Android Security Bulletin September 2018: Zahlreiche geschlossene Lücken in verschiedenen Komponenten

So wie mittlerweile jeden Monat regelmäßig, hat Google das aktuelle Sicherheits-Bulletin für Android veröffentlicht. Zeitgleich mit diesem September-Bulletin gibt es für Nexus- und Pixel-Smartphones die sicherlich zeitnah aktualisierten OTA- und Image-Dateien für alle, die selber flashen wollen. Selbstverständlich kann man auch noch wieder ein wenig auf den aktuellen Patch warten, der via automatischem Update verteilt wird.

Das betrifft natürlich nicht nur Pixel 2 und Pixel 2 XL, Google hat auch die entsprechenden Dateien für Pixel, Pixel XL sowie Pixel C, Nexus 6P und Nexus 5X am Start. Googles Android-Partner werden mindestens einen Monat vor der Veröffentlichung über alle Lücken informiert. Quellcode-Patches für diese Probleme werden in den nächsten 48 Stunden im Android Open Source Project (AOSP) Repository veröffentlicht. Google nennt diverse geschlossene Sicherheitslücken mit dem Status „Hoch“, die übergreifend von Android 7 bis Android 9 vorhanden waren.

Die größte Sicherheitslücke konnte es einem entfernten Angreifer, der eine speziell gestaltete Datei verwendet, ermöglichen, beliebigen Code im Kontext einer Anwendung auszuführen, die die Bibliothek der Android Runtime verwendet. Aber auch im Framework von Android gab es diesen Angriffspunkt. Google selber teilte aber mit, dass man keine Kenntnis darüber habe, dass die Lücken ausgenutzt werden. Das Google Pixel hat ein eigenes Bulletin, hier geht es darum, dass das Pixel wieder schneller lädt, zudem die Qualität von Audio via Bluetooth auf Auto-Lautsprecher besser sein soll.