Nexus Security Bulletin: Neue Factory Images von Google mit Sicherheitsupdates
Google hat für Smartphones, Tablets und Media Player der Nexus-Serie neue Factory Images auf Basis von Android 6.0.1 und Android 5.1.1 veröffentlicht. Anlass dafür ist ein neues Nexus Security Bulletin, mit dem Google diesen Monat 13 Sicherheitslücken in Android schließt. Fünf dieser Lücken stuft Google als kritisch ein.
Die neuen Factory Images werden für das Nexus 5, 5X, 6, 6P, 7 (2013), 9 und 10 sowie den Nexus Player angeboten. Das im Oktober 2012 vorgestellte Nexus 10 ist damit das älteste Nexus-Produkt, das noch mit aktuellen Sicherheitsupdates versorgt wird. Es ist zudem das einzige Nexus, dessen aktualisiertes Factory Image noch auf Android 5.1.1 basiert. Die Build-Nummer hat sich von LMY49F auf LMY49G erhöht.
Das Nexus 5, 5X, 6, 6P sowie das Nexus 7 in der WLAN- und LTE-Variante machen einen kleinen Sprung auf Build-Nummer MMB29Q. Beim Nexus 9 (WLAN und LTE) wechselt die Build-Nummer von MMB29R auf MMB29S, der Nexus Player von MMB29T auf MMB29U. Neben der Möglichkeit, das Gerät mit einem Factory Image zu bespielen, kann das Update auch Over the Air (OTA) geladen werden, was üblicherweise ein paar Tage länger dauert, weil Google die Updates nicht weltweit zeitgleich ausliefert.
Mit der Veröffentlichung neuer Factory Images schließt Google insgesamt 13 Sicherheitslücken in Android. Sechs davon betreffen Android 4.4.4 und höher, zwei Android 5.0 und höher, zwei weitere Android 5.1.1 und höher sowie sechs Lücken Android 6.0 und höher. Als kritischste Sicherheitslücke wertet Google ein Problem, bei dem es Angreifern möglich gemacht werden könnte, während der Verarbeitung von Mediendateien durch multiple Methoden, wie per E-Mail, Browser und MMS, aus der Ferne Code auf dem Gerät auszuführen. Auch eine Lücke im WLAN-Treiber von Broadcom wurde wegen der Möglichkeit des Ausführens von Schadcode als kritisch eingestuft, wenn sich der Angreifer im selben Netzwerk befindet.
OEMs wurden laut Google bereits am „4. Januar oder früher“ über die Sicherheitslücken informiert. In das Android Open Source Project (AOSP) sollen die Veränderungen in den nächsten 48 Stunden nach Erstveröffentlichung der Lücken eingepflegt werden. Laut Google gebe es bisher keine Hinweise darauf, dass eine der Lücken ausgenutzt wird.