Sicherheit

Android: Juni-Patch schließt dutzende Lücken

Google hat begonnen, die aktuellen Sicherheitspatches für den Monat Juni zu verteilen. Diesmal sind wieder zahlreiche Sicherheitslücken behoben, vor allem bei Treibern für diverse Smartphone-Prozessoren.
Von Stefan Kirchner
AAA
Teilen (5)

Google verteilt Junipatchlevel für AndroidGoogle verteilt Junipatchlevel für Android Insbesondere Qualcomm fällt im Bezug auf aktualisierte Hardware-Treiber auf. In den sogenannten Closed-Source-Treibern hat Google alleine 26 behobene Lücken aufgezählt, die als kritisch betrachtet werden. Das Verheerende an den geschlossenen Lücken ist der Fakt, dass diese Lücken schon seit über drei Jahren bei Qualcomm bekannt sein sollen. Damit ist Qualcomm einsamer Spitzenreiter, denn andere Unternehmen wie MediaTek oder NVIDIA, die ebenfalls im Changelog des Juni-Patchlevels genannt werden, sind nicht so stark vertreten. Zumal einzig die Qualcomm-relevanten Patches von Google als kritisch eingestuft werden.

Neben den Treibern für Prozessoren sind auch Chips von Synaptics betroffen, sowie der Bluetooth-Treiber. Die Patches stehen ab Android 4.4.4 KitKat bis einschließlich Android 7.1.2 Nougat für Hardware-Partner zum Download bereit. Auch das Android Open Source Projekt kurz AOSP hat den aktuellen Quellcode erhalten, was insbesondere für Lineage OS und andere Aftermarket Firmwares von Bedeutung ist.

Schon wieder StageFright

Insgesamt hat Google mit dem Patch vom 5. Juni als zweite Stufe über 103 verschiedene Sicherheits­lücken im Android-Quellcode geschlossen. Mit der ersten Patch-Stufe vom 1. Juni waren immerhin schon 20 als kritisch eingestufte Sicherheits­lücken geschlossen worden, sowie eine weitere weniger schwerwiegende Sicherheits­lücke, die überwiegend im Kernel, der System UI und nicht näher genannten Programm­bibliotheken gefunden wurden.

Explizit nennt Google eine Schwachstelle im Multimedia-Framework StageFright von Android. Über diese konnten Angreifer Schadcode in das System einschleusen und ausführen, ohne dass der Nutzer etwas davon mitbekommt. Außerdem wurden Lücken geschlossen, die zum Auslesen persönlicher Daten und dem Erlangen von Root-Rechten dienten, als auch für Denial-of-Service-Attacken.

Google sind aktuell keine Meldungen bekannt, in denen Angreifer die geschlossenen Lücken aktiv ausgenutzt hätten. Insofern ist ein baldiges Update auf das Sicherheitspatchlevel vom 5. Juni sehr zu empfehlen - sofern der Smartphone-Hersteller überhaupt ein Update bereitstellt.

Update bereits verfügbar

Verteilt wird das Sicherheitspatchlevel vom 5. Juni aktuell für die Google-Modelle Pixel, Pixel XL, Pixel C, , Nexus 6P, Nexus 5X, Nexus 6 und den Nexus Player. Neben Google haben auch BlackBerry und Samsung entsprechende Updates angekündigt, mit Fehlerkorrekturen für die eigenen Android-Anpassungen und Apps.

So hat BlackBerry dem eigenen Security Bulletin zufolge 43 der Lücken geschlossen, die auf den eigenen Geräten von Relevanz sind. Diese sollten im Laufe der kommenden Wochen für die Modelle Priv, DTEK50, DTEK60 und das neue BlackBerry KEYone zum Download bereitstehen.

Samsung wiederum hat laut eigenen Angaben über 96 der bekannten Sicherheitslücken mit dem neusten Update geschlossen, sowie 23 Lücken in den eigenen Android-Implementationen. Das Update soll in den kommenden Wochen für ausgewählte Modelle der Modell-Reihen Galaxy A, Galaxy S und Galaxy Note zur Verfügung stehen. Zu beachten ist, dass Samsung lediglich das Patchlevel vom 1. Juni verteilt und die restlichen geschlossenen Sicherheitslücken erst mit dem kommenden Juli-Update.

Bei Samsung zeigt sich einmal mehr der Nachteil von Android und wichtigen Updates. Mit dem kommenden Android O könnte sich dahingehend jedoch einiges grundlegend ändern, auch wenn es nur Geräte mit vorinstalliertem Android O betreffen wird.

Teilen (5)

Mehr zum Thema Google Android