Android: Sicherheitspatch Dezember schließt zahlreiche Sicherheitslücken
von caschy | 29 Kommentare
Der letzte Monat in diesem Jahr ist angebrochen – auch der letzte Dezember in dieser Dekade. Bedeutet: vermutlich auch der letzte Google-Sicherheitspatch in diesem Jahrzehnt. Hier hat man aktuell das Security Bulletin für den Dezember 2019 veröffentlicht – inklusive dem Update für die noch unterstützten Pixel-Smartphones.
Sehr kurios: Google verteilt das Dezember-Update, dabei haben viele Nutzer, inklusive mir, nicht einmal den November-Patch zum Download auf dem Pixel 4 angeboten bekommen. Nun ja, mal schauen, was da bald so kommt.
Lasst uns erst einmal zu den Sicherheitsupdates im generellen Patch von Google kommen, Nutzer eines Samsung Galaxy S10 haben den ja bereits im Rahmen des Android-10-Updates aufgespielt bekommen.
In diesem Monat musste Google richtig arbeiten, denn zahlreiche Sicherheitslücken tragen den Schweregrad „Hoch“, gleich vier gibt man im Bereich Framework an.
Die schwerwiegendste Schwachstelle im Bereich Media Framework könnte es einer lokalen bösartigen Anwendung ermöglichen, die Anforderungen der Benutzerinteraktion zu umgehen, um Zugriff auf zusätzliche Berechtigungen zu erhalten – diese Lücke wurde als kritisch eingestuft. Ebenfalls hat man schwere Sicherheitslücken im System gefunden und wohl beseitigen können:
| CVE | References | Type | Severity | Updated AOSP versions |
|---|---|---|---|---|
| CVE-2019-2224 | A-140328986 | RCE | High | 8.0, 8.1, 9, 10 |
| CVE-2019-2225 | A-110433804 | EoP | High | 8.0, 8.1, 9, 10 |
| CVE-2019-2226 | A-140152619 | ID | High | 8.0, 8.1, 9, 10 |
| CVE-2019-2227 | A-140768453 | ID | High | 9, 10 |
| CVE-2019-2228 | A-111210196 | ID | High | 8.0, 8.1, 9, 10 |
| CVE-2019-2229 | A-139803872 | ID | High | 8.0, 8.1, 9, 10 |
| CVE-2019-2230 | A-141170038 | ID | High | 10 |
Betroffen sind Android 8, 9 und 10. Smartphone-Hersteller hatten bereits im Vorfeld Zugriff auf diese Information, damit sie Gegenmaßnahmen einleiten, sprich, den Patch vorbereiten können. Hoffentlich geben da alle Schub, wobei Google mitteilt, dass man keine Informationen über die Ausnutzung der Schwachstellen habe.
Nutzer von Pixel-Smartphones bekommen auch Updates, hier gab es auch eine kritische und eine hohe Sicherheitslücke im Bereich des Systems sowie einige „moderate“ im Kernel. Die Informationseite zu funktionellen Patches beinhaltet keine – wie sonst üblich – Auflistung irgendwelcher Neuerungen, stattdessen verweist man auf die Pixel-Community, dort findet sich zur Stunde aber kein Eintrag für etwaige Dezember-Neuerungen.
Wird geladen ...
Dekade – Jahrzehnt – 2019?
Ja.
Na hoffentlich kommen vor Beginn der nächsten Dekade (also 2020) auch noch Updates…
Das Update ist noch NICHT veröffentlicht! developers.google.com listet nach wie vor nur die November-Updates
Korrektur: für Pixel 4/XL ist noch nichts da, für den Rest schon… Seltsam
Es gibt immer 2 Updates!
Eines um den 1. des Monats und eines um den 5. des Monats.
warte also noch die 3-4 Tage ab…
https://source.android.com/security/bulletin/2019-12-01
Mein Note 109 hat es gestern erhalten
Auf meinem Pixel 4 XL habe ich das November Update per OTA angeboten bekommen.
Das Medienframework – bei Android ein „running gag“ 🙁 Warum machen die nicht mal einen kompletten Sicherheitsaudit für das total verk… Framework anstatt seit Anbeginn der Android Geschichte ständig schwerste Sicherheitslücken zu stopfen.
Das nervt total.
Dieses Jahrzehnt endet am 31.12.2020, ich hoffe bis dahin gibt es noch weitere Updates…
Korrektur:
Dieses Jahrzehnt endet am 31.12.2019
„Die Zählung der Jahrzehnte beginnt, wie die der Jahrhunderte und Jahrtausende, mit dem Jahr 1 unserer Zeitrechnung. Dementsprechend werden sie auch in jedem Jahrhundert beginnend mit dem ersten Jahr des Jahrhunderts gezählt. Die so gezählten Jahrzehnte beginnen immer mit den Jahren mit einer 1 auf der Einerstelle. Im 21. Jahrhundert begann dementsprechend das erste Jahrzehnt am 1. Januar 2001 und endete somit am 31. Dezember 2010.“
Quelle: https://de.wikipedia.org/wiki/Jahrzehnt
Nach deiner Logik hätte das aller erste Jahrzent dann ja nur 9 Jahre 🙂 Zeitrechnung beginnt mit dem Jahr 1 dann folgen 2, 3 … 9 die Dekade ist also erst mit dem Jahr 10 voll, und zwar am Ende des 10. Jahres sind 10 ganze Jahre voll. Dementsprechend endet das Jahrzent am 31.12.2020.
Nach seiner Logik hätte das erste Jahrzehnt auch 10 Jahre. Von 0-10. So rechnen aber nur Astronomen. Klassisch ging die Zeitrechnung direkt von -1 auf +1.
Hab das Update per ADB Sideload (OTA) für mein Pixel der ersten Generation installiert. Laut Build Nummer ist es das aktuelle Update, aber es hat immer noch das Datum von 06.Oktober?
Die erste Pixel Generation hat Oktober 2019 ihr EOL (End of Life) erreicht. Es gibt keine Sicherheits- oder sonstigen Updates mehr.
Je nach Wichtigkeit der Sicherheitsupdates ist es jetzt ein Briefbeschwerer oder wird noch die nächsten Monate seinen Dienst mit ein paar Lücken versehen. Andere bzw ältere Geräte werden auch nur Quartalsweise upgedatet.
Mein aktueller Android hat Sicherheitslevel 1. Dez 2018. und wird Aufgrund von Altersschwäche in der nächsten Woche ersetzt. Dabei ist natürlich auf die garantierte Restlaufzeit der Unterstützung von Software und Sicherheitsupdates zu achten beim Einkauf zu achten.
Das ist nicht ganz richtig, es wurde noch ein letztes Update für Dezember angekündigt:
https://www.theverge.com/2019/11/5/20950210/google-pixel-xl-final-security-original-update-december
So ist es, entsprechend umfasst die aktuelle Dekade die Jahre 2001 bis einschließlich 2020.
… 2011-2020. Meine Güte.
Für die alten Pixel Geräte wurde jetzt endlich Pixel Themes freigegeben.
Und für Pixel 3 und 3a gibt es jetzt das live caption Feature.
Update ist heute auf meinem Pixel 3 gelandet: Gestensteuerung funktioniert jetzt mit Nova, Themes sind verfügbar – dat ward ok Tid!
Hallo Maddin,
bei mir funktioniert die Gestensteuerung nicht mehr seit dem Dezember Update, bei Dir scheinbar schon.
Hast Du zusätzlich noch irgendwelche Einstellungen vorgenommen?
Grüße
Bei mir gab es heute morgen das Update für ein Pixel 2 XL. Gab aber danach Probleme mit dem Launcher (Pixel Launcher wird wiederholt beendet). Abhilfe war in den App Informationen oben rechts die drei Punkte und Update installieren wählen. Ist etwas frickelig, weil ständig die Fehlermeldung eingeblendet wird.
Danke, habe ich jetzt auch gemacht, danach läuft die Gestensteuerung wieder. (Achtung Klugscheisser…..Update deinstallieren)
Grüße
Ups. Natürlich Update deinstallieren.
Danke für den Tipp! Goldwert!
Komisch bei mir 4xl ist noch nichts angekommen manuel gibts auch nichts?
Kommt nächste Woche laut Google.