Android Security Bulletin: Nexus: August-Patch ist da

Wir schreiben den 1. August 2016 – recht aktuell bringt Google mal wieder den monatlichen Nexus-Patch auf den Weg. Das heißt, dass in den nächsten Tagen die Nexus-Geräte ein frisches Update over the air (OTA) bekommen, alternativ stehen die frischen Nexus-Images (Nexus OTA (wie man die flasht, beschreiben wir hier) und Factory Images) auf der Downloadseite des Projektes bereit. Google teilt mit, dass die Partner bereits am 6. Juli 2016 oder früher über die Sicherheitsaspekte des Patches informiert wurden, sodass diese auch Maßnahmen ergreifen konnten, ein Update zeitnah vorzubereiten . Der Sourcecode des Patches wird in den nächsten 48 Stunden in das Android Open Source Project (AOSP) einfließen.

Das neue Bulletin spricht zwei Security Patch Level an, auf der einen den kompletten als auch den partiellen, hiermit will man den Android-Partnern mehr Flexibilität beim Schließen von Sicherheitslücken geben. Nexus-Nutzer werden das einzelne OTA-Update mit dem String 2016-08-05 bekommen. Das neue Security Bulletin 2016-08-01 weist wieder einmal den Punkt „Remote code execution vulnerability in Mediaserver“ als kritische Sicherheitslücke aus, aber es ist die einzige mit diesem Status. Vier tragen den Status kritisch.

Das Security Patch Level 2016-08-05 nennt sieben kritische Sicherheitslücken, die man geschlossen hat. Gerade Qualcomm-Geräte kamen ja in die Medien, da hier die Verschlüsselung der Geräte offenbar leicht umgangen werden konnte – entsprechend hoch ist die Anzahl der CVEs, alleine der Punkt „Elevation of privilege vulnerability in Qualcomm components“ weist 35 CVEs (Common Vulnerabilities and Exposures) aus. Dieses Mal hat es also richtig gerappelt und man hat offensichtlich einiges zu tun gehabt. Hersteller wie LG, Samsung und Co werden sicherlich die Tage nachziehen (müssen), die Nexus-Nutzer können ab sofort selbst Hand anlegen oder einfach ein paar Tage warten.