März-Patch: Google schließt sechs kritische Lücken in Android
Google hat das März-Update der im Juli des letzten Jahres eingeführten monatlichen Sicherheits-Patches veröffentlicht, welches sechs besonders kritische Lücken schließen soll. Für die eigene Nexus-Serie und das Pixel C hat die Verteilung des Patches bereits begonnen.
So werden bei Android-Geräten mit den Build-Nummern LMY49H oder MMB29V mit der Sicherheits-Patch-Ebene „1. März“ insgesamt 16 Sicherheitslücken geschlossen. Bei den besonders kritischen Sicherheitsproblemen handelt es sich laut Google unter anderem um die Möglichkeit zur Code-Ausführung auf einem betroffenen Gerät, bei welcher erneut dem Medienserver eine besondere Rolle zuteil wird. Darüber hinaus stuft der Hersteller weitere acht Lücken als kritisch ein.
Google hat die dazu gehörigen Factory-Images für die eigenen Geräte bereits auf seiner Entwickler-Seite zur Verfügung gestellt, zudem sollte der Patch entsprechende Nutzer in Kürze ebenfalls per OTA-Update erreichen. Darüber hinaus sollen die Fehlerbehebungen im Laufe der nächsten 48 Stunden im Android Open Source Projekt veröffentlicht werden, die Hersteller wurden zudem bereits bis spätestens 1. Februar über die Sicherheitslücken informiert.
Auflistung der behobenen Lücken:
Sicherheitslücke | CVE | Einstufung |
---|---|---|
Remote Code Execution Vulnerability in Mediaserver | CVE-2016-0815 CVE-2016-0816 |
Kritisch |
Remote Code Execution Vulnerabilities in libvpx | CVE-2016-1621 | Kritisch |
Elevation of Privilege in Conscrypt | CVE-2016-0818 | Kritisch |
Elevation of Privilege Vulnerability in the Qualcomm Performance Component |
CVE-2016-0819 | Kritisch |
Elevation of Privilege Vulnerability in MediaTek Wi-Fi Driver | CVE-2016-0820 | Kritisch |
Elevation of Privilege Vulnerability in Keyring Component | CVE-2016-0728 | Kritisch |
Mitigation Bypass Vulnerability in the Kernel | CVE-2016-0821 | Hoch |
Elevation of Privilege in MediaTek Connectivity Driver | CVE-2016-0822 | Hoch |
Information Disclosure Vulnerability in Kernel | CVE-2016-0823 | Hoch |
Information Disclosure Vulnerability in libstagefright | CVE-2016-0824 | Hoch |
Information Disclosure Vulnerability in Widevine | CVE-2016-0825 | Hoch |
Elevation of Privilege Vulnerability in Mediaserver | CVE-2016-0826 CVE-2016-0827 |
Hoch |
Information Disclosure Vulnerability in Mediaserver | CVE-2016-0828 CVE-2016-0829 |
Hoch |
Remote Denial of Service Vulnerability in Bluetooth | CVE-2016-0830 | Hoch |
Information Disclosure Vulnerability in Telephony | CVE-2016-0831 | Moderat |
Elevation of Privilege Vulnerability in Setup Wizard | CVE-2016-0832 | Moderat |
Die Hälfte der aufgeführten Lücken soll Google selbst entdeckt haben, der Rest soll dem Unternehmen zwischen November 2015 und Januar 2016 gemeldet worden sein. Hinweise darauf, dass die Lücken in Android bereits ausgenutzt wurden, gibt es laut Google nicht.