Android Security Bulletin Januar 2017 veröffentlicht
von caschy | 9 Kommentare
Neues Jahr – ein neues monatliches Android Security Bulletin, herausgegeben von Google. Pixel- und Nexus-Nutzer haben wie gewohnt recht flott Zugriff auf die Neuerungen. Google selber teilt mit, dass man die Partner über die Sicherheitslücken und Probleme bereits am 5. Dezember 2016 oder früher informiert hat. Das aktuell veröffentlichte Android 7.1.1 beinhaltet alle geschlossenen Lücken, die Google im Android Security Bulletin Januar 2017 nennt. Entsprechenden Source Code will man innerhalb der nächsten 48 Stunden an das Android Open Source Project (AOSP) übergeben. Seit September 2016 hat Google zwei parallele Patch-Level.
OTA-Updates: So flasht Ihr sie mit ADB
Das Aufteilen der Patches in separate Fixes soll dafür sorgen, dass weitere Hersteller nicht erst alle Probleme gelöst haben müssen, um ein Update an seine Kunden zu verteilen, sondern sich zum Beispiel zuerst den wichtigsten Komponenten zuwenden kann, dafür einen Patch veröffentlicht und die eventuell nicht ganz so dringenden Lücken ein wenig später ausbügelt. Welche Lücken konkret per Patch-Level geschlossen werden müssen, kommuniziert Google über das Bulletin. So gibt es das „2017-01-05 security patch level“ und das „2017-01-01 security patch level“.
Das Level mit dem 5. Januar weist mehrere Lücken auf, die geschlossen sein müssen, darunter neun kritische. Interessant ist, dass man offensichtlich die Fehler im Mediaserver nicht in den Griff bekommt. Dieser taucht seit Monaten immer wieder im Bulletin mit neuen CVEs auf (aktuell CVE-2017-0381, Remote code execution vulnerability in Mediaserver).
Die Updates werden sicherlich zeitnah bald OTA auf Nexus- und Pixel-Geräten auftauchen, wer selber flashen will (und das ist eigentlich kein Akt), der kann sich bereits die entsprechenden Images ziehen: Komplett-Images & OTA-Dateien. Übrigens: 7.1.1 für das Nexus 6 fehlt weiterhin.
2016 war das Jahr der offengelegten Android-Sicherheitslücken. Mehr wurden bei keinem anderen System bekannt. Das muss nicht heißen, dass das System pauschal unsicher ist, denn die Summe zeigt die bekannten Lücken an – und eben jene sind oder können geschlossen werden. 2015 stand Mac OS X vorne, davor der Internet Explorer.
Wird geladen ...
Hoffentlich kann ich dann endlich wieder Bluetooth im Auto verwenden. Das war seit dem Update auf 7.1.1 unmöglich…
OTA via Telekom ist bereits (3.1.) verfügbar, die Installation dauerte rund 90 Minuten (Pixel XL).
Das Nexus 5 erhält ja seit Oktober keine Sicherheitsupdates mehr aber auf der Google Site OTA Dateinen scheint eine Image mit Dezember auf.
Kann ich das selber flashen oder ist hier vorsicht angebracht
Danke
OTA auf einem Pixel soeben eingespielt. knappe 46 MB. Hat relativ lange gedauert beim einspielen.
@David: Hier eben auch, ging aber super flott
Die Mehrheit der Nexus-Nutzer (Nexus 4,5,7 und älter) bekommt natürlich keine Updates mehr von Google.
Nexus 6 ist ja echt ein Trauerspiel aktuell. Offiziell noch im Support, das letzte Update ist aber vom November…
Ich habe bei meinem Nexus 5X die Updates immer recht schnell erhalten. Installation von diesem hat 1 Minute gebraucht.
Ich habe bei meinem Nexus 5 heute morgen plötzlich eine Update-Benachrichtigung. Laut Beschreibung Stand 10 2016 – obwohl ich schon auf Patchstand vom 05.10.2016 bin. Nur ein Fehler in der Beschreibung? 21,4MB soll es groß sein.