03.05.2017 Android-Update schließt kritische Schwachstellen

Symbolbild

Mit dem Mai-Update schließt Google zahlreiche kritische Sicherheitslücken im Android-Betriebssystem. Eine Schwachstelle ermöglicht sogar die Ausübung von Administratorenrechten.

Beliebige Codeausführung ist aufgrund der Schwachstelle auf verschiedenen Wegen wie E-Mail, Websurfen und MMS möglich. Fälle, bei denen die Sicherheitslücke aktiv ausgenutzt wurde, sind jedoch nicht bekannt. Eine weitere kritische Schwachstelle erlaubt beispielsweise das Erlangen höherer Berechtigungen für bösartige Anwendungen bei gleichzeitiger Umgehung von allgemeinen Schutzvorkehrungen. Auch im Media- und Audioserver wurden schwerwiegende Schwachstellen entdeckt, die einer Anwendung die Ausführung beliebigen Programmcodes ermöglichen könnte. Eine andere gravierende Sicherheitslücke im Mediaserver macht es möglich, ein Gerät aus der Ferne einfrieren zu lassen oder einen Neustart auszulösen. Kritische Schwachstellen finden sich zudem in den Treibern einzelner Hersteller.

Die Updates erfolgen zu zwei Terminen und sind für alle Android-Versionen von KitKat bis Nougat verfügbar. Bereits am ersten Mai wurden sechs kritische und acht als hoch eingestufte Sicherheitslücken geschlossen. Am fünften Mai folgen Updates für weitere elf kritische und 47 als hoch eingestufte Schwachstellen.

Die von Google entwickelten Smartphones, wie zum Beispiel die aktuellen Nexus-Modelle, erhalten das Update automatisch per Mobilfunk beziehungsweise WLAN. Andere Anbieter sind seit April über die Sicherheits-Updates informiert und werden diese in der nächsten Zeit an unterstützte Smartphones und Tablets ausspielen. Samsung behebt beispielsweise gemeinsam mit den Google-Updates elf weitere Schwachstellen bei den eigenen Geräten. Bei anderen Herstellern sind die Wartezeiten für Updates teilweise sehr lang. Sicherheitsforscherinnen und -forscher üben Kritik, da viele Lücken über Monate hinweg nicht geschlossen werden. Auch Geräte, die älter als drei Jahre sind, werden meist nicht mehr mit Updates versorgt. 

Weitere Informationen:

Datum der Veröffentlichung: 03.05.2017

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria