Android 12: April-Patch erreicht Pixel-Geräte
von Benjamin Mamerow | 18 Kommentare
Besitzer eines Pixel 3a, Pixel 4, Pixel 4a, Pixel 4a 5G, Pixel 5, Pixel 5a, Pixel 6 oder Pixel 6 Pro können die systeminterne Funktion für das Systemupdate bemühen, nach dem jüngst veröffentlichten April-Patch zu suchen und diesen zu installieren. Es werden hierbei zahlreiche Sicherheitslücken geschlossen, die schwerwiegendste davon betrifft das Media-Framework und konnte es einem entfernten Angreifer ermöglichen, über eine manipulierte Datei beliebigen Code auszuführen.
Für Besitzer eines Pixel 6 oder Pixel 6 Pro heißt das aktuelle Update unter anderem, dass das kabellose Laden nun reibungsloser als bisher funktionieren soll und dass die Vorschau der Frontkamera in bestimmten Apps nun nicht mehr vergrößert angezeigt wird. Außerdem soll auch der Fehler behoben worden sein, bei dem hin und wieder ein grüner Bildschirm in der Kameravorschau zu sehen war. Das restliche Changelog betrifft auch alle anderen vom Update unterstützten Geräte:
- Behebung eines Absturzes in der System-Benutzeroberfläche bei der Verwendung von Apps im Picture-in-Picture (PIP)-Modus unter bestimmten Bedingungen
- Behebung eines Problems, das beim Einrichten bestimmter Live-Hintergrundbilder eine Fehlermeldung anzeigt
- Behebung eines Problems, das dazu führte, dass der Benachrichtigungsschirm und die Schnelleinstellungen nach dem Wechsel des Hintergrundbildes unter bestimmten Bedingungen unsichtbar waren
- Behebung eines Problems, das gelegentlich dazu führte, dass beim Abbrechen einer Suche im App Drawer eine falsche Animation angezeigt wurde
- Fix für ein Problem, das gelegentlich die Navigation im Übersichtsbildschirm verhinderte, wenn TalkBack aktiv ist
- Behebung eines Problems, das gelegentlich verhinderte, dass die Schaltfläche „Notizen“ die Übersicht anzeigt, wenn die 3-Tasten-Navigation mit Launchern von Drittanbietern verwendet wird
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Das S21 auch gerade.
Der war gut 😉
Moin,
Ich bring gespannt ob jetzt der FPS und Smart Lock endlich zuverlässig funktionieren.
Mein Pixel 4a findet noch nichts…
Ich hatte es bei meinem 4a schon mal, dass ich mehrfach nach Aktualisierungen suchen lassen musste, bis das Update angezeigt wurde… dieses mal hat im ersten Anlauf hingehauen. Mach dich schon mal auf einen 11,41MB Download gefasst.
🙂
Google Pixel 5 – Updategröße: 15,54 MB … ist gerade angekommen!
Und der Lockscreen ist immer noch an und an vollständig leer. Schon armselig von Google. Seit März so. Wie kann sowas durchrutschen..
Pixel 6: Ich habe gelernt, ich warte zwei wochen mit dem update.
Ist das normal, dass das Update fast ne Stunde braucht?
Ja ist es, diese „Optimierung“ dauert immer sehr lange! :-/
Ist doch egal, läuft im Gegensatz zu iOS im Hintergrund. Update anstoßen, Handy beiseite legen, schlafen gehen, am nächsten Morgen Handy neu starten.
Pixel 4a: 14,4MB, Installationsdauer 2h
Die Linux Kernel Version ist immer noch 5.10.66 und daher weiterhin über die Dirty Pipe Schwachstelle angreifbar. Die Dirty Pipe Schwachstelle ermöglicht es lokalen Benutzern Root-Rechte zu erlangen. Das Berechtigungskonzept von Android ist dadurch ausgehebelt. Jede App könnte Root-Rechte erlangen.
Das ist schon das zweite Monatsupdate nach bekannt werden dieser schwerwiegenden Sicherheitslücke. Langsam wird es peinlich für Google.
Nur weil die Nummer so ist heißt es ja nicht, dass sie keine Patches zurückportiert haben. Gibt’s denn ne Möglichkeit zu testen ob man angreifbar ist?
Der Kernel wurde am 21.01.22 gebaut und CVE-2022-0847 wurde erst am 10.03.22 veröffentlicht. Es gibt aber PoC für Exploits (siehe die weiterführenden Links). Ein paar Testscripts die ich mir auf GitHub angeschaut hatte prüfen lediglich die Kernel Version.
https://9to5google.com/2022/04/04/dirty-pipe-major-exploit-android-12-pixel-6-galaxy-s22/
https://twitter.com/MaxWinebach/status/1503459302287290384
Hmmm, es könnte aber sein, das sie es selbst gepatched haben. Geben die Release Notes irgendetwas her?
Natürlich wäre es einfacher, einen neueren Kernel aus der 5.10er Reihe zu nehmen, der die Patches für Dirty Pipe schon enthält, ABER es ist durchaus nicht unüblich das ein Distributor im Linux-Bereich (und so muss man Google mit Android ja auch sehen) Security Patches in den eigenen Kernel zurück portiert.
So als Beispiel: openSUSE Leap 15 (und auch SUSE Enterprise 15!) verwendet einen Kernel 5.3.18 – der ist uralt und nicht mal LTS. Aber er wird regelmäßig (alle paar Wochen) mit Security Backports versehen und alles halbe Jahr oder so auch mit Kompatibilitäts-Updates für neue Hardware. Auch das rückportiert aus neueren Kerneln.
TL;DR: Die Nummer alleine sagt bei Linux-Kerneln nicht immer etwas über den Inhalt aus.
Der Kernel wurde am 21.01.22 gebaut. CVE-2022-0847 ist am 10.03.22 veröffentlicht worden. Das März Update für das Pixel 6 (Pro) wurde am 21.03.22 veröffentlicht und das April Update am 04.04.22.
Tja, das ist natürlich blöd.
Und auch ein bisschen merkwürdig. Mein Samsung Galaxy bekommt mit jedem Monatspatch einen neu gebauten Kernel. Natürlich weiß man auch nicht genau, was daran geändert wurde, aber Buildnummer und Datum ist jedes Mal anders.