Android-Patchday: Google schließt zahlreiche Schwachstellen

Sicherheit
Android Security

Die Patches sollen in den nächsten Tagen als OTA-Update auf unterstützte Geräte von Google kommen. Sie beheben mehrere kritische Sicherheitslücken, die Remotecodeausführung ermöglichen oder erhöhte Berechtigungen erlangen lassen. Die Schwachstellen gefährden teilweise sogar auf Kernel-Ebene.

Google hat die zweite Monatskollektion von Sicherheitsupdates in diesem Jahr veröffentlicht. Mit dem Februar-Patchday fixt es mehrere kritische Schwachstellen, die Remotecodeausführung erlauben. Zu beheben waren außerdem Sicherheitslöcher, die es ermöglichen, erhöhte Berechtigungen zu erlangen. Darüber hinaus geht es um die mögliche Kompromittierung bestimmter Qualcomm-Komponenten.

Android Security

Besonders beunruhigend erscheint eine Lücke im Kryptografie-Treiber von Qualcomm, der die Ausführung von Remotecode auf Kernel-Ebene ermöglicht. Ähnlich verhält es sich mit einer Schwachstelle, die in einem generischen Android-Kernel die Erlangung erhöhter Rechte ermöglicht. Letztere betrifft alle Geräte Googles aus den Reihen Nexus, Pixel sowie Android One seit Veröffentlichung des Nexus 5X.

Infrage kommende Geräte sollen innerhalb der nächsten Tage Over-The-Air-Updates erhalten. Laut Google wurde bislang noch nicht von aktiver Ausnutzung der damit behobenen Schwachstellen berichtet. Das Update behebt außerdem zahlreiche weitere Sicherheitslücken, die weniger bedrohlich sind. Hier fielen etwa Probleme mit Bluetooth und Schwachstellen in Nvidia-Treibern an.

Google hat außerdem Firmware-Images für seine eigenen Geräte auf der Entwickler-Website veröffentlicht. Herstellungspartner wurden bereits Anfang Januar oder früher über die im Februar-Sicherheitsbulletin genannten Sicherheitsprobleme informiert. Quellcode-Patches wurden außerdem im Repository des Android Open Source Project (AOSP) verfügbar gemacht.

Auch Blackberry hat sich in diesem Monat erneut um die Behebung von Sicherheitslücken gekümmert, die ganz ähnlich beschrieben werden. Laut XDA Developers erhalten Besitzer von Blackberry Priv tatsächlich alle Sicherheitsfixes, die im Sicherheitsbulletin Googles für diesen Monat erwähnt sind.