samsung beschränkt sich dabei jedoch auf einige wenige Spitzenmodelle. Zudem verweist es darauf, dass es abhängig von Modell und Region zu Verzögerungen kommen kann. Für jüngsten Topmodelle hat Samsung allerdings ein Enterprise Device Program gestartet, in dessen Rahmen es Unternehmen ab sofort eine zweijährige Warenverfügbarkeit sowie üblicherweise monatliche Sicherheitsupdates verspricht. Dieses Programm soll auch auf zukünftige Business-Smartphones ausgedehnt werden.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Seit September 2013 ist Rainer hauptsächlich für ITespresso im Einsatz, schreibt aber gerne auch mal hintergründige Artikel für ZDNet und springt ebenso gerne für silicon ein. Er interessiert sich insbesondere für die Themen IT-Security und Mobile. Sein beständiges Ziel ist es, die komplexe IT-Welt so durchsichtig und verständlich wie möglich abzubilden.

Folgen