Android Security Bulletin: Nexus: Juli-Patch ist da

Wir schreiben den 6. Juli 2016 – recht aktuell bringt Google mal wieder den monatlichen Nexus-Patch auf den Weg. Das heißt, dass in den nächsten Tagen die Nexus-Geräte ein frisches Update over the air (OTA) bekommen, alternativ stehen die frischen Nexus-Images (Nexus OTA und Factory Images) auf der Downloadseite des Projektes bereit. Google teilt mit, dass die Partner bereits am 6. Juni 2016 oder früher über die Sicherheitsaspekte des Patches informiert wurden, sodass diese auch Maßnahmen ergreifen konnten, ein Update zeitnah vorzubereiten . Der Sourcecode des Patches wird in den nächsten 48 Stunden in das Android Open Source Project (AOSP) einfließen.

Kleiner Auszug:

Google zählt einen ganzen Schwung geschlossener Sicherheitslücken auf, zwei davon haben sogar den Status kritisch. Wieder einmal (schon mehrere Monate) steht der Mediaserver (Remote code execution vulnerability in Mediaserver) mit CVE-2016-2506, CVE-2016-2505, CVE-2016-2507, CVE-2016-2508, CVE-2016-3741, CVE-2016-374 und CVE-2016-3743 im Blickpunkt, Angreifer hätten über ihn Schadcode remote ausführen können. Ferner gibt es eine Möglichkeit des Remote-Code-Ausführens über OpenSSL & BoringSSL. Dies ist sogar via Bluetooth möglich, wird aber lediglich als „hoch“ eingestuft.

In diesem Sinne: falls ihr auf OTA wartet – das Update sollte bald bei euch eintreffen – und auch wenn Google mitteilt, dass man keine Kenntnis darüber erlangt hat, dass die Sicherheitslücken aktiv ausgenutzt werden, so sollte man natürlich aktualisieren.

(danke stanzilla!)