Für das mobile Betriebssystem Android wurden die März-Updates angekündigt. Insgesamt veröffentlicht Google Fixes für insgesamt 107 Anfälligkeiten, von denen die Entwickler 35 als kritisch bewerten. Unter Umständen können Angreifer über diese aus der Ferne beliebigen Schadcode einschleusen der mit den Rechten eines privilegierten Prozesses ausführt werden kann.

Eine dauerhafte Kompromittierung eines Smartphones oder Tablets kann auch nicht ausgeschlossen werden. Die einzige Möglichkeit dieses Problem anschließend zu beseitigen, ist das Betriebssystem komplett neu zu Flashen. Bei diesem Vorgang würden alle ungesicherten Nutzerdaten verloren gehen.

Google teilte mit, dass die 107 Fixes auf zwei Patches aufgeteilt wurden. Der erste Patch beseitigt 36 Anfälligkeiten, von denen elf als kritisch eingestuft sind. Dies beinhaltet Lücken in OpenSSL, BoringSSL, Mediaserver und im Recovery Verifier. Die Fehler in den Komponenten AOSP Messaging, Audioserver, NFC und Setup Wizard haben den Schweregrad „hoch“.

Die betroffenen Android-Versionen sind 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 und 7.1.1. Spätestens am 6. Februar sind den jeweiligen Geräteherstellern die Fehler mitgeteilt worden. Einige waren allerdings schon seit August oder September 2016 bekannt.

Das zweite Update stopft die weiteren 71 Löcher mit dem Patch am 5. März. In diesem lassen sich vor allem Fixes für Hardwaretreiber von MeditaTek, Nvidia, Broadcom, Qualcomm und Synaptics für Komponenten wie Sensoren, Touchscreen, Kamera, WLAN, GPU, Verschlüsselungs-Engine und Video finden. Eine schädliche App könnte in einigen Fällen Schadcode mit Kernelrechten ausführen und so eine dauerhafte Kompromittierung eines Geräts bewirken.

(ms, hannover)

(siehe auch zdnet.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE