Android Security Bulletin: Google-Geräte: November-Patch ist da

7. November 2016 Kategorie: Android, Backup & Security, geschrieben von: Benjamin Mamerow

Android 7.0 NougatJa richtig gelesen, Google-Geräte. Denn mit Erscheinen der aktuellen Pixel-Phones wandert Google ab vom vorherigen Term Nexus und bezeichnet alle von Google angebotenen Geräte ab sofort als „Google Devices“. Und heute, am 7. November 2016, erscheint auch direkt der aktuelle Geräte-Patch. Das heißt, dass in den nächsten Tagen die Nexus- und Pixel-Geräte ein frisches Update over the air (OTA) bekommen, alternativ stehen die frischen Geräte-Images (wie man die flasht, beschreiben wir hierauf der Downloadseite des Projektes bereit. Google teilt mit, dass die Partner bereits am 20. Oktober 2016 oder früher über die Sicherheitsaspekte des Patches informiert wurden, sodass diese auch Maßnahmen ergreifen konnten, ein Update zeitnah vorzubereiten . Der Sourcecode des Patches wird in den nächsten 48 Stunden in das Android Open Source Project (AOSP) einfließen. Seit September 2016 hat Google zwei parallele Patch-Level.

Das Aufteilen der Patches in separate Fixes soll dafür sorgen, dass weitere Hersteller nicht erst alle Probleme gelöst haben müssen, um ein Update an seine Kunden zu verteilen, sondern sich zum Beispiel zuerst den wichtigsten Komponenten zuwenden kann, dafür einen Patch veröffentlicht und die eventuell nicht ganz so dringenden Lücken ein wenig später ausbügelt. Patch-Level 2016-11-05 bietet derzeit die meisten „Criticals“, um diesen String zu tragen, müssen satte zwölf kritische Lücken gefixt sein, sowie außerdem elf als „hoch“ eingestufte Sicherheitslücken. Wie immer gilt daher auch hier: Updates alle mitnehmen, sobald sie angeboten werden, Google denkt sich da schon was bei 😉

Kritisch:
Remote code execution vulnerability in Qualcomm crypto driver CVE-2016-6725 Critical Yes
Elevation of privilege vulnerability in kernel file system CVE-2015-8961, CVE-2016-7910, CVE-2016-7911 Critical Yes
Elevation of privilege vulnerability in kernel SCSI driver CVE-2015-8962 Critical Yes
Elevation of privilege vulnerability in kernel media driver CVE-2016-7913 Critical Yes
Elevation of privilege vulnerability in kernel USB driver CVE-2016-7912 Critical Yes
Elevation of privilege vulnerability in kernel ION subsystem CVE-2016-6728 Critical Yes
Elevation of privilege vulnerability in Qualcomm bootloader CVE-2016-6729 Critical Yes
Elevation of privilege vulnerability in NVIDIA GPU driver CVE-2016-6730, CVE-2016-6731, CVE-2016-6732, CVE-2016-6733, CVE-2016-6734, CVE-2016-6735, CVE-2016-6736 Critical Yes
Elevation of privilege vulnerability in kernel networking subsystem CVE-2016-6828 Critical Yes
Elevation of privilege vulnerability in kernel sound subsystem CVE-2016-2184 Critical Yes
Elevation of privilege vulnerability in kernel ION subsystem CVE-2016-6737 Critical Yes
Vulnerabilities in Qualcomm components CVE-2016-6726, CVE-2016-6727 Critical Yes
Remote code execution vulnerability in Mediaserver CVE-2016-6699 Critical Yes
Elevation of privilege vulnerability in libzipfile CVE-2016-6700 Critical No*
Elevation of privilege vulnerability in kernel memory subsystem CVE-2016-5195 Critical Yes

Die wohl am meisten dramatische Lücke bestand darin, dass eigentlich geblockter Remote-Code durch diverse Dienste wie Email, Browsing oder MMS beim Verarbeiten von Medien-Daten ausgeführt werden konnte.



Anzeige: Infos zu neuen Smartphones, Tablets und Wearables sowie zu aktuellen Testberichten, Angeboten und Aktionen im Huawei News Hub.

Über den Autor: Benjamin Mamerow

Blogger, stolzer Ehemann und passionierter Dad aus dem Geestland. Quasi-Nachbar vom Caschy (ob er mag oder nicht ;D ), mit iOS und Android gleichermaßen glücklich und außerdem zu finden auf Twitter und Google+. PayPal-Kaffeespende an den Autor.

Benjamin hat bereits 391 Artikel geschrieben.