Android Security Bulletin: Nexus: August-Patch ist da
Wir schreiben den 1. August 2016 – recht aktuell bringt Google mal wieder den monatlichen Nexus-Patch auf den Weg. Das heißt, dass in den nächsten Tagen die Nexus-Geräte ein frisches Update over the air (OTA) bekommen, alternativ stehen die frischen Nexus-Images (Nexus OTA (wie man die flasht, beschreiben wir hier) und Factory Images) auf der Downloadseite des Projektes bereit. Google teilt mit, dass die Partner bereits am 6. Juli 2016 oder früher über die Sicherheitsaspekte des Patches informiert wurden, sodass diese auch Maßnahmen ergreifen konnten, ein Update zeitnah vorzubereiten . Der Sourcecode des Patches wird in den nächsten 48 Stunden in das Android Open Source Project (AOSP) einfließen.
Das neue Bulletin spricht zwei Security Patch Level an, auf der einen den kompletten als auch den partiellen, hiermit will man den Android-Partnern mehr Flexibilität beim Schließen von Sicherheitslücken geben. Nexus-Nutzer werden das einzelne OTA-Update mit dem String 2016-08-05 bekommen. Das neue Security Bulletin 2016-08-01 weist wieder einmal den Punkt „Remote code execution vulnerability in Mediaserver“ als kritische Sicherheitslücke aus, aber es ist die einzige mit diesem Status. Vier tragen den Status kritisch.
Das Security Patch Level 2016-08-05 nennt sieben kritische Sicherheitslücken, die man geschlossen hat. Gerade Qualcomm-Geräte kamen ja in die Medien, da hier die Verschlüsselung der Geräte offenbar leicht umgangen werden konnte – entsprechend hoch ist die Anzahl der CVEs, alleine der Punkt „Elevation of privilege vulnerability in Qualcomm components“ weist 35 CVEs (Common Vulnerabilities and Exposures) aus. Dieses Mal hat es also richtig gerappelt und man hat offensichtlich einiges zu tun gehabt. Hersteller wie LG, Samsung und Co werden sicherlich die Tage nachziehen (müssen), die Nexus-Nutzer können ab sofort selbst Hand anlegen oder einfach ein paar Tage warten.
Und der Audio-Bug beim Nexus?
Der Audio-Bug wird mitgefixt: https://code.google.com/p/android/issues/detail?id=215483#c296
Mit den monatlichen Updates bekommt man erstmal mit, wieviel Lücken Android doch hat. Vorher war mir das garnicht so klar, dass Android so viele Löcher hat.
@Ralli Nicht nur wie viele sondern auch die Qualität. Da sind teilweise schon krasse Lücken dabei. Und Google lässt sich teilweise auch einfach mal ein paar Monate Zeit nach Bekanntwerden bzw. Dokumentation der Lücken (man darf sich erinnern wie sie Microsoft auflaufen ließen mit der Veröffentlichung von Lücken).
Die Qualität ist nicht schlechter als wo anders … Android hat den Vorteil das es es zum Großteil eben opensource ist und so vieles leichter gefunden wird. Apple fixt z.b. vieles im Hintergrund und es muss mühsam herausgefunden werden 🙂
Man sollte sich vor Augen halten das alle nur mit Wasser kochen 😀
Btw. freue ich mich auf die baldige Ankunft auf dem S7 😉
Jedes System hat doch Sicherheitslücken. Es ist nur eine Frage der Zeit bis man Lücken erkennt/aufdeckt. Jedoch muss die andere Seite sowas auch erst mal ausnutzen und da ich in keinster Weise bei meiner Nutzung beeinträchtigt werde, verstehe ich das Problem darum auch nicht.
Ich flashe mein S7 Edge monatlich auf den neusten Sicherheitspatch und wurde noch nie mit Problemen konfrontiert, auch nicht als es noch keine monatlichen Sicherheitsupdates gab. Wenn es große Sicherheitslücken gibt die meinen täglichen Gebrauch gefährden ist das was anderes.