Der letzte Monat in diesem Jahr ist angebrochen – auch der letzte Dezember in dieser Dekade. Bedeutet: vermutlich auch der letzte Google-Sicherheitspatch in diesem Jahrzehnt. Hier hat man aktuell das Security Bulletin für den Dezember 2019 veröffentlicht – inklusive dem Update für die noch unterstützten Pixel-Smartphones.
Sehr kurios: Google verteilt das Dezember-Update, dabei haben viele Nutzer, inklusive mir, nicht einmal den November-Patch zum Download auf dem Pixel 4 angeboten bekommen. Nun ja, mal schauen, was da bald so kommt.
Lasst uns erst einmal zu den Sicherheitsupdates im generellen Patch von Google kommen, Nutzer eines Samsung Galaxy S10 haben den ja bereits im Rahmen des Android-10-Updates aufgespielt bekommen.
In diesem Monat musste Google richtig arbeiten, denn zahlreiche Sicherheitslücken tragen den Schweregrad „Hoch“, gleich vier gibt man im Bereich Framework an.
Die schwerwiegendste Schwachstelle im Bereich Media Framework könnte es einer lokalen bösartigen Anwendung ermöglichen, die Anforderungen der Benutzerinteraktion zu umgehen, um Zugriff auf zusätzliche Berechtigungen zu erhalten – diese Lücke wurde als kritisch eingestuft. Ebenfalls hat man schwere Sicherheitslücken im System gefunden und wohl beseitigen können:
| CVE | References | Type | Severity | Updated AOSP versions |
|---|---|---|---|---|
| CVE-2019-2224 | A-140328986 | RCE | High | 8.0, 8.1, 9, 10 |
| CVE-2019-2225 | A-110433804 | EoP | High | 8.0, 8.1, 9, 10 |
| CVE-2019-2226 | A-140152619 | ID | High | 8.0, 8.1, 9, 10 |
| CVE-2019-2227 | A-140768453 | ID | High | 9, 10 |
| CVE-2019-2228 | A-111210196 | ID | High | 8.0, 8.1, 9, 10 |
| CVE-2019-2229 | A-139803872 | ID | High | 8.0, 8.1, 9, 10 |
| CVE-2019-2230 | A-141170038 | ID | High | 10 |
Betroffen sind Android 8, 9 und 10. Smartphone-Hersteller hatten bereits im Vorfeld Zugriff auf diese Information, damit sie Gegenmaßnahmen einleiten, sprich, den Patch vorbereiten können. Hoffentlich geben da alle Schub, wobei Google mitteilt, dass man keine Informationen über die Ausnutzung der Schwachstellen habe.
Nutzer von Pixel-Smartphones bekommen auch Updates, hier gab es auch eine kritische und eine hohe Sicherheitslücke im Bereich des Systems sowie einige „moderate“ im Kernel. Die Informationseite zu funktionellen Patches beinhaltet keine – wie sonst üblich – Auflistung irgendwelcher Neuerungen, stattdessen verweist man auf die Pixel-Community, dort findet sich zur Stunde aber kein Eintrag für etwaige Dezember-Neuerungen.