April-Patchday: Google schließt 40 Sicherheitslücken in Android
Insgesamt behebt Google 40 Schwachstellen in Android. Neben den zwölf als “kritisch” eingestuften sind noch 19 weitere Schwachstellen gefärhlich. Von ihnen geht Google zufolge ein “hohes Risiko” aus.
Im Zuge seines turnusmäßigen, monatlichen Patchdays beseitigt Google mit einem Over-the-Air-Update für seine Nexus-Geräte insgesamt 40 Schwachstellen in Android. Davon stuft das Unternehmen zwölf als kritisch ein. Zwei davon stecken wieder in der Komponente Mediaserver, in der in den vergangenen Monaten mehrere Sichehreitslücken behoben werden mussten. Der zugehörigen Sicherheitsmeldung zufolge ist “beim Verarbeiten von Mediendateien Remotecodeausführung auf einem betroffenen Gerät durch verschiedene Methoden wie E-Mail, Webbrowsing und MMS” möglich.
Angreifer könnten darüber also Malware auf ein Android-Gerät schleusen und diese, weil der fehlerhafte Mediaserver erhöhte Zugriffsrechte besitzt, damit auch ausführen. Das funktioniert bei allen Nexus-Modellen sowie anderen Geräte mit Android 4.4.4 oder neuer. Die zehn weiteren als “kritisch” eingestuften Schwachstellen finden sich in der Debugger-Komponente, Nvidias Videotreiber, Qualcomms TrustZone und WLAN-Treiber sowie im Kernel. Auch bei ihnen ist die Ausweitung von Zugriffsrechten möglich.
Von 19 Schwachstellen geht zudem ein hohes Risiko aus. Auch sie erlauben die Rechteausweitung und Remotecodeausführung. Außerdem könnten Angreifer darüber Informationen ausspähen und Denial-of-Service-Angriffe aus der Ferne durchführen. Das Risiko durch die restlichen Lücken stuft Google in acht Fällen als “moderat” und in einem als “niedrig” ein.
Für die Nexus-Geräte stehen die aktuellen Factory Images auf der Entwickler-Website zur Verfügung. Das OTA-Update sollte in den kommenden Tagen auf die Nexus-Geräte ausgelifert werden. Nutzer können unter dem Menüpunkt “Über das Telefon” beziehungsweise “Über das Tablet” nachschauen, ob ihr Gerät es bereits erhalten hat. In dem Fall sollte dort mindestens die Android-Sicherheitspatch-Ebene 1 Mai 2016 angezeigt werden.
Loading ...Wer sofort ein Factory Image einspielen will, sollte daran denken, dass dabei üblicherweise die auf dem Gerät gespeicherten Daten gelöscht werden. Es empfiehlt sich daher zuvor eine Sicherung anzulegen. Dazu bietet der Beitrag “Nexus 4, 5 und 7: Android 5.0 Lollipop installieren” der ITespresso-Schwestersite ZDNet eine ausführliche Anleitung, die auch bei Android 6.0.1 funktioniert.
Wie immer ist noch nicht bekannt, wann andere Hersteller die von ihnen ausgelieferten Geräte aktualisieren werden. Unter anderem haben im vergangenen Jahr LG und Samsung zumindest für ausgewählte Modelle zugesagt, monatliche Sicherheits-Updates bereitzustellen.
[mit Material von Björn Greif, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de