Android : Google schließt zwölf Sicherheitslücken

, 18 Kommentare
Android: Google schließt zwölf Sicherheitslücken
Bild: Rob Bulmahn (CC BY 2.0)

Mit dem ab sofort verfügbaren Januar-Sicherheitsupdate schließt Google 12 Sicherheitslücken in verschiedenen Android-Versionen, von denen das Unternehmen fünf als besonders kritisch einstuft. Zudem stehen für unterstützte Geräte der Nexus-Reihe aktualisierte Factory-Images bereit.

Bereinigt wurde unter anderem eine schwere Schwachstelle den Mediaserver in den Android-Versionen 5.0, 5.1.1, 6.0 und 6.0.1 betreffend. Über diese kann mit einer präparierten Mediendatei ein Speicherfehler verursacht werden, welcher wiederum für das Einschleusen und Ausführen von Fremdcode ausgenutzt werden kann. Nutzer sollten daher von unbekannten Dateien, welche sie per E-Mail, MMS oder anderen Diensten erhalten, Abstand nehmen. Laut Google gäbe es jedoch keinerlei Hinweise darauf, dass die genannte Lücke bisher ausgenutzt wurde.

Drei weitere schwerwiegende Lücken betreffen sowohl den SD-Treiber von MediaTek sowie Treiber von Imagination Technologies wie auch den Android-Kernel selbst. Diese ermöglichen es Code innerhalb des Kernels auszuführen, was eine Manipulation der Benutzerrechte zur Folge haben kann. Sollte es hierbei zu einem Befall von Schadsoftware kommen, kann diese laut Google lediglich durch ein erneutes Flashen des gesamten Betriebssystems entfernt werden. Dies trifft zudem ebenfalls auf einen gefundenen Fehler in der TrustZone-Technologie im Mikroprozessordesign der Cortex-A- und Cortex-M-Reihe von ARM zu.

Behobene Sicherheitslücken in Android 5.0, 5.1.1, 6.0 sowie 6.0.1 im Überblick
Remote Code Execution Vulnerability in Mediaserver CVE-2015-6636 Critical
Elevation of Privilege Vulnerability in misc-sd driver CVE-2015-6637 Critical
Elevation of Privilege Vulnerability in the Imagination Technologies driver CVE-2015-6638 Critical
Elevation of Privilege Vulnerabilities in Trustzone CVE-2015-6639 Critical
Elevation of Privilege Vulnerability in Kernel CVE-2015-6640 Critical
Elevation of Privilege Vulnerability in Bluetooth CVE-2015-6641 High
Information Disclosure Vulnerability in Kernel CVE-2015-6642 High
Elevation of Privilege Vulnerability in Setup Wizard CVE-2015-6643 Moderate
Elevation of Privilege Vulnerability in Wi-Fi CVE-2015-5310 Moderate
Information Disclosure Vulnerability in Bouncy Castle CVE-2015-6644 Moderate
Denial of Service Vulnerability in SyncManager CVE-2015-6645 Moderate
Attack Surface Reduction for Nexus Kernels CVE-2015-6646 Moderate

In den Bereichen Bluetooth, Setup Wizard, WLAN, SyncManager und Bouncy Castle war es Angreifern dagegen möglich, WLAN-Daten einzusehen, Kontaktdaten und andere persönliche Informationen auszuspähen, Einstellungen zu verändern oder das Gerät aus der Ferne zurückzusetzen. Darüber hinaus konnte eine Reboot-Schleife ausgelöst werden, mit welcher das jeweilige Gerät unbrauchbar gemacht werden konnte. Diese von Google als schwer bis moderat eingestuften Sicherheitslücken werden mit dem neuen Update ebenfalls geschlossen.

Google wird das Update in den kommenden Tagen per Over-The-Air-Aktualisierung verteilen, erfahrungsgemäß kann es somit etwas dauern, bis jeder Nutzer eine Benachrichtigung zum Einspielen erhalten hat. Darüber hinaus stellt das Unternehmen auf der entsprechenden Webseite aktualisierte Factory-Images für unterstützte Nexus-Modelle zum manuellen Aufspielen bereit. Nutzer, welche nicht sicher sind ob ihr Gerät für die genannten Lücken anfällig ist, können dies über den Einstellungspunkt „Über das Telefon“ beziehungsweise „Über das Tablet“ herausfinden: Verfügt ein Android-5-Device mindestens über das Build LMY49F beziehungsweise bei Android 6 mindestens über die Sicherheitspatch-Ebene 1. Januar 2016, ist es bereits ausreichend geschützt.

Wann andere Hersteller nachziehen werden ist bisher nicht bekannt. Google gibt aber an, seine Partner bereits am 7. Dezember des vergangenen Jahres oder früher informiert zu haben. Darüber hinaus werden die Entwickler in den nächsten Stunden den aktualisierten Code für das Android Open Source Project (AOSP) zur Verfügung stellen.