/Android-Patchday: Google kriegt den Media Player einfach nicht abgesichert

Android-Patchday: Google kriegt den Media Player einfach nicht abgesichert

Alert!

Android-Patchday: Google kriegt den Media Player einfach nicht abgesichert


Dennis Schirrmacher

(Bild: claudia.rahanmetan, CC BY 2.0 )

Google stopft mehr als ein Dutzend als kritisch eingestufte Sicherheitslücken. Updates stehen für verschiedene Nexus- und Pixel-Geräte bereit.

Viele Android-Geräte von Google sind durch Sicherheitslücken gefährdet. Jüngst veröffentlichte Sicherheitsupdates stopfen unter anderem 13 als kritisch geltende Schwachstellen.

Nutzer von Nexus- und Pixel-Smartphones und -Tablets sollten prüfen, ob sie eine Android-Version mit dem aktuellen Security Patch Level 2017-09-05 installiert haben. Fehlerbereinigte Ausgaben stehen ab Android 4.4.4 (KitKat) bis zur aktuellen Version 8.0 (Oreo) bereit.

Android-Patchday

Android-Patchday

Neben Google veröffentlichen lediglich BlackBerry, LG und Samsung monatlich Sicherheitspatches – allerdings nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht. Letzteres ist leider die Regel.

Bei Bedarf kann man auch ein OTA-Image herunterladen. Die Geräte Pixel und Pixel XL erhalten Google zufolge noch bis zum Oktober 2019 Sicherheitspatches. Bei vielen Nexus-Geräten ist der Support bereits ausgelaufen.

Andere Hersteller von Android-Geräten hat Google eigenen Angaben zufolge vor einem Monat über die Lücken informiert. Die Hersteller können sich die Patches aus dem Android Open Source Project (AOSP) ziehen.

RCE und DoS

Die meisten kritischen Lücken klaffen abermals im Media Framework von Android – damit schlägt sich Google schon seit 2015 herum. Ein Opfer muss sich nur ein manipuliertes Video anschauen, damit Angreifer eigenen Code ausführen und ganze Geräte übernehmen können. Außerdem sind DoS-Angriffe vorstellbar und Angreifer könnten sich höhere Nutzerrechte aneignen.

Weitere Schwachstellen klaffen in diversen Komponenten von etwa Broadcom und MediaTek. Zudem schießen die Updates eine kritische und mehrere mit dem Bedrohungsgrad hoch eingestufte Lücken in Kernel-Komponenten von Android. Auch hier führt ein Ausnutzen im schlimmsten Fall zu Remote Code Execution.


(des)