Schlagwort: Nexus AG

Google schließt teils kritische Lücken | heise Security

Googles Android Security Bulletin für Januar umfasst insgesamt 27 Fixes für Sicherheitslücken im Smartphone-Betriebssystem. Das von den Lücken ausgehende Sicherheitsrisiko bewertet das Unternehmen im Bulletin durchweg als hoch, in zwei Fällen gar als kritisch.

Die gefährlichste Lücke mit der CVE-Nummer CVE-2018-9583 steckt im Betriebssystem selbst. Sie könnte laut Google von einem entfernten Angreifer missbraucht werden, um mittels einer eigens dafür erzeugten Datei beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Die zweite kritische Lücke (CVE-2018-11847) befindet sich in einer Closed-Source-Komponente von Qualcomm, kann nach Herstellerangaben allerdings lediglich lokal ausgenutzt werden.

Auf dem neuesten Stand sind Geräte jetzt mit dem Patch-Level 2019-01-05.

Neben Google veröffentlichen von den großen Herstellern lediglich BlackBerry, LG und Samsung monatlich Sicherheitspatches – allerdings nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht. Letzteres ist leider die Regel.

Extra-Update für Pixel-Geräte

Im November 2018 hat Google zum letzten Mal Sicherheitsupdates für Nexus 5X und 6P verteilt. Danach hat der Hersteller Sicherheitsupdates und Support für Nexus-Geräte eingestellt – für Pixel und Pixel XL läuft beides aber noch bis Oktober 2019 weiter.

Diesen Monat hat der Hersteller laut separat veröffentlichtem Pixel Update Bulletin zwei Schwachstellen moderaten Sicherheitsrisikos im Kernel gefixt. Ein weiterer Patch verbessert die Soundqualität für Videoaufnahmen mit dem Pixel 3 und Pixel 3 XL. Das Update wird wie gewohnt automatisch an die Pixel-Geräte verteilt.

[Update 09.01.19, 14:54]: Ein Leser hat uns darauf hingewiesen, dass Nexus 5X und 6P trotz Ablauf des garantierten Support- und Updatezeitraums im Dezember noch ein letztes Update erhielten (siehe OTA-Images “Bullhead” für 5X und “Angler” für 6P (Oreo 8.10, Build OPM7.181205.001)). Danke für den Hinweis!

(ovw)

Source

Categories: Sicherheit

Tags:

Google beseitigt kritische Schwachstellen | heise Security

Android Patchday: Google beseitigt kritische Schwachstellen


Alert!

07.09.2018 16:36 Uhr
Olivia von Westernhagen

Android Patchday: Google schließt kritische Schwachstellen

(Bild: JordiMorella)

Googles Android Security Bulletin für September nennt zahlreiche Sicherheitsprobleme, die mit Patch-Level 2018-09-01 behoben wurden.

Auch im September hat Google im Rahmen des regulären Patchdays wieder eine ganze Reihe von Schwachstellen im Android-Betriebssystem gefixt. Der nun aktuelle Patch-Level 2018-09-01 behebt (mit Ausnahme von vier “Moderate”-Bewertungen) fast ausnahmslos Sicherheitsprobleme, die der Konzern in seinem aktuellen Security-Bulletin als “High” bis “Critical” einstuft.

Android-Patchday

Neben Google veröffentlichen von den großen Herstellern lediglich BlackBerry, LG und Samsung monatlich Sicherheitspatches – allerdings nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht. Letzteres ist leider die Regel.

  • BlackBerry
  • Fairphone 2
  • LG
  • Nokia
  • Samsung
  • Support für Nexus- und Pixel-Geräte

Die meisten von ihnen stecken in Closed-Source-Komponenten von Qualcomm und werden deshalb im Sicherheitshinweis auch nicht näher beschrieben. Die übrigen Schwachstellen können in erster Linie – wie es auch das Notfall-Team des BSI CERT Bund in einem Warnhinweis zusammenfasst – zur Privilegieneskalation missbraucht werden.

Am gefährlichsten ist laut Google eine Schwachstelle im Media Framework, über die ein entfernter Angreifer mittels einer speziell präparierten Datei beliebigen Programmcode im Kontext eines privilegierten Prozesses ausführen könnte.

Zusatz-Patches für Pixel und Nexus

Ein wenig entspannter wirkt die Sicherheitslage im aktuellen, wie gewohnt separat veröffentlichten Pixel- und Nexus-Bulletin, das durchweg “moderate” Schwachstellen sowie drei funktionale Patches für Pixel, Pixel XL, Pixel 2 und Pixel 2 XL auflistet.

Aktuelle Pixel- und Nexus-Smartphones erhalten sämtliche Patches automatisch im Rahmen des regulären Update-Prozesses.

(ovw)

Source

Categories: Sicherheit

Tags: