Juni-Patchday: Google schließt wieder zahlreiche kritische Lücken in Android
40 Schwachstellen, von denen Google 8 als kritisch einstuft, befinden sich in Android 4.4.4 bis 6.0.1. Aber auch viele Gerätetreiber von Qualcomm, Broadcom, Nvidia und MediaTek sind fehlerhaft.
Das Android Security Bulletin für Juni 2016, das Google jetzt veröffentlicht hat, widmet sich diesmal 40 Schwachstellen. Acht davon werden als kritisch bewertet, von 28 geht geht ein hohes Risiko aus. Im konkreten Fall sind Smartphones und Tablets mit Android 4.4.4, 5.0.2, 5.1.1, 6.0 und 6.0.1 betroffen. Google schließt die Lücken in seinen aktuellen Nexus-Geräten per Over-the-Air-Update. Auf der Entwickler-Seite bietet der Hersteller aber auch neue Firmware-Images für Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) und Nexus 9 sowie Nexus Player und Pixel C zum Download.
Eine Anfälligkeit in der Komponente Mediaserver erlaubt beispielsweise das Einschleusen und Ausführen von Schadcode aus der Ferne. Die Schwachstelle tritt bei der Verarbeitung von Mediendateien sowie Audio- und Videostreams auf und kann auch durch speziell präparierte MMS oder Websites ausgenutzt werden. Das gilt auch für eine Schwachstelle in der Bibliothek libwebm.
Von den kritischen Fehlern in GPU-, WLAN- und Sound-Treibern von Qualcomm sowie im Broadcom-WLAN-Treiber sind natürlich nur Geräte betroffen, in denen auch Chips dieser Hersteller verbaut sind. Gefährliche Anwendungen können die Schwachstellen für die Installation beliebigen Codes mit Kernel-Rechten nutzen. Darüber eingeschleuste Malware lässt sich laut Google unter Umständen nur durch erneutes Flashen des Betriebssystem entfernen.
Alleine zwölf Schwachstellen mit einem hohen Risiko befinden sich in der Komponente Mediaserver. Die Entwickler haben zudem weitere Fehler in Treibern von Qualcomm, Nvidia, Broadcom und MediaTek entfernt. Weitere Anfälligkeiten im Mediaserver könnten es Apps erlauben, auf persönliche Daten zuzugreifen, für die sie keine Berechtigung besitzen, oder einen Neustart des Geräts auszulösen. Dies kann auch für Denial-of-Service-Angriffe, die ein Gerät möglicherweise unbrauchbar machen, genutzt werden.
Eine aktuelle Sicherheitsmeldung hat auch Samsung veröffentlicht und Updates für seine Flaggschiff-Modelle angekündigt, die die von Google gemeldeten Schwachstellen beseitigen. Samsung schließt darüber hinaus neun Lücken, die nur die eigenen Geräte betreffen. Nutzer von Galaxy S7, S7 Edge, S6 Edge+, S6 Edge, S6, S6 Active, S5 Active sowie Note 5, Note 4, Note Edge und Galaxy A5x sollten die Patches in Kürze Over the Air bekommen. LG und Blackberry haben darüber hinaus zugesagt, ihre Android-Produkte regelmäßig mit Updates zu versorgen.
Seit Mai ermitteln in den USA die Handelsbehörde Federal Trade Commission und die Regulierungsbehörde Federal Communications Commission gegen die Smartphonehersteller Apple, Blackberry, Google, HTC, LG, Microsoft, Motorola und Samsung. Ziel der Ermittlungen ist es, mehr über die Sicherheit mobiler Geräte erfahren und über die Gründe, warum bestimmte Geräte Sicherheitsupdates erhalten, andere jedoch nicht.
[Mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de