März-Patch : Google schließt sechs kritische Lücken in Android

, 26 Kommentare
März-Patch: Google schließt sechs kritische Lücken in Android
Bild: andrekheren (CC0 1.0)

Google hat das März-Update der im Juli des letzten Jahres eingeführten monatlichen Sicherheits-Patches veröffentlicht, welches sechs besonders kritische Lücken schließen soll. Für die eigene Nexus-Serie und das Pixel C hat die Verteilung des Patches bereits begonnen.

So werden bei Android-Geräten mit den Build-Nummern LMY49H oder MMB29V mit der Sicherheits-Patch-Ebene „1. März“ insgesamt 16 Sicherheitslücken geschlossen. Bei den besonders kritischen Sicherheitsproblemen handelt es sich laut Google unter anderem um die Möglichkeit zur Code-Ausführung auf einem betroffenen Gerät, bei welcher erneut dem Medienserver eine besondere Rolle zuteil wird. Darüber hinaus stuft der Hersteller weitere acht Lücken als kritisch ein.

Google hat die dazu gehörigen Factory-Images für die eigenen Geräte bereits auf seiner Entwickler-Seite zur Verfügung gestellt, zudem sollte der Patch entsprechende Nutzer in Kürze ebenfalls per OTA-Update erreichen. Darüber hinaus sollen die Fehlerbehebungen im Laufe der nächsten 48 Stunden im Android Open Source Projekt veröffentlicht werden, die Hersteller wurden zudem bereits bis spätestens 1. Februar über die Sicherheitslücken informiert.

Auflistung der behobenen Lücken:

Sicherheitslücke CVE Einstufung
Remote Code Execution Vulnerability in Mediaserver CVE-2016-0815
CVE-2016-0816
Kritisch
Remote Code Execution Vulnerabilities in libvpx CVE-2016-1621 Kritisch
Elevation of Privilege in Conscrypt CVE-2016-0818 Kritisch
Elevation of Privilege Vulnerability in the Qualcomm
Performance Component
CVE-2016-0819 Kritisch
Elevation of Privilege Vulnerability in MediaTek Wi-Fi Driver CVE-2016-0820 Kritisch
Elevation of Privilege Vulnerability in Keyring Component CVE-2016-0728 Kritisch
Mitigation Bypass Vulnerability in the Kernel CVE-2016-0821 Hoch
Elevation of Privilege in MediaTek Connectivity Driver CVE-2016-0822 Hoch
Information Disclosure Vulnerability in Kernel CVE-2016-0823 Hoch
Information Disclosure Vulnerability in libstagefright CVE-2016-0824 Hoch
Information Disclosure Vulnerability in Widevine CVE-2016-0825 Hoch
Elevation of Privilege Vulnerability in Mediaserver CVE-2016-0826
CVE-2016-0827
Hoch
Information Disclosure Vulnerability in Mediaserver CVE-2016-0828
CVE-2016-0829
Hoch
Remote Denial of Service Vulnerability in Bluetooth CVE-2016-0830 Hoch
Information Disclosure Vulnerability in Telephony CVE-2016-0831 Moderat
Elevation of Privilege Vulnerability in Setup Wizard CVE-2016-0832 Moderat

Die Hälfte der aufgeführten Lücken soll Google selbst entdeckt haben, der Rest soll dem Unternehmen zwischen November 2015 und Januar 2016 gemeldet worden sein. Hinweise darauf, dass die Lücken in Android bereits ausgenutzt wurden, gibt es laut Google nicht.