Patchday: Google schließt 108 Sicherheitslücken in Android

Android-Security (Bild: ZDNet.com)

Kritische Anfälligkeiten befinden sich in Treibern von Chipherstellern wie Qualcomm, MediaTek und Nvidia für Hardwarekomponenten. Entsprechende Sicherheitsupdates für ausgewählte Android-Geräte kündigen neben Google auch Blackberry, Samsung und LG an.

Von den 108 Schwachstellen in Android, die Google im Rahmen seines aktuellen Patchdays geschlossen hat, stuft das Unternehmen alleine 20 als kritisch ein. Die meisten Anfälligkeiten befinden sich in Treibern von Chipherstellern wie Qualcomm, MediaTek und Nvidia für Hardwarekomponenten wie Prozessoren, Grafikchips, WLAN, USB, Kameras und Displays. Ab sofort stehen Updates aber nicht nur für die Nexus-Geräte von Google bereit.

Mit eigenen Bulletins machen auch Samsung, LG und Blackberry auf diverse Schwachstellen aufmerksam. Einige davon betreffen nur ihre Produkte. Samsung und LG brachten ihre Sicherheitsmeldungen gestern Abend sogar erstmals vor Google heraus.

Kritische Schwachstellen stecken laut Google unter anderem im Mediaserver, in OpenSSL und BoringSSL, dem Nvidia-Video-Treiber, einem gerätespezifischen WLAN-Treiber von MediaTek sowie einem GPU-Treiber und dem Treiber einer gerätespezifischen Performance-Komponente von Qualcomm. Sie ermöglichen Angreifern das Einschleusen und Ausführen von Schadcode aus der Ferne.

Betroffen sind alle Nexus-Geräte mit Android 4.4.4, 5.0.2, 5.1.1, 6.0 und 6.0.1. Auch Blackberry, LG und Samsung führen diese Anfälligkeiten in ihren Sicherheitsmeldungen auf. Sie sollten sich damit also auch in Geräten aller anderen Hersteller mit den genannten Android-Versionen finden.

Samsung beseitigt die Schwachstellen weiterhin nur in seinen Spitzenmodellen Galaxy S7, S7 Edge, S6, S6 Edge, S6 Edge+, S6 Active, S5, S5 Active, Note 4, 5 und Edge sowie Galaxy A5x. LG stellt Patches nur für die Modelle G3, G4, G4 Stylus, G5, V10, CK und G Stylo bereit. Blackberry versorgt dagegen sein komplettes Android-Sortiment – das allerdings nur aus dem Blackberry Priv besteht.

android_security (Bild: ZDNet.com)

Der Juli-Patchday kommt mit zwei Security-Patch-Level. Damit kann der Nutzer erkennen, welche Schwachstellen auf seinem Gerät tatsächlich geschlossen wurden. Geräte mit Android-Sicherheitsebene 1. Juli 2016 haben nur die Patches für die reinen Android-Anfälligkeiten erhalten. Nur wenn ein Gerät die Sicherheitsebene 5. Juli 2016 anzeigt, sind die Fixes für die 75 Fehler in Treibern von Qualcomm, MediaTek und Nvidia installiert. Letzteres versprechen nur Google und Blackberry. LG inkludiert nur die Sicherheitsebene 1. Juli 2016, während Samsung in seinem Advisory keine Angabe zum Patch-Level. Ob LG oder Samsung aber tatsächlich nicht von den Treiberfehlern betroffen sind, ist unklar.

Nutzer von Nexus-Geräten sollten die Updates in Kürze Over the Air bekommen. Auf der Entwickler-Seite stehen aber auch neue Firmware-Images für Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) und Nexus 9 sowie Nexus Player und Pixel C zum Download zur Verfügung. Blackberry, LG und Samsung beseitigen die Anfälligkeiten ebenfalls per Over-the-Air-Update. Während Google und Blackberry die Updates für ihre Telefone bereits ausliefern, dürfte es bei den anderen Herstellern noch etwas dauern. So wartet beispielsweise das nicht von einem Mobilfunkprovider angebotene Galaxy S6 Edge hierzulande noch auf den Juni-Patch.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de