Google schließt teils kritische Lücken | heise Security

Googles Android Security Bulletin für Januar umfasst insgesamt 27 Fixes für Sicherheitslücken im Smartphone-Betriebssystem. Das von den Lücken ausgehende Sicherheitsrisiko bewertet das Unternehmen im Bulletin durchweg als hoch, in zwei Fällen gar als kritisch.

Die gefährlichste Lücke mit der CVE-Nummer CVE-2018-9583 steckt im Betriebssystem selbst. Sie könnte laut Google von einem entfernten Angreifer missbraucht werden, um mittels einer eigens dafür erzeugten Datei beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Die zweite kritische Lücke (CVE-2018-11847) befindet sich in einer Closed-Source-Komponente von Qualcomm, kann nach Herstellerangaben allerdings lediglich lokal ausgenutzt werden.

Auf dem neuesten Stand sind Geräte jetzt mit dem Patch-Level 2019-01-05.

Neben Google veröffentlichen von den großen Herstellern lediglich BlackBerry, LG und Samsung monatlich Sicherheitspatches – allerdings nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht. Letzteres ist leider die Regel.

Extra-Update für Pixel-Geräte

Im November 2018 hat Google zum letzten Mal Sicherheitsupdates für Nexus 5X und 6P verteilt. Danach hat der Hersteller Sicherheitsupdates und Support für Nexus-Geräte eingestellt – für Pixel und Pixel XL läuft beides aber noch bis Oktober 2019 weiter.

Diesen Monat hat der Hersteller laut separat veröffentlichtem Pixel Update Bulletin zwei Schwachstellen moderaten Sicherheitsrisikos im Kernel gefixt. Ein weiterer Patch verbessert die Soundqualität für Videoaufnahmen mit dem Pixel 3 und Pixel 3 XL. Das Update wird wie gewohnt automatisch an die Pixel-Geräte verteilt.

[Update 09.01.19, 14:54]: Ein Leser hat uns darauf hingewiesen, dass Nexus 5X und 6P trotz Ablauf des garantierten Support- und Updatezeitraums im Dezember noch ein letztes Update erhielten (siehe OTA-Images “Bullhead” für 5X und “Angler” für 6P (Oreo 8.10, Build OPM7.181205.001)). Danke für den Hinweis!

(ovw)

Source