Android: Dezember-Update schließt 40 Sicherheitslücken

Nicolas La Rocco 52 Kommentare
Android: Dezember-Update schließt 40 Sicherheitslücken
Bild: Google

Google hat ein neues Android Security Bulletin für Dezember veröffentlicht. Es schließt in zwei Patchlevels insgesamt 40 Sicherheitslücken. Aktuelle Android-Geräte direkt von Google werden bereits mit den Updates versorgt, und OEMs sind ebenfalls informiert.

Seit mehreren Monaten veröffentlicht Google zweistufige Android Security Bulletins mit unterschiedlichen Patchlevels. Diese Methode der Veröffentlichung hat zum Ziel, eine Untermenge der Updates, die besonders viele Geräte betreffen, früher den OEMs mitzuteilen, damit diese zeitnahe Updates veröffentlichen können.

Viele Sicherheitslücken durch fehlerhafte Treiber

Das erste Patchlevel mit der Bezeichnung „2016-12-01“ schließt elf Sicherheitslücken, von denen fünf ein hohes und sechs ein moderates Sicherheitsrisiko darstellen.

Eine Stufe darüber rangiert das Patchlevel „2016-12-05“, das alle Lücken des ersten Patchlevels schließt und darüber hinaus noch 29 weitere Sicherheitsrisiken angeht, die insgesamt betrachtet aber weniger nicht-Google-Geräte betreffen.

Patchlevel „2016-12-05“ schließt 6 als kritisch, 13 als hoch und 6 als moderat eingestufte Sicherheitslücken. Die kritischen Lücken sind mehreren Treibern von Nvidia, ION und Qualcomm zugeordnet. Zu den als hoch eingestuften Sicherheitsrisiken zählen ebenfalls Treiber der genannten Hersteller, aber auch MediaTek, Broadcom, HTC und Synaptics sind betroffen. Für sich alleine betrachtet ergeben sich daraus zwar zahlreiche Sicherheitslücken für quasi alle aktuellen Nexus- und Pixel-Geräte. Da Google diese Geräte aber ohnehin sofort selbst mit Updates versorgt, werden die Patches erst im zweiten Level geführt, das für andere Hersteller weniger relevant ist.

OTA-Updates und neue Factory Images

Für Dritthersteller kann das Update als Patchlevel „2016-12-01“ oder „2016-12-05“ auf ein Gerät kommen, je nachdem, für welchen Weg sich der Hersteller entscheidet. Google-Geräte werden hingegen ausschließlich mit dem vollständigen Patchlevel vom 5. Dezember versorgt. Neben den ab sofort verteilten OTA-Updates stehen auch neue Factory Images zum Download bereit. Außerdem ist das vollständige Patchlevel bereits in alle Updates auf das neue Android 7.1.1 integriert.

Nexus 5 ist seit November vogelfrei

Vorsicht gilt beim Nexus 5: Das für Google gebaute LG-Smartphone wird seit November 2016 nicht mehr mit Sicherheitsupdates versorgt. Das Nexus 9 ist somit das älteste Nexus, das von Google noch auf dem aktuellen Stand gehalten wird.