Im Januar-Patch für Android werden 94 CVE-Nummern von Googles Android Security Bulletin aufgeführt. Durch die schwerwiegendste Lücke lässt sich das Smartphone beim Browsen, im Web oder via E-Mail mit einer MMS kapern.

Es ist durchaus üblich, mehr als 50 Lücken in Googles monatlichen Patch-Paketen aufzulisten. Diesmal sind es jedoch 94. Der Sicherheitsforscher Matthew Green beklagte sich dazu auf Twitter: "Wie wird ein Betriebssystem, das (größtenteils) in einer 'sicheren' Programmiersprache geschrieben wurde, solch ein brennender Reifenstapel?".

Google stuft 10 der Schwachstellen als kritisch ein. Einige bestehen allerdings davon aus mehreren Einzellücken, die jeweils eigene CVE-Nummern haben. Eine Lücke im Mediaserver sticht dabei besonders hervor. Präparierte Multimedia-Dateien werden verwendet, um Code einzuschleusen und auszuführen (Remote Code Execution, CVE-2017-0381). Eine Code-Zeile wurde über den Patch geändert, um diese Lücke zu schließen. In der Liste der Danksagungen lassen sich überwiegend chinesische Namen entdecken.

Google hat allerdings keine Berichte vorliegen, nachdem die genannten Lücken bereits für Angriffe genutzt werden. Dies kann sich nach der Veröffentlichung allerdings schnell ändern. Das Update bekommen Google-Geräte automatisch "Over the Air" (OTA). Allerdings müssen sich Android-Nutzer gedulden, bis ihr Hersteller das passende Update veröffentlicht. Erfahrungsgemäß bekommen viele Android-Smartphones die Updates garnicht oder erst nach vielen Monaten.

Recht schnell liefern neben Google auch Blackberry, Samsung und zuletzt auch LG aus. Das Galaxy Note 4, das mittlerweile über zwei Jahre alt ist, hat den Januar-Patch bereits bekommen. Vereinzelt stellt Blackberry die Patches sogar schneller bereit als Google. Dies gilt allerdings nicht für alle Blackberry Geräte.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE