Google rüstet Nexus- und Pixel-Geräte gegen Dirty-Cow-Lücke
Am Patchday im Dezember schließt Google viele mit dem Bedrohungsgrad kritisch und hoch eingestufte Sicherheitslücken.
Besitzer von Android-Geräten der Nexus- und Pixel-Serie von Google sollten zügig das im Dezember veröffentlichte Sicherheits-Update einspielen. Das Angriffsrisiko auf sechs Lücken stuft Google als kritisch ein, 22 weitere Lücken sind mit dem Bedrohungsgrad hoch versehen.
Dreckige Kuh
Nutzt ein Angreifer die Lücken aus, kann er sich in der Regel höhere Rechte erschleichen oder im schlimmsten Fall direkt Schadcode ausführen. Als kritisch stuft Google auch die Dirty-Cow-Lücke (CVE-2016-5195) ein. Diese klafft seit 2007 im Linux-Kernel. Über eine Rechteausweitung können Angreifer Dateien schreiben, für die sie eigentlich nur Leserechte haben. Am Ende können sie mit Root-Rechten dastehen.
Ein Exploit für Android-Geräte ist seit Ende Oktober öffentlich. Es gab zwar bereits einen Patch von Google im November – dieser war aber nur optional. Erst im Dezember-Sammel-Update ist der Sicherheitspatch standardmäßig enthalten.
Unendliche Geschichte
Wann andere Android-Geräte diesen und andere Sicherheitsupdates erhalten, ist derzeit unbekannt. Die Update-Politik von Android ist insgesamt betrachtet ein Desaster. Das liegt unter anderem daran, dass Hersteller unzählige Geräte mit gebrandeter Software anbieten und Patches dafür extra entwickelt und freigeben werden müssen, was in der Regel aber nicht passiert. (des)
