Android Patchday: Google schließt 57 Sicherheitslücken
Google hat die Februar-Patches für Android und der eigenen Nexus- beziehungsweise Pixel-Reihe veröffentlicht, mit denen insgesamt 57 Schwachstellen behoben werden. Darunter befinden sich weitere Probleme mit Treibern von Qualcomm, welche von Google als kritisch eingestuft werden.
Erneut Probleme im Media-Framework
Darüber hinaus erlauben es kritische Lücken im Media-Framework das Einschleusen und Ausführen von Schadcode von außerhalb in einem privilegierten Prozess, mit welchen auch Sicherheitsfunktionen wie Secure Boot umgangen werden können oder das Gerät dauerhaft übernommen werden kann. Laut Google sind von der Lücke alle Android-Versionen von 5.1.1 Lollipop bis zum aktuellen 8.1 Oreo betroffen. Hat der Schädling erst einmal ein System infiltriert, kann dieser nur durch ein komplettes Neuaufspielen des Betriebssystem entfernt werden.
Probleme auch bei Qualcomm und Nvidia
Eine große Anzahl von Lücken betreffen Treiber von Qualcomm, aber auch Nvidia ist mit zwei Sicherheitsproblemen vertreten, mit denen sich Angreifer ebenfalls höhere Rechte verschaffen können. Weitere Schwachstellen finden sich im Bootloader von HTC-Geräten sowie im Kernel.
Verbesserungen bei Pixel-2-Modellen
Zudem nutzt Google die Möglichkeit, um unterstützte Pixel- und Nexus-Modelle mit Verbesserungen zu versorgen. So sollen sich durch das Update die Sprachqualität bei Bluetooth-Headsets und die WLAN-Qualität verbessern. Beim Pixel 2 und beim Pixel 2 XL soll die Aktualisierung, durch das freischalten des Pixel Visual Core, für bessere Bilder bei schwierigen Lichtverhältnissen sorgen. Bei letzterem soll sich zudem der Stromverbrauch verringern, was mit einer längeren Akkulaufzeit einhergehen soll.
Resonanz bei Herstellern gewohnt gering
Google gibt zudem an, Hersteller vor rund einem Monat über die bevorstehenden Lücken und Updates informiert zu haben, welche die Patches aus dem Android Open Source Project (AOSP) beziehen können. Die Reaktionen darauf fallen jedoch wie üblich gering aus. So haben bisher lediglich Samsung und LG Updates angekündigt, welche jedoch nur die Sicherheitspatch-Ebenen 1. Februar 2018 beinhalten. Samsung integriert zudem die Patches vom 5. Januar 2018.
Samsung und LG kündigen Updates an
Laut dem koreanischem Unternehmen sollen mit dem Update insgesamt 236 Sicherheitslücken geschlossen worden sein, 13 weitere in den eigenen Applikationen. Darunter fällt auch die E-Mail-App, in welcher Angreifer mit einer manipulierten Nachricht JavaScript ausführen und eine beliebige lokal abgelegte Datei nachladen konnten. Darüber hinaus bestand bisher die Möglichkeit, ohne Wissen des Nutzers eine zufällige APK-Datei einem sicheren Ordner zu installieren oder durch ein manipuliertes Bild im BMP-Format über die Galerie Schadcode einzufügen.
Bei LG sollen laut eigenen Angaben 25 Bereinigungen für Android und zwei für die eigene Software bereitgestellt werden. Diese sollen unter anderem ein Umgehen des Lockscreen verhindern.
Patches nur für eine geringe Anzahl von Modellen
Beide Hersteller beschränken sich bei den Updates jedoch lediglich auf eine handverlesene Anzahl von Geräten, die Updates sollen entsprechende Nutzer in den nächsten Tagen per OTA-Aktualisierung erreichen. Dabei erfolgt die Verteilung wie gewohnt in zwei Schritten: In dem zunächst veröffentlichten Patch werden lediglich kritische Lücken im eigenen Framework beseitigt, während der zweite Patch sich auch der Treiberprobleme annimmt. Somit werden alle aufgeführten Lücken erst mit dem Update vom 5. Februar beseitigt sein.
Google stellt zusätzlich für eigene unterstützte Geräte neben den Patches fehlerbereinigte Firmware-Images bereit.