Dezember-Patchday: Google schließt 74 Sicherheitslücken in Android
Darunter sind 11 als kritisch eingestufte Schwachstellen. Sie stecken in erster Linie in Komponenten von Drittanbietern wie Qualcomm, Broadcom, Mediatek und Nvidia. Auch Blackberry, LG und Samsung nennen Details zu ihren monatlichen Sicherheitsupdates.
Google hat letztmalig in diesem Jahr ein Sicherheitsupdate für sein Mobilbetriebssystem Android veröffentlicht. Der Dezember-Patchday bringt Fixes für insgesamt 74 Sicherheitslücken. 11 Anfälligkeiten stuft das Unternehmen als kritisch ein. Sie erlauben unter Umständen das Einschleusen und Ausführen von Schadcode aus der Ferne.
Googles Nexus-Geräte erhalten das Update in den kommenden Tagen Over-the-Air. Auf seiner Entwickler-Website bietet das Unternehmen zudem Firmware-Images zum Download an. Neben Google haben auch Blackberry, LG und Samsung ihre monatlichen Sicherheitsupdates angekündigt, die sie in den kommenden Tagen und Wochen ebenfalls Over-the-Air verteilen werden.
Wie in den Vormonaten stehen auch im Dezember zwei Updates zur Verfügung. Die Android-Sicherheitspatch-Ebene 1. Dezember beinhaltet Fixes für 16 Schwachstellen, von denen 10 mit “hoch” und 6 mit “moderat” bewertet sind. Sie beseitigen unter anderem Fehler, die Denial-of-Service-Angriffe auf die Telefonfunktion und den Mediaserver erlauben. Die Komponenten Smart Lock, Telephony und WLAN lassen sich zudem für eine nicht autorisierte Ausweitung von Benutzerrechten missbrauchen.
Die 11 kritischen Löcher stopft hingegen nur das zweite Update mit der Sicherheitspatch-Ebene 5. Dezember. Sie stecken im Kernel Memory Subsystem, den Nvidia-GPU- und –Video-Treibern, in nicht näher genannten Qualcomm-Komponenten sowie im Android-Kernel. Darüber hinaus sind der HTC-Sound-Codec, die Media-Codecs von Qualcomm sowie Treiber von MediaTek, Broadcom und Synaptics unsicher.
Betroffen sind Geräte mit Android 4.4.4 KitKat, 5.x Lollipop, 6.x Marshmallow und 7.0 Nougat. Gerätehersteller hat Google bereits am 7. November oder früher über die Anfälligkeiten informiert. Mindestens ein Fehler ist bereits seit Januar 2015 bekannt – von den meisten Bugs hat Google jedoch erst ab Juli 2016 erfahren.
Blackberry hebt die Sicherheitspatch-Ebene seiner Android-Geräte Priv, DTEK50 und DTEK60 auf 5. Dezember an. Dafür stopft das kanadische Unternehmen 39 Löcher. Über Blackberrys Online-Shop gekaufte Geräte erhalten die Aktualisierung nach Herstellerangaben sofort. Die Auslieferung der Updates für bei anderen Händlern oder Mobilfunkprovidern gekaufte Smartphones könne sich indes verzögern.
LGs Security Maintenance Update für die G-Serie (G3, G4, G4 Stylus und G5) sowie die Modelle V10, CK und G Stylo beseitigt 67 Anfälligkeiten. Allerdings beschränkt sich das koreanische Unternehmen auf den Patch-Level 1. Dezember – auf die Fixes für die aktuellen kritischen Schwachstellen müssen Besitzer von LG-Geräten also mindestens bis Anfang Januar warten.
Samsung lässt erneut offen, welche Sicherheitspatch-Ebene seine Geräte im Dezember erreichen werden. Da im Vormonat nur die Fixes mit Datum 1. November ausgeliefert wurden, listet das Security Advisory für Dezember nun 81 Schwachstellen auf. Hinzukommen weitere 13 sicherheitsrelevante Fehler in Samsungs eigener Software. Samsung versorgt derzeit nur die Modellreihen Galaxy S (S5 bis S7), Galaxy Note und Galaxy A5 mit monatlichen Sicherheitspatches.
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de