Categories: MobileMobile OS

Android: Google stellt Oktober-Update bereit

Google hat mit der Verteilung aktueller Sicherheitspatches für sein Mobilbetriebssystem Android begonnen. Sie stehen als Factory-Images sowie als Over-the-Air-Update für die hauseigenen Pixel- und Nexus-Geräte zur Verfügung. Auch der Oktober hält wieder Fixes für kritische Lücken im Media Framework bereit.

Die drei kritische Anfälligkeiten im Media Framework, die mit der Sicherheitspatch-Ebene 1. Oktober beseitigt werden, erlauben nämlich das Einschleusen und Ausführen von Schadcode aus der Ferne. Eine speziell präparierte App könnte sich unter Umständen Rechte sichern, die eigentlich nur privilegierten Systemprozessen gewährt werden. Davon betroffen sind alle von Google noch unterstützten Android-Versionen von 4.4.4 KitKat bis einschließlich dem erst kürzlich eingeführten Android 8.0 Oreo.

Weitere Bugs stecken im Android Framework und im Android System. Sie ermöglichen unter anderem ebenfalls eine Remotecodeausführung. Sie machen Android aber auch anfällig für eine nicht autorisierte Ausweitung von Benutzerrechten oder das Ausspähen vertraulicher Informationen.

Mit der Sicherheitspatch-Ebene 5. Oktober schließt Google Lücken im Android-Kernel sowie in Komponenten von Drittanbietern. Dateisystem und Netzwerk-Subsystem sollen Angreifern nun nicht mehr unerlaubt höhere Nutzerrechte gewähren. Das gilt auch für den SoC-Treiber von MediaTek und das Netzwerk-Subsystem sowie den Bootvorgang von Qualcomm-Prozessoren. Ein Patch für Qualcomms SoC-Treiber soll indes eine Remotecodeausführung verhindern.

Ausgewähltes Whitepaper

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Mit insgesamt nur 14 korrigierten Schwachstellen fällt der Oktober-Patchday vergleichsweise klein aus – in den Vormonaten stopfte Google in der Regel jeweils eine dreistellige Zahl von Sicherheitslöchern. Grund dafür ist, dass Google nun ein eigenes Security-Bulletin für Pixel- und Nexus-Geräte veröffentlicht. Die Details dieser Schwachstellen stellt Google seinen Partnern ebenfalls mit einer Vorlaufzeit von mindestens einem Monat zur Verfügung. Sie müssen diese Schwachstellen allerdings nur optional beseitigen – auf die jeweilige aktuelle Android-Sicherheitspatch-Ebene haben die Fixes keinen Einfluss.

Probleme durch Googles neue Patch-Strategie für Android

Auch das Pixel/Nexus-Bulletin betrifft alle unterstützten Android-Versionen, also gleichermaßen Geräte mit Android 4.4.4 bis hin zu Geräten mit Android 8.0. Es beschreibt weitere 38 Anfälligkeiten im Android Framework, Media Framework, Android System und Android Kernel sowie in Komponenten von Broadcom, HTC, Huawei, Motorola und Qualcomm.

Warum Google nun Android- und Nexus/Pixel-Bulletins voneinander trennt, ist nicht bekannt. Da Google es seinen Partnern überlässt, alle, nur einige oder keine der im Nexus/Pixel-Bulletin genannten Bugs zu beseitigen, können Nutzer nicht mehr nachvollziehen, ob ihre Geräte “sicher” sind oder nicht.

Selbst ein Abgleich der CVE-Kennungen mit den Bulletins ihres Anbieters schafft keine Klarheit, da Google offen lässt, welche Bugs im Nexus/Pixel-Bulletin tatsächlich Geräte anderer Hersteller betreffen. Zudem veröffentlichen derzeit nur Samsung, LG und Blackberry eigene monatliche Bulletins. Besitzer von Nokia-Geräten, die zwar monatliche Patches erhalten, tappen beispielsweise komplett im Dunkeln, weil HMD Global keine Details zu seinen Sicherheitsupdates nennt.

Tipp der Redaktion

Die besten Apps für Business-Trips

Smartphones sind unterwegs nicht nur als Kommunikations-Tool und für den Internetzugang nützlich. Zahlreiche Apps helfen, sich auf Reisen besser zurechtzufinden. Die silicon-Redaktion stellt 20 spannende, praktische und nützliche Apps vor.

Redaktion

Recent Posts

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

11 Stunden ago

SoftwareOne: Cloud-Technologie wird sich von Grund auf verändern

Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.

11 Stunden ago

KI-basierte Herz-Kreislauf-Vorsorge entlastet Herzspezialisten​

Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.

11 Stunden ago

IBM sieht Nachhaltigkeit als KI-Treiber

Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…

16 Stunden ago

Wie KI das Rechnungsmanagement optimiert

Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.

1 Tag ago

Zukunft der europäischen Cybersicherheit ist automatisiert

Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…

1 Tag ago