Android: Das bringt der Juni-Patch von Google mit
von caschy | 5 Kommentare
Neuer Monat – neues Glück. Google hat am 3. Juni die Sicherheitsmitteilung für den Google-Patch herausgegeben. Nutzer mit Pixel-Smartphones sollten den Sicherheitspatch Stand Juni bereits jetzt zum Download angeboten bekommen – dürfte dann auch die Pixel-3a-Nutzer freuen, denn da war Google bisher ja selber hinten dran und nicht aktuell. Holt man nun also nach und schließt somit Lücken.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke im Medien-Framework, die es einem entfernten Angreifer ermöglichen könnte, beliebigen Code im Rahmen eines privilegierten Prozesses auszuführen, indem er eine speziell gestaltete Datei verwendet. Die Schweregradbewertung basiert auf dem Effekt, den die Ausnutzung der Schwachstelle möglicherweise auf einem betroffenen Gerät haben würde, vorausgesetzt, die Plattform- und Dienstminderungen werden zu Entwicklungszwecken deaktiviert oder erfolgreich umgangen. Google selber hat nach eigenen Aussagen keine Informationen über einen Missbrauch – obwohl man diese Lücke seit gefühlten 100 Jahren nennen muss – oder man hat sie einfach im Monats-Changelog vergessen.
Aber es gibt noch mehr Infos zu geschlossenen und als hoch eingestuften Lücken. Die schwerwiegendste Schwachstelle im folgenden Abschnitt könnte es einer lokalen bösartigen Anwendung ermöglichen, die Anforderungen der Benutzerinteraktion zu umgehen, um Zugriff auf zusätzliche Berechtigungen zu erhalten. Genaue Details will man nachreichen, wenn der Patch breiter angekommen ist:
| CVE | References | Type | Severity | Updated AOSP versions |
|---|---|---|---|---|
| CVE-2019-2090 | A-128599183 | EoP | High | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2091 | A-128599660 | EoP | High | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2019-2092 | A-128599668 | EoP | High | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
Die Pixel-Smartphones von Google bekommen mittlerweile separate Changelogs, da hat man diesen Monat funktionell nichts dabei, wohl aber auch Lücken geschlossen und kleine Problemchen bereinigt. Schaut am besten mal selbst, ob das besser wird, wenn ihr eins der Probleme hattet:
| References | Category | Improvements | Devices |
|---|---|---|---|
| A-124279741 | Bootloader | Fixes an issue causing some devices to freeze during boot | Pixel 2 |
| A-111660442 | Camera | Fixes an issue causing the camera to crash during video recording | Pixel 3, Pixel 3 XL |
| A-122466831 | Media | Fixes a bug that causes the Netflix app to hang | Pixel 2, Pixel 2 XL, Pixel 3, Pixel 3 XL |
| A-129149296 | Hotword | Updates to improves accuracy on „Ok Google„ | Pixel 2, Pixel 2 XL, Pixel 3, Pixel 3 XL |
In diesem Sinne: Fröhliches Update!
Wird geladen ...
Gestern geladen, Pixel 3
Völlig unverständlich, dass Google das Medienframework nicht einem intensiven Sicherheits-Audits unterzieht. Die Schwachstellen im Framework ziehen sich jetzt seit mindestens 2015 (Stagefright) hin. Alle par Wochen eine neue Lücke. Und viele davon fallen unter die Rubrik „Remote Code Execution“, können also auch bei großer Vorsicht ausgenutzt werden.
Blamabel bis unverschämt.
Es werden immer und immer wieder neue Sicherheitslücken auftauchen. Es ist nur eine Frage des Aufwandes.
Klar, das macht man einmal und dann ist das sicher und man hat seine Ruhe. Zum Glück muss man ja das Medienframework nicht laufend anpassen an aktuelle Codecs usw.
Überhaupt, warum ist Software mit Fehlern erlaubt? Ein Audit vor Release kann doch nicht zu viel verlangt sein.
[/sarcasm]
Natürlich dürfen Fehler vorkommen , aber nicht in der Häufung und Gefährlichkeit.
Wenn eine Komponente ständig Sicherheitslücken der schlimmsten Klasse (Remote Code Execution bzw. Drive-by-Infection) aufweist, dann sollte man handeln. Und wenn man dann tausend Audits machen muss, dann ist es halt so (sieht aber nicht professionell sondern nach Mega-Gepfusche aus).
Oder verstehe ich dich falsch?