Google hat das neueste monatliche Android-Sicherheitsupdate veröffentlicht, mit allen Details und neuer Software. Das neue Datum für die Sicherheits-Patch-Stufe ist der 1. Juni 2016. Änderungen am Android Open Source-Projekt sollten innerhalb von 48 Stunden abgeschlossen und veröffentlicht werden. Google teilt uns außerdem mit, dass Partner seit dem 2. Mai oder früher Zugriff auf die Warnungen im diesmonatigen Bulletin haben.
Laut Google gab es keine Berichte über Geräte, die von diesen Sicherheitsanfälligkeiten aktiv ausgenutzt wurden.
In diesem Monat werden Patches für 21 Sicherheitslücken veröffentlicht, deren Schweregrad von kritisch bis mittelschwer reicht. Laut Google ist das schwerwiegendste Problem "eine kritische Sicherheitsanfälligkeit, die die Codeausführung von Remotestandorten aus auf einem betroffenen Gerät mithilfe mehrerer Methoden wie E-Mail, Webbrowsing und MMS bei der Verarbeitung von Mediendateien ermöglichen kann." Es scheint, dass die Stagefright-Bibliothek nach wie vor ein beliebter Schwerpunkt für Sicherheitsforscher und das Sicherheitsteam von Google ist, was die Aufteilung des Medienservers aus der Betriebssystemschicht und die separate Aktualisierung in Android N noch wichtiger macht.
Google betont außerdem (wie jeden Monat), dass keine Berichte über Geräte vorliegen, die von diesen Sicherheitsanfälligkeiten aktiv ausgenutzt wurden, und dass durch Sicherheits- und Serviceschutzmaßnahmen auf Plattformebene wie SafetyNet das Risiko, tatsächlich betroffen zu sein, sehr gering ist.
Eine kurze Zusammenfassung:
- Die Ausnutzung vieler Probleme unter Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
- Das Android-Sicherheitsteam überwacht mit Verify Apps und SafetyNet aktiv auf Missbrauch, um Benutzer vor potenziell schädlichen Anwendungen zu warnen. Überprüfen Sie, ob Apps auf Geräten mit Google Mobile Services standardmäßig aktiviert sind. Dies ist besonders wichtig für Nutzer, die Anwendungen von außerhalb von Google Play installieren. Geräte-Root-Tools sind in Google Play nicht zulässig. Verify Apps warnt Benutzer jedoch, wenn sie versuchen, eine erkannte Root-Anwendung zu installieren - unabhängig davon, woher sie stammt. Darüber hinaus versucht Verify Apps, die Installation bekannter bösartiger Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitsanfälligkeit durch Rechteerweiterung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, die erkannte Anwendung zu entfernen.
- Gegebenenfalls leiten Google Hangouts und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie den Medienserver weiter.
Ausführliche Informationen zu allen Problemen finden Sie auf der Security Bulletin-Website.
Es gibt kein Wort darüber, wann der Patch für ein anderes Android-Gerät zu erwarten ist, aber aktuelle Nexus-Geräte, Android One-Telefone und das Pixel C werden ab heute drahtlos aktualisiert alle Geräte rechtzeitig. Wenn Sie der ungeduldige Typ sind (und wenn ja, warum führen Sie nicht Android N Beta aus?), Können Sie die auf der Entwicklerseite von Google veröffentlichten Factory-Bilder flashen.
