Februar-Patchday: Google schließt 42 Schwachstellen in Android
Google hat das sein Android Security Bulletin für Februar veröffentlicht. Die Entwickler stufen elf Anfälligkeiten als kritisch ein. Betroffen sind Smartphones und Tablets mit Android 7.x Nougat, 8.x Oreo und 9 Pie.
Die ab sofort für die Pixel-Geräte und das Android Open Source Project zur Verfügung stehenden Patches schließen insgesamt 42 Sicherheitslücken. Elf davon sind als kritisch eingestuft. Sie erlauben unter Umständen das Einschleusen und Ausführen von Schadcode, möglicherweise sogar innerhalb eines privilegierten Prozesses, oder die Installation von Apps ohne Wissen und Interaktion mit einem Nutzer. Betroffen sind die Android-Versionen 7.x Nougat, 8.x Oreo und 9 Pie.
Wie immer haben die Entwickler die Fixes auf zwei Sicherheitspatch-Ebenen aufgeteilt: 1. Februar und 5. Februar. Das erste Update beseitigt Schwachstellen in den Komponenten Framework, Library und System. Nutzer, deren Geräte die Sicherheitspatch-Ebene 5. Februar erreichen, sind auch vor Angriffen auf Kernel-Komponenten sowie Komponenten von Nvidia und Qualcomm geschützt. Letztere betreffen auch den Bootloader.
Die Schwachstellen lassen sich beben dem Einschleusen von Schadcode auch für eine nicht autorisierte Ausweitung von Benutzerrechten missbrauchen. Auch der Diebstahl von Daten oder Denial-of-Service-Angriffe sind möglich.
Googles Android-Partner wissen seit mindestens vier Wochen von den Schwachstellen. Ein eigenes Sicherheitsbulletin liegt bisher allerdings nur von Google für seine Pixel-Geräte und von LG für ausgewählte Premium-Geräte vor. Während Google im Februar keine Pixel-spezifischen Sicherheitsupdates bereitstellt, kündigte LG Fixes für 27 Sicherheitslücken in Android und zwei Schwachstellen in eigener Software an. Davon sind sechs mit kritisch bewertet.
LG-Geräte erreichen nun die Sicherheitspatch-Ebene 1. Februar – das Update enthält somit auch die Fixes der Sicherheitspatch-Ebene 5. Januar, die LG im vergangenen Monat nicht berücksichtigt hatte. Neben LG verteilen auch andere Hersteller wie Blackberry, Nokia und Samsung regelmäßig Sicherheitsupdates für ihre Android-Produkte – Samsung veröffentlicht in der Regel auch zeitnah ein eigenes Bulletin.
Nutzer erhalten die Updates Over-the-Air. Google stellt zudem auf seiner Entwickler-Website aktuelle Firmware-Images zum Download bereit. Je nach Hersteller können jedoch mehrere Tage oder auch Wochen vergehen, bis die Aktualisierungen ausgeliefert werden. Samsung beispielsweise versorgt bestimmte ältere Geräte sowie seine Tablets nur vierteljährlich mit Updates.