Android: Google-Sicherheitspatch vom September stopft erneute Stagefright-Lücke

Nachdem in Googles monatlichen Sicherheitspatches für Android eine Zeitlang nicht mehr von letztjährigen Bösewicht Stagefright die Rede war, taucht er im September-Update wieder auf: Die Sicherheitsforscher von Googles eigenem Project Zero haben eine neue Möglichkeit gefunden, über den Android-Mediaserver eine Lücke auszunutzen, und zwar diesmal in der Bibliothek libutils (CVE-2016-3861 und -3862). Den Fix liefern sie gleich mit, Google verteilt ihn an die eigenen Nexus-Geräte und an die Hersteller anderer Android-Geräte.

Diesmal besteht das Update aus drei Stufen: Seit Juli verteilt Google es zweistufig, wobei die erste Stufe von den Herstellern schnell zu implementieren ist und die zweite etwas mehr Zeit benötigt, etwa weil sie Bugfixes in Treibern oder in von Herstellern häufig geänderten Code-Abschnitten enthält. Die dritte Stufe enthält nun die Fixes für zwei Bugs, die Hersteller an Google zurück gemeldet haben, nachdem sie die ersten beiden Security-Updates erhalten haben.

Glücksspiel Update

Ob und wann die Sicherheits-Updates die Geräte anderer Hersteller erreichen, ist unklar. Einige wie Blackberry spielen sie sehr schnell aus, auch Samsung hat beispielsweise fürs zwei Jahre alte Note 4 schon zumindest die erste der drei Stufen ausgeliefert und damit die neuen Stagefright-Lücke geschlossen.

Eine Möglichkeit, diese Updates direkt ohne Mitarbeit der Hersteller oder manchmal sogar Provider einzuspielen, besteht derzeit nicht, auch Android 7 löst das Problem nicht. Google versucht zwar, immer mehr Dienste in eigene Apps oder in Libraries auszulagern, die per Play Store schnell Updates erhalten, aber tiefer sitzende Bugs erfordern weiterhin Firmware-Updates der Hersteller. (jow)