Android Security Bulletin: Google-Geräte: November-Patch ist da
von Benjamin Mamerow | 11 Kommentare
Ja richtig gelesen, Google-Geräte. Denn mit Erscheinen der aktuellen Pixel-Phones wandert Google ab vom vorherigen Term Nexus und bezeichnet alle von Google angebotenen Geräte ab sofort als „Google Devices“. Und heute, am 7. November 2016, erscheint auch direkt der aktuelle Geräte-Patch. Das heißt, dass in den nächsten Tagen die Nexus- und Pixel-Geräte ein frisches Update over the air (OTA) bekommen, alternativ stehen die frischen Geräte-Images (wie man die flasht, beschreiben wir hier) auf der Downloadseite des Projektes bereit. Google teilt mit, dass die Partner bereits am 20. Oktober 2016 oder früher über die Sicherheitsaspekte des Patches informiert wurden, sodass diese auch Maßnahmen ergreifen konnten, ein Update zeitnah vorzubereiten . Der Sourcecode des Patches wird in den nächsten 48 Stunden in das Android Open Source Project (AOSP) einfließen. Seit September 2016 hat Google zwei parallele Patch-Level.
Das Aufteilen der Patches in separate Fixes soll dafür sorgen, dass weitere Hersteller nicht erst alle Probleme gelöst haben müssen, um ein Update an seine Kunden zu verteilen, sondern sich zum Beispiel zuerst den wichtigsten Komponenten zuwenden kann, dafür einen Patch veröffentlicht und die eventuell nicht ganz so dringenden Lücken ein wenig später ausbügelt. Patch-Level 2016-11-05 bietet derzeit die meisten „Criticals“, um diesen String zu tragen, müssen satte zwölf kritische Lücken gefixt sein, sowie außerdem elf als „hoch“ eingestufte Sicherheitslücken. Wie immer gilt daher auch hier: Updates alle mitnehmen, sobald sie angeboten werden, Google denkt sich da schon was bei 😉
| Remote code execution vulnerability in Qualcomm crypto driver | CVE-2016-6725 | Critical | Yes |
| Elevation of privilege vulnerability in kernel file system | CVE-2015-8961, CVE-2016-7910, CVE-2016-7911 | Critical | Yes |
| Elevation of privilege vulnerability in kernel SCSI driver | CVE-2015-8962 | Critical | Yes |
| Elevation of privilege vulnerability in kernel media driver | CVE-2016-7913 | Critical | Yes |
| Elevation of privilege vulnerability in kernel USB driver | CVE-2016-7912 | Critical | Yes |
| Elevation of privilege vulnerability in kernel ION subsystem | CVE-2016-6728 | Critical | Yes |
| Elevation of privilege vulnerability in Qualcomm bootloader | CVE-2016-6729 | Critical | Yes |
| Elevation of privilege vulnerability in NVIDIA GPU driver | CVE-2016-6730, CVE-2016-6731, CVE-2016-6732, CVE-2016-6733, CVE-2016-6734, CVE-2016-6735, CVE-2016-6736 | Critical | Yes |
| Elevation of privilege vulnerability in kernel networking subsystem | CVE-2016-6828 | Critical | Yes |
| Elevation of privilege vulnerability in kernel sound subsystem | CVE-2016-2184 | Critical | Yes |
| Elevation of privilege vulnerability in kernel ION subsystem | CVE-2016-6737 | Critical | Yes |
| Vulnerabilities in Qualcomm components | CVE-2016-6726, CVE-2016-6727 | Critical | Yes |
| Remote code execution vulnerability in Mediaserver | CVE-2016-6699 | Critical | Yes |
| Elevation of privilege vulnerability in libzipfile | CVE-2016-6700 | Critical | No* |
| Elevation of privilege vulnerability in kernel memory subsystem | CVE-2016-5195 | Critical | Yes |
Die wohl am meisten dramatische Lücke bestand darin, dass eigentlich geblockter Remote-Code durch diverse Dienste wie Email, Browsing oder MMS beim Verarbeiten von Medien-Daten ausgeführt werden konnte.
Wird geladen ...
Nexus 5 ist nicht mehr dabei?!
Soweit ich weiß schon letzten Monat nicht mehr. 🙂
Uuuund….schnapp, Factory Image ist schon drauf auf dem 5x, geht immer wieder aufs neue ratz fatz 😀
@Glü: Doch 5. Oktober hab ich installiert
Die BlackBerrys erhalten die November-Updates auch bereits. http://crackberry.com/blackberry-priv-dtek50-and-dtek60-november-updates-now-available
Welche Hersteller sind denn bei diesen Updates besonders vorbildlich?
@Fly: Siehe ein Kommentar über dir: BlackBerry. Sind m.W. die einzigen, die wirklich monatlich wie Google liefern. Moto und Sony (zumindest bei den Z-Modellen) sind auch etwas besser als der Durchschnitt.
Samsung verteilt auch schon den November Patch für das S7 und S7 Edge.
Ganz schön abgebrüht, dem Nexus 5 noch den Oktober-Patch zu geben, anstelle von Nougat und das dann im nächsten Monat auch stillschweigend zu beerdigen.
Das N5 hatte dann jetzt 2,99 Jahre lang immer das aktuellste OS und das passende Security-Update. Ich würde das ja mal unter „OK“ ablegen. Dann kommt nun eben doch nochmal CyanogenMod zum Einsatz oder evtl auch eine Nougat-Rom.
Sehr schön, wenigstens haben sie dieses Mal nicht wieder das Nexus 9 LTE „vergessen“ wie letzten Monat!