Android: Das bringt der Juni-Patch von Google mit

Neuer Monat – neues Glück. Google hat am 3. Juni die Sicherheitsmitteilung für den Google-Patch herausgegeben. Nutzer mit Pixel-Smartphones sollten den Sicherheitspatch Stand Juni bereits jetzt zum Download angeboten bekommen – dürfte dann auch die Pixel-3a-Nutzer freuen, denn da war Google bisher ja selber hinten dran und nicht aktuell. Holt man nun also nach und schließt somit Lücken.

Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke im Medien-Framework, die es einem entfernten Angreifer ermöglichen könnte, beliebigen Code im Rahmen eines privilegierten Prozesses auszuführen, indem er eine speziell gestaltete Datei verwendet. Die Schweregradbewertung basiert auf dem Effekt, den die Ausnutzung der Schwachstelle möglicherweise auf einem betroffenen Gerät haben würde, vorausgesetzt, die Plattform- und Dienstminderungen werden zu Entwicklungszwecken deaktiviert oder erfolgreich umgangen. Google selber hat nach eigenen Aussagen keine Informationen über einen Missbrauch – obwohl man diese Lücke seit gefühlten 100 Jahren nennen muss – oder man hat sie einfach im Monats-Changelog vergessen.

Aber es gibt noch mehr Infos zu geschlossenen und als hoch eingestuften Lücken. Die schwerwiegendste Schwachstelle im folgenden Abschnitt könnte es einer lokalen bösartigen Anwendung ermöglichen, die Anforderungen der Benutzerinteraktion zu umgehen, um Zugriff auf zusätzliche Berechtigungen zu erhalten. Genaue Details will man nachreichen, wenn der Patch breiter angekommen ist:

CVE References Type Severity Updated AOSP versions
CVE-2019-2090 A-128599183 EoP High 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2091 A-128599660 EoP High 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2019-2092 A-128599668 EoP High 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

Die Pixel-Smartphones von Google bekommen mittlerweile separate Changelogs, da hat man diesen Monat funktionell nichts dabei, wohl aber auch Lücken geschlossen und kleine Problemchen bereinigt. Schaut am besten mal selbst, ob das besser wird, wenn ihr eins der Probleme hattet:

References Category Improvements Devices
A-124279741 Bootloader Fixes an issue causing some devices to freeze during boot Pixel 2
A-111660442 Camera Fixes an issue causing the camera to crash during video recording Pixel 3, Pixel 3 XL
A-122466831 Media Fixes a bug that causes the Netflix app to hang Pixel 2, Pixel 2 XL, Pixel 3, Pixel 3 XL
A-129149296 Hotword Updates to improves accuracy on „Ok Google Pixel 2, Pixel 2 XL, Pixel 3, Pixel 3 XL

In diesem Sinne: Fröhliches Update!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

5 Kommentare

  1. Gestern geladen, Pixel 3

  2. FriedeFreudeEierkuchen says:

    Völlig unverständlich, dass Google das Medienframework nicht einem intensiven Sicherheits-Audits unterzieht. Die Schwachstellen im Framework ziehen sich jetzt seit mindestens 2015 (Stagefright) hin. Alle par Wochen eine neue Lücke. Und viele davon fallen unter die Rubrik „Remote Code Execution“, können also auch bei großer Vorsicht ausgenutzt werden.
    Blamabel bis unverschämt.

    • Es werden immer und immer wieder neue Sicherheitslücken auftauchen. Es ist nur eine Frage des Aufwandes.

    • Klar, das macht man einmal und dann ist das sicher und man hat seine Ruhe. Zum Glück muss man ja das Medienframework nicht laufend anpassen an aktuelle Codecs usw.
      Überhaupt, warum ist Software mit Fehlern erlaubt? Ein Audit vor Release kann doch nicht zu viel verlangt sein.
      [/sarcasm]

      • FriedeFreudeEierkuchen says:

        Natürlich dürfen Fehler vorkommen , aber nicht in der Häufung und Gefährlichkeit.
        Wenn eine Komponente ständig Sicherheitslücken der schlimmsten Klasse (Remote Code Execution bzw. Drive-by-Infection) aufweist, dann sollte man handeln. Und wenn man dann tausend Audits machen muss, dann ist es halt so (sieht aber nicht professionell sondern nach Mega-Gepfusche aus).
        Oder verstehe ich dich falsch?

Schreibe einen Kommentar zu FriedeFreudeEierkuchen Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.