Android Patchday: Google beseitigt 62 teils kritische Sicherheitslücken
Google behebt mit zwei Sicherheitspatches für den April 2018 insgesamt 62 Sicherheitsprobleme, deren Gefahrenpotenzial bei den meisten als hoch bis kritisch eingestuft wird. In der Hoffnung, dass kritische Lücken schnell geschlossen werden, teilt Google den Patch auch dieses Mal in zwei Pakete auf.
Zwei Patches gegen Sicherheitslücken in Android
So behebt Google für die Patch-Ebene 1. April 2018 (2018-04-01) 19 sicherheitsrelevante Lücken, von denen alleine 5 das Media-Framework betreffen. 7 der Lücken werden vom Hersteller als kritisch eingestuft, bei den restlichen 12 sieht Google zumindest ein hohes Gefahrenpotenzial. Betroffen sind alle Android-Geräte mit den OS-Versionen von Android 6 Marshmallow, Android 7 Nougat und Android 8 Oreo.
Über einige dieser Lücken können Angreifer von Außerhalb Schadcode einschleusen sowie ausführen, und somit die Kontrolle über das jeweilige Android-Gerät erhalten. Ebenso bestehen Gefahren für eine unautorisierte Ausweitung von Benutzerrechten oder dem Diebstahl von privaten Daten.
Mit der Patch-Ebene 5. April (2018-04-05) hat Google darüber hinaus drei Lücken im Kernel sowie eine Lücke in Komponenten von Broadcom und fünf in Komponenten von Qualcomm geschlossen. Weil sie OEMs potentiell mehr Aufwand verursachen und nicht alle Geräte betreffen, wurden sie in den zweiten Patch ausgelagert, um die Verteilung der Patch Ebene mit Datum 1. April zu beschleunigen. Die Patch-Ebene 5. April enthält auch die Patch-Ebene 1. April. Insgesamt werden 62 Lücken angegangen.
290 Updates für Qualcomm-Komponenten
Die Patch-Ebene 5. April enthält darüber hinaus ein kumulatives Update für Qualcomm-Komponenten, das über 200 zwischen 2014 und 2016 von Qualcomm bereits adressierte Patches umfasst. Viele betroffene Geräte sollten gegen diese Lücken bereits in der Vergangenheit abgesichert worden sein, erstmals wurden sie jetzt aber einer Patch-Ebene zugeordnet und breit ausgerollt.
Beide Updates hat Google seinen Partnern über das Android Open Source Project (AOSP) zeitnah zur Verfügung gestellt.
45 weitere Lücken in Nexus- und Pixel-Geräten
Für einige der eigenen Pixel- und Nexus-Geräte stellt Google ebenfalls Updates beziehungsweise fehlerbereinigte Firmware-Images bereit. Darunter fallen das Pixel (XL), das Pixel 2 (XL) sowie das Nexus 5x und das Nexus 6P. In den Korrekturen wurden unter anderem 45 Fehler beseitigt, allein 23 davon betreffen erneut Komponenten von Qualcomm.
Daneben hat Google auch 56 funktionale Updates integriert, welche neben Verbesserungen auch die Performance steigern sollen.
Unverändertes Bild bei den Herstellern
Wie in der Vergangenheit halten sich zahlreiche Hersteller bezüglich der Bekanntgabe von Updates auch dieses Mal sehr bedeckt. Wie in den letzten Monaten haben erneut lediglich Samsung und LG Updates angekündigt. Wie gewohnt beinhalten diese lediglich die aktuelle Patch-Ebene 1. April sowie die Patch-Ebene 5. März des vorangegangenen Monats.
Mit dem Security Maintenance Release (SMR) 1. April 2018 veröffentlicht Samsung die von Google bereitgestellten Fehlerbehebungen zuzüglich eigener Bereinigungen. So wurde unter anderem eine Sicherheitslücke geschlossen, welche es erlaubte, NFC mit einem nah an das Gerät herangehaltenen Magneten zu aktivieren und somit den Lockscreen umgehen zu können.
Galaxy S6 fällt aus dem Support
Neben Note 5 und Note 8 sowie der A-Serie bestehend aus dem A5 von 2016 und 2017 sowie dem A8 (2017) versorgt Samsung alle Modelle der Galaxy-S-Reihe ab dem S7 sowie dem S6 edge+ und dem S6 Active mit monatlichen Updates. Für Nutzer des Galaxy S6 (Edge) ist es dagegen ungewiss, ob Samsung das ehemalige Flaggschiff noch mit dem aktuellen Patch versorgen wird – nach einem Support-Zeitraum von drei Jahren hat der Hersteller dieses nun offiziell von der Liste der regelmäßig mit Updates versorgten Geräte gestrichen. Die beiden letzten noch verbliebenen S6-Modellen könne in der nächsten Zeit das gleiche Schicksal ereilen, beide wurden nur wenige Monate nach dem S6 veröffentlicht.