Inhaltsverzeichnis:
Google hat die Details zum Sicherheitspatch für Android für den 2. April veröffentlicht, um Probleme, die in einem Bulletin vor einigen Wochen beschrieben wurden, sowie andere kritische und mittelschwere Probleme vollständig zu mildern. Diese Version unterscheidet sich ein wenig von den vorherigen Bulletins. Besonderes Augenmerk wurde auf die Sicherheitsanfälligkeit bezüglich Rechteerweiterung in den Versionen 3.4, 3.10 und 3.14 des in Android verwendeten Linux-Kernels gelegt. Wir werden das weiter unten auf der Seite besprechen. In der Zwischenzeit finden Sie hier eine Auflistung der wichtigsten Informationen zum Patch dieses Monats.
Aktualisierte Firmware-Images sind jetzt für derzeit unterstützte Nexus-Geräte auf der Google Developer-Website verfügbar. Das Android Open Source-Projekt hat diese Änderungen jetzt in den relevanten Filialen eingeführt und alles wird innerhalb von 48 Stunden abgeschlossen und synchronisiert. Für die derzeit unterstützten Nexus-Telefone und -Tablets werden drahtlose Updates durchgeführt. Sie folgen dem Standard-Rollout-Verfahren von Google. Es kann ein bis zwei Wochen dauern, bis Ihr Nexus verfügbar ist. Alle Partner - das heißt die Personen, die Ihr Telefon unabhängig von der Marke erstellt haben - haben seit dem 16. März 2016 Zugriff auf diese Fixes und werden Geräte nach ihren eigenen individuellen Zeitplänen ankündigen und patchen.
Das schwerwiegendste Problem, das behoben wird, ist eine Sicherheitsanfälligkeit, die Remotecodeausführung bei der Verarbeitung von Mediendateien ermöglichen kann. Diese Dateien können auf beliebige Weise an Ihr Telefon gesendet werden - per E-Mail, MMS-Browser oder Instant Messaging. Weitere wichtige Probleme, die behoben wurden, betreffen den DHCP-Client, das Qualcomm-Leistungsmodul und den RF-Treiber. Diese Exploits könnten die Ausführung von Code ermöglichen, der die Gerätefirmware dauerhaft gefährdet und den Endbenutzer dazu zwingt, das gesamte Betriebssystem erneut zu flashen - wenn "Plattform- und Serviceminderungen für Entwicklungsvorschläge deaktiviert sind". Das ist ein Sicherheits-Nerd, der es ermöglicht, Apps von unbekannten Quellen zu installieren und / oder OEMs freizuschalten.
Weitere Sicherheitslücken, die behoben wurden, sind Methoden zum Umgehen des Factory Reset Protection, Probleme, die ausgenutzt werden könnten, um Denial-of-Service-Angriffe zu ermöglichen, und Probleme, die die Codeausführung auf Geräten mit Root-Rechten ermöglichen. IT-Experten freuen sich auch über E-Mail- und ActiveSync-Probleme, die den Zugriff auf "vertrauliche" Informationen ermöglichen könnten, die in diesem Update gepatcht wurden.
Wie immer erinnert Google uns auch daran, dass keine Berichte über Nutzer vorliegen, die von diesen Problemen betroffen sind, und es gibt eine empfohlene Vorgehensweise, um zu verhindern, dass Geräte diesen und zukünftigen Problemen zum Opfer fallen:
- Die Ausnutzung vieler Probleme unter Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
- Das Android-Sicherheitsteam überwacht aktiv den Missbrauch mit Verify Apps und SafetyNet, um den Benutzer vor erkannten potenziell schädlichen Anwendungen zu warnen, die installiert werden sollen. Geräte-Rooting-Tools sind in Google Play nicht zulässig. Zum Schutz von Nutzern, die Anwendungen von außerhalb von Google Play installieren, ist die Option "Apps überprüfen" standardmäßig aktiviert und warnt Nutzer vor bekannten Root-Anwendungen. Verify Apps versucht, die Installation bekannter schädlicher Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitsanfälligkeit durch Rechteerweiterung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
- Gegebenenfalls leiten Google Hangouts und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie den Medienserver weiter.
Zu den im vorherigen Bulletin genannten Problemen
Am 18. März 2016 veröffentlichte Google ein separates ergänzendes Security Bulletin zu Problemen im Linux-Kernel, der auf vielen Android-Handys und -Tablets verwendet wird. Es wurde gezeigt, dass ein Exploit in den Versionen 3.4, 3.10 und 3.14 des Linux-Kernels, der in Android verwendet wird, eine dauerhafte Kompromittierung von Geräten - mit anderen Worten Root - und betroffenen Telefonen und anderen Geräten ermöglicht, die ein erneutes Flashen des Betriebssystems erfordern würde genesen. Da eine Anwendung diesen Exploit demonstrieren konnte, wurde zur Monatsmitte ein Bulletin veröffentlicht. Google erwähnte auch, dass Nexus-Geräte "innerhalb weniger Tage" einen Patch erhalten würden. Dieser Patch wurde nie veröffentlicht, und Google erwähnt im neuesten Security Bulletin nicht, warum.
Das Problem - CVE-2015-1805 - wurde im Sicherheitsupdate vom 2. April 2016 vollständig behoben. AOSP-Zweige für Android-Versionen 4.4.4, 5.0.2, 5.1.1, 6.0 und 6.0.1 haben diesen Patch erhalten, und der Rollout zur Quelle wird ausgeführt.
Google erwähnt auch, dass Geräte, die möglicherweise einen Patch vom 1. April 2016 erhalten haben, nicht gegen diesen bestimmten Exploit gepatcht wurden und nur Android-Geräte mit einem Patch-Level vom 2. April 2016 oder später aktuell sind.
Das an Verizon Galaxy S6 und Galaxy S6 Edge gesendete Update ist auf den 2. April 2016 datiert und enthält diese Korrekturen.
Das an T-Mobile Galaxy S7 und Galaxy S7 Edge gesendete Update ist auf den 2. April 2016 datiert und enthält diese Korrekturen.
Der Build AAE298 für entsperrte BlackBerry Priv-Telefone ist auf den 2. April 2016 datiert und enthält diese Korrekturen. Es wurde Ende März 2016 veröffentlicht.
Telefone, auf denen eine 3.18-Kernelversion ausgeführt wird, sind von diesem bestimmten Problem nicht betroffen, benötigen jedoch weiterhin die Patches für andere Probleme, die im Patch vom 2. April 2016 behoben wurden.
