Google schließt zwei gravierende Sicherheitslücken in Android
Angreifer können darüber Schadcode einschleusen und ausführen. Insgesamt behebt Google mit seiner nun regelmäßigen Auslieferung von Patches im November Fixes für sieben Schwachstellen. Allerdings stehen sie zunächst nur für Geräte der Nexus-Reihe mit Android 5.1 und Android 6.0 zur Verfügung.
Im Rahmen seiner nun regelmäßig bereitgestellten Sicherheits-Updates hat Google im November Patches für insgesamt sieben Sicherheitslücken in Android zur Verfügung gestellt. Zwei davon, die die Kennungen CVE-2015-6608 und CVE-2015-6609 tragen, stuft das Unternehmen als kritisch ein, da sie es Angreifern erlauben, Schadcode einzuschleusen und auszuführen.
Die Schwachstelle CVE-2015-6609 betrifft sämtliche Android-Versionen. Das Sicherheits-Update in Form von aktualisierten Factory-Images steht dennoch nur für Googles Nexus-Geräte mit Android 5.1 und Android 6.0 zur Verfügung. Die OTA-Updates sollen in den kommenden Tagen an diese Geräte ausgeliefert werden. Partner hat Google bereits Anfang Oktober über die Schwachstellen informiert. Den Quellcode der Patches will es innerhalb der nächsten 48 Stunden für das Android Open Source Project (AOSP) freigeben.
Eine der als kritisch eingestuften Sicherheitslücken steckt in der Komponente Mediaserver und tritt bei der Verarbeitung von Mediendateien auf. Sie lässt sich mittels präparierter Websites, E-Mails und MMS-Nachrichten ausnutzen. Die andere gravierende Lücke hat Google aus der Stagefright-Komponente libutils entfernt.
Die vier der restlichen fünf Sicherheitslücken stuft Google immerhin noch als “hoch” ein. Sie finden sich in libstagefright, libmedia, Bluetooth und der Telefon-App und erlauben die unautorisierte Ausweitung von Nutzerrechten. Ein weiterer Fehler in der Mediaserver-Komponente ermöglicht es Unbefugten, persönliche Informationen auszulesen.
Besitzer von Nexus-Geräten können in den Einstellungen unter dem Punkt “über das Telefon/Tablet” überprüfen, ob ihr Gerät die Patches erhalten hat. Dort sollte bei Android 5 mindestens “Build LMY48X” und bei Android 6 mindestens die Android-Sicherheitspatch-Ebene “1 November 2015” angezeigt werden.
Als Folge der Diskussionen um die Stagefright-Lücke haben sich neben Google auch LG und Samsung verpflichtet, einmal im Monat Sicherheits-Updates bereitzustellen. Samsung schränkte die Zusage allerdings auf wenige Modelle ein. HTC weist das Versprechen gar als unrealistisch zurück, vor allem, wenn die Verteilung nicht über den Gerätehersteller, sondern die Mobilfunkanbieter erfolgen solle.
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de