April-Patch : Google schließt acht kritische Android-Lücken

, 76 Kommentare
April-Patch: Google schließt acht kritische Android-Lücken
Bild: Mammela (CC0 1.0)

Mit der vierten in diesem Jahr veröffentlichten Sicherheitsaktualisierung behebt Google in Android insgesamt 29 Sicherheitsprobleme, von denen acht als besonders kritisch eingestuft werden. Geschlossen wurde zudem eine weitere Stagefright-Lücke.

Weitere 13 Probleme stuft Google als hoch ein. Mit dem neuen Patch wurde von den Entwicklern unter anderem ein schwerwiegendes Sicherheitsproblem am Linux-Kernel geschlossen, mit welchem Angreifer Root-Rechte auf dem jeweiligen Android-Gerät hätten erlangen können. Zu weiteren Schwachstellen gehörten das Bluetooth-Modul, der Downloadmanager sowie diverse Prozessor-Treiber.

Sicherheitslücke CVE Einstufung
Remote Code Execution Vulnerability in DHCPCD CVE-2016-1503
CVE-2014-6060
Kritisch
Remote Code Execution Vulnerability in Media Codec CVE-2016-0834 Kritisch
Remote Code Execution Vulnerability in Mediaserver CVE-2016-0835
CVE-2016-0836
CVE-2016-0837
CVE-2016-0838
CVE-2016-0839
CVE-2016-0840
CVE-2016-0841
Kritisch
Remote Code Execution Vulnerability in libstagefright CVE-2016-0842 Kritisch
Elevation of Privilege Vulnerability in Kernel CVE-2015-1805 Kritisch
Elevation of Privilege Vulnerability in Qualcomm Performance Module CVE-2016-0843 Kritisch
Elevation of Privilege Vulnerability in Qualcomm RF Component CVE-2016-0844 Kritisch
Elevation of Privilege Vulnerability in Kernel CVE-2014-9322 Kritisch
Elevation of Privilege Vulnerability in IMemory Native Interface CVE-2016-0846 Hoch
Elevation of Privilege Vulnerability in Telecom Component CVE-2016-0847 Hoch
Elevation of Privilege Vulnerability in Download Manager CVE-2016-0848 Hoch
Elevation of Privilege Vulnerability in Recovery Procedure CVE-2016-0849 Hoch
Elevation of Privilege Vulnerability in Bluetooth CVE-2016-0850 Hoch
Elevation of Privilege Vulnerability in Texas Instruments Haptic Driver CVE-2016-2409 Hoch
Elevation of Privilege Vulnerability in a Video Kernel Driver CVE-2016-2410 Hoch
Elevation of Privilege Vulnerability in Qualcomm Power Management Component CVE-2016-2411 Hoch
Elevation of Privilege Vulnerability in System_server CVE-2016-2412 Hoch
Elevation of Privilege Vulnerability in Mediaserver CVE-2016-2413 Hoch
Denial of Service Vulnerability in Minikin CVE-2016-2414 Hoch
Information Disclosure Vulnerability in Exchange ActiveSync CVE-2016-2415 Hoch
Information Disclosure Vulnerability in Mediaserver CVE-2016-2416
CVE-2016-2417
CVE-2016-2418
CVE-2016-2419
Hoch
Elevation of Privilege Vulnerability in Debuggerd Component CVE-2016-2420 Mittel
Elevation of Privilege Vulnerability in Setup Wizard CVE-2016-2421 Mittel
Elevation of Privilege Vulnerability in Wi-Fi CVE-2016-2422 Mittel
Elevation of Privilege Vulnerability in Telephony CVE-2016-2423 Mittel
Denial of Service Vulnerability in SyncStorageEngine CVE-2016-2424 Mittel
Information Disclosure Vulnerability in AOSP Mail CVE-2016-2425 Mittel
Information Disclosure Vulnerability in Framework CVE-2016-2426 Mittel
Information Disclosure Vulnerability in BouncyCastle CVE-2016-2427 Mittel

Wie gewohnt hat Google bereits die Factory-Images für die unterstützten Nexus-Modelle zum Download freigegeben, wobei die Updates für den Nexus Player, das Nexus 9 WiFi sowie die 2013er Ausgabe des Nexus 7 WiFi kurzfristig wieder zurück gezogen wurden. Wer nicht manuell aktualisieren will erhält den Sicherheitspatch in den nächsten Tagen als OTA-Update.

Google gibt zudem an, Partner bis zum 16. März über die Fehlerbehebungen informiert zu haben, der neue Quellcode soll im Laufe der nächsten 48 Stunden im Android Open Source Projekt (AOSP) veröffentlicht werden. Für das Tastatur-Smartphone Priv von BlackBerry ist das Update bereits erschienen. Aussagen darüber, wann andere Hersteller die Aktualisierung in ihre Software einpflegen werden, können derzeit jedoch nicht getroffen werden.