Android-Sicherheitsupdates: Immer Ärger mit Stagefright
Google wird die Stagefright-Probleme nicht los. Auch das März-Update patcht mehrere kritische Lücken, die in den Multimedia-Diensten der Android-Geräte stecken. Updates für Nexus-Smartphones und -Tablets werden bereits verteilt.
- Fabian A. Scherschel
Google hat seine monatlichen Sicherheitsupdates für Android herausgegeben. Dass die regelmäßigen OTA-Updates nach der verheerenden Serie von Bugs in der Media-Bibliothek Stagefright eingeführt wurden, ist sicherlich kein Zufall. Und auch jetzt, über ein halbes Jahr nach der ersten dieser Lücken, patchen die Android-Entwickler immer wieder Stagefright-Bugs. Das März-Update schließt insgesamt 16 Sicherheitslücken, fünf davon befinden sich in der Stagefright-Bibliothek oder anderen Teilen des Media-Frameworks.
Insgesamt haben sechs der Sicherheitslücken die Einschätzung "kritisch" erhalten – unter anderem ein Mediaserver-Bug und eine Lücke im VP8- und VP9-Encoder libvpx. Die meisten erlauben es Angreifern, Schadcode auf das Gerät zu laden und auszuführen. Neben Stagefright-Bugs fixt Google auch den Root-Exploit im Schlüsselbund von Android und Linux (CVE-2016-0728), den Ende Januar bekannt wurde.
Erste Updates werden verteilt
Für acht weitere Lücken gilt das Risiko als "hoch". Bei ihnen handelt es sich um ein Rechteausweitungs-Problem im Kernel und mehrere Lücken, die ausgenutzt werden können, um System-Informationen über App-Grenzen heraus und aus dem Netz auszulesen. Ein Sicherheitsupdate für Googles Nexus-Geräte wird bereits über deren eingebaute Update-Funktion verteilt. Kunden von anderen Herstellern müssen wie immer warten, bis diese die Patches selbst einpflegen. BlackBerry hat die Patches für seine Android-Geräte der Priv-Serie bereits verteilt. (fab)
