April-Patch: Google schließt acht kritische Android-Lücken
Mit der vierten in diesem Jahr veröffentlichten Sicherheitsaktualisierung behebt Google in Android insgesamt 29 Sicherheitsprobleme, von denen acht als besonders kritisch eingestuft werden. Geschlossen wurde zudem eine weitere Stagefright-Lücke.
Weitere 13 Probleme stuft Google als hoch ein. Mit dem neuen Patch wurde von den Entwicklern unter anderem ein schwerwiegendes Sicherheitsproblem am Linux-Kernel geschlossen, mit welchem Angreifer Root-Rechte auf dem jeweiligen Android-Gerät hätten erlangen können. Zu weiteren Schwachstellen gehörten das Bluetooth-Modul, der Downloadmanager sowie diverse Prozessor-Treiber.
Sicherheitslücke | CVE | Einstufung |
---|---|---|
Remote Code Execution Vulnerability in DHCPCD | CVE-2016-1503 CVE-2014-6060 |
Kritisch |
Remote Code Execution Vulnerability in Media Codec | CVE-2016-0834 | Kritisch |
Remote Code Execution Vulnerability in Mediaserver | CVE-2016-0835 CVE-2016-0836 CVE-2016-0837 CVE-2016-0838 CVE-2016-0839 CVE-2016-0840 CVE-2016-0841 |
Kritisch |
Remote Code Execution Vulnerability in libstagefright | CVE-2016-0842 | Kritisch |
Elevation of Privilege Vulnerability in Kernel | CVE-2015-1805 | Kritisch |
Elevation of Privilege Vulnerability in Qualcomm Performance Module | CVE-2016-0843 | Kritisch |
Elevation of Privilege Vulnerability in Qualcomm RF Component | CVE-2016-0844 | Kritisch |
Elevation of Privilege Vulnerability in Kernel | CVE-2014-9322 | Kritisch |
Elevation of Privilege Vulnerability in IMemory Native Interface | CVE-2016-0846 | Hoch |
Elevation of Privilege Vulnerability in Telecom Component | CVE-2016-0847 | Hoch |
Elevation of Privilege Vulnerability in Download Manager | CVE-2016-0848 | Hoch |
Elevation of Privilege Vulnerability in Recovery Procedure | CVE-2016-0849 | Hoch |
Elevation of Privilege Vulnerability in Bluetooth | CVE-2016-0850 | Hoch |
Elevation of Privilege Vulnerability in Texas Instruments Haptic Driver | CVE-2016-2409 | Hoch |
Elevation of Privilege Vulnerability in a Video Kernel Driver | CVE-2016-2410 | Hoch |
Elevation of Privilege Vulnerability in Qualcomm Power Management Component | CVE-2016-2411 | Hoch |
Elevation of Privilege Vulnerability in System_server | CVE-2016-2412 | Hoch |
Elevation of Privilege Vulnerability in Mediaserver | CVE-2016-2413 | Hoch |
Denial of Service Vulnerability in Minikin | CVE-2016-2414 | Hoch |
Information Disclosure Vulnerability in Exchange ActiveSync | CVE-2016-2415 | Hoch |
Information Disclosure Vulnerability in Mediaserver | CVE-2016-2416 CVE-2016-2417 CVE-2016-2418 CVE-2016-2419 |
Hoch |
Elevation of Privilege Vulnerability in Debuggerd Component | CVE-2016-2420 | Mittel |
Elevation of Privilege Vulnerability in Setup Wizard | CVE-2016-2421 | Mittel |
Elevation of Privilege Vulnerability in Wi-Fi | CVE-2016-2422 | Mittel |
Elevation of Privilege Vulnerability in Telephony | CVE-2016-2423 | Mittel |
Denial of Service Vulnerability in SyncStorageEngine | CVE-2016-2424 | Mittel |
Information Disclosure Vulnerability in AOSP Mail | CVE-2016-2425 | Mittel |
Information Disclosure Vulnerability in Framework | CVE-2016-2426 | Mittel |
Information Disclosure Vulnerability in BouncyCastle | CVE-2016-2427 | Mittel |
Wie gewohnt hat Google bereits die Factory-Images für die unterstützten Nexus-Modelle zum Download freigegeben, wobei die Updates für den Nexus Player, das Nexus 9 WiFi sowie die 2013er Ausgabe des Nexus 7 WiFi kurzfristig wieder zurück gezogen wurden. Wer nicht manuell aktualisieren will erhält den Sicherheitspatch in den nächsten Tagen als OTA-Update.
Google gibt zudem an, Partner bis zum 16. März über die Fehlerbehebungen informiert zu haben, der neue Quellcode soll im Laufe der nächsten 48 Stunden im Android Open Source Projekt (AOSP) veröffentlicht werden. Für das Tastatur-Smartphone Priv von BlackBerry ist das Update bereits erschienen. Aussagen darüber, wann andere Hersteller die Aktualisierung in ihre Software einpflegen werden, können derzeit jedoch nicht getroffen werden.