Google: Android-Patch Oktober und entsprechendes Sicherheits-Bulletin veröffentlicht
von caschy | 6 Kommentare
So wie mittlerweile jeden Monat regelmäßig, hat Google das aktuelle Sicherheits-Bulletin für Android veröffentlicht. Zeitgleich mit diesem Oktober-Bulletin gibt es für Nexus- und Pixel-Smartphones die sicherlich zeitnah aktualisierten OTA- und Image-Dateien für alle, die selber flashen wollen. Selbstverständlich kann man auch noch wieder ein wenig auf den aktuellen Patch warten, der via automatischem Update verteilt wird.
Das betrifft natürlich nicht nur Pixel 2 und Pixel 2 XL, Google hat auch die entsprechenden Dateien für Pixel, Pixel XL sowie Pixel C, Nexus 6P und Nexus 5X am Start. Googles Android-Partner werden mindestens einen Monat vor der Veröffentlichung über alle Lücken informiert.
Quellcode-Patches für diese Probleme werden in den nächsten 48 Stunden im Android Open Source Project (AOSP) Repository veröffentlicht. Google nennt diverse geschlossene Sicherheitslücken mit dem Status „Kritisch“ und „Hoch“, die übergreifend von Android 7 bis Android 9 vorhanden waren.
Framework:
| CVE | References | Type | Severity | Updated AOSP versions |
|---|---|---|---|---|
| CVE-2018-9490 | A-111274046 | EoP | Critical | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9491 | A-111603051 | RCE | High | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9492 | A-111934948 | EoP | High | 8.0, 8.1, 9 |
| CVE-2018-9493 | A-111085900 | ID | High | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9452 | A-78464361 | DoS | Moderate | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
Media Framework:
| CVE | References | Type | Severity | Updated AOSP versions |
|---|---|---|---|---|
| CVE-2018-9473 | A-65484460 | RCE | Critical | 8.0 |
| CVE-2018-9496 | A-110769924 | RCE | Critical | 9 |
| CVE-2018-9497 | A-74078669 | RCE | Critical | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9498 | A-78354855 | RCE | Critical | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9499 | A-79218474 | ID | High | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
System:
| CVE | References | Type | Severity | Updated AOSP versions |
|---|---|---|---|---|
| CVE-2017-13283 | A-78526423 | RCE | Critical | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9476 | A-109699112 | EoP | Critical | 8.0, 8.1 |
| CVE-2018-9504 | A-110216176 | RCE | Critical | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9501 | A-110034419 | EoP | High | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9502 | A-111936792 | ID | High | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9503 | A-80432928 | ID | High | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9505 | A-110791536 | ID | High | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9506 | A-111803925 | ID | High | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9507 | A-111893951 | ID | High | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9508 | A-111936834 | ID | High | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9509 | A-111937027 | ID | High | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9510 | A-111937065 | ID | High | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9511 | A-111650288 | DoS | High | 9 |
Die größte Sicherheitslücke konnte es einem entfernten Angreifer, der eine speziell gestaltete Datei verwendet, ermöglichen, beliebigen Code im Kontext einer Anwendung auszuführen, die die Bibliothek der Android Runtime verwendet. Aber auch im Framework von Android gab es diesen Angriffspunkt.
Google selber teilte aber mit, dass man keine Kenntnis darüber habe, dass die Lücken ausgenutzt werden. Das Google Pixel hat ein eigenes Bulletin, hier geht es darum, dass das Pixel wieder schneller lädt, zudem die Stabilität verbessert wird, wenn man Android Auto mit dem Smartphone nutzt:
| References | Category | Improvements | Devices |
|---|---|---|---|
| A-112486006 | Media | Improved performance for certain protected media formats | Pixel 2, Pixel 2 XL |
| A-112529920 | Power | Improved fast-charging behavior for Pixel devices | Pixel, Pixel XL |
| A-79643956 | Stability | Improved stability when using Android Auto | Pixel 2, Pixel 2 XL |
| A-111467967 | Performance | Modified Call Screening behavior when using Maps Navigation | All |
Wird geladen ...
Evtl. der letzte offizielle Patch für das Pixel C, mal schauen, ob da nächsten Monat wider Erwarten doch noch etwas nachkommt.
Ich habe mit meinem Pixel 2 momentan das Problem, dass im „Android Auto auf dem Telefon“-Modus keine Spracheingaben erkannt werden, als ob das Mikrophon deaktiviert wäre. Im normalen Android-Auto-Modus (an das Auto angeschlossen) funktioniert es. Hoffe mal, dass dieses Problem durch „Improved stability when using Android Auto“ gelöst wird.
Das geht bei mir, ist aber extrem anfällig für Geräusche. Ich habe das Gefühl das der normale Fahrtlärm da manchmal Probleme macht. Teilweise muss ich es öfter sagen bis es überhaupt geht.
Ich frage mich, wann Google endlich mal den Charging Bug beim Pixel 2 XL behebt. Bei den kühleren Temperaturen muss man jetzt schon wieder anfangen den Akku auf über 20°C zu bringen vor dem laden – extrem nervig und hatte sonst noch kein anderes Gerät bei mir.
Aber Google behandelt es sicher wieder als Feature wie bei dem nicht arbeitenden oberen Lautsprecher bei Klingeltönen.
Das Update kam schon heute morgen. Habe das Pixel 2 seit 8 Monaten und so früh im Monat kann das Update noch nie.
Pixel 2 XL , bisher noch nichts eingetroffen