Android: Google schließt zwölf Sicherheitslücken
Mit dem ab sofort verfügbaren Januar-Sicherheitsupdate schließt Google 12 Sicherheitslücken in verschiedenen Android-Versionen, von denen das Unternehmen fünf als besonders kritisch einstuft. Zudem stehen für unterstützte Geräte der Nexus-Reihe aktualisierte Factory-Images bereit.
Bereinigt wurde unter anderem eine schwere Schwachstelle den Mediaserver in den Android-Versionen 5.0, 5.1.1, 6.0 und 6.0.1 betreffend. Über diese kann mit einer präparierten Mediendatei ein Speicherfehler verursacht werden, welcher wiederum für das Einschleusen und Ausführen von Fremdcode ausgenutzt werden kann. Nutzer sollten daher von unbekannten Dateien, welche sie per E-Mail, MMS oder anderen Diensten erhalten, Abstand nehmen. Laut Google gäbe es jedoch keinerlei Hinweise darauf, dass die genannte Lücke bisher ausgenutzt wurde.
Drei weitere schwerwiegende Lücken betreffen sowohl den SD-Treiber von MediaTek sowie Treiber von Imagination Technologies wie auch den Android-Kernel selbst. Diese ermöglichen es Code innerhalb des Kernels auszuführen, was eine Manipulation der Benutzerrechte zur Folge haben kann. Sollte es hierbei zu einem Befall von Schadsoftware kommen, kann diese laut Google lediglich durch ein erneutes Flashen des gesamten Betriebssystems entfernt werden. Dies trifft zudem ebenfalls auf einen gefundenen Fehler in der TrustZone-Technologie im Mikroprozessordesign der Cortex-A- und Cortex-M-Reihe von ARM zu.
Behobene Sicherheitslücken in Android 5.0, 5.1.1, 6.0 sowie 6.0.1 im Überblick | ||
---|---|---|
Remote Code Execution Vulnerability in Mediaserver | CVE-2015-6636 | Critical |
Elevation of Privilege Vulnerability in misc-sd driver | CVE-2015-6637 | Critical |
Elevation of Privilege Vulnerability in the Imagination Technologies driver | CVE-2015-6638 | Critical |
Elevation of Privilege Vulnerabilities in Trustzone | CVE-2015-6639 | Critical |
Elevation of Privilege Vulnerability in Kernel | CVE-2015-6640 | Critical |
Elevation of Privilege Vulnerability in Bluetooth | CVE-2015-6641 | High |
Information Disclosure Vulnerability in Kernel | CVE-2015-6642 | High |
Elevation of Privilege Vulnerability in Setup Wizard | CVE-2015-6643 | Moderate |
Elevation of Privilege Vulnerability in Wi-Fi | CVE-2015-5310 | Moderate |
Information Disclosure Vulnerability in Bouncy Castle | CVE-2015-6644 | Moderate |
Denial of Service Vulnerability in SyncManager | CVE-2015-6645 | Moderate |
Attack Surface Reduction for Nexus Kernels | CVE-2015-6646 | Moderate |
In den Bereichen Bluetooth, Setup Wizard, WLAN, SyncManager und Bouncy Castle war es Angreifern dagegen möglich, WLAN-Daten einzusehen, Kontaktdaten und andere persönliche Informationen auszuspähen, Einstellungen zu verändern oder das Gerät aus der Ferne zurückzusetzen. Darüber hinaus konnte eine Reboot-Schleife ausgelöst werden, mit welcher das jeweilige Gerät unbrauchbar gemacht werden konnte. Diese von Google als schwer bis moderat eingestuften Sicherheitslücken werden mit dem neuen Update ebenfalls geschlossen.
Google wird das Update in den kommenden Tagen per Over-The-Air-Aktualisierung verteilen, erfahrungsgemäß kann es somit etwas dauern, bis jeder Nutzer eine Benachrichtigung zum Einspielen erhalten hat. Darüber hinaus stellt das Unternehmen auf der entsprechenden Webseite aktualisierte Factory-Images für unterstützte Nexus-Modelle zum manuellen Aufspielen bereit. Nutzer, welche nicht sicher sind ob ihr Gerät für die genannten Lücken anfällig ist, können dies über den Einstellungspunkt „Über das Telefon“ beziehungsweise „Über das Tablet“ herausfinden: Verfügt ein Android-5-Device mindestens über das Build LMY49F beziehungsweise bei Android 6 mindestens über die Sicherheitspatch-Ebene 1. Januar 2016, ist es bereits ausreichend geschützt.
Wann andere Hersteller nachziehen werden ist bisher nicht bekannt. Google gibt aber an, seine Partner bereits am 7. Dezember des vergangenen Jahres oder früher informiert zu haben. Darüber hinaus werden die Entwickler in den nächsten Stunden den aktualisierten Code für das Android Open Source Project (AOSP) zur Verfügung stellen.