Außerplanmäßiges Android-Sicherheits-Update März 2016

Publiziert am 19. März 2016 von Günter Born

Google hat am 18. März 2016 ein außerplanmäßiges Android Security Advisory herausgegeben, welches eine einiger Zeit entdeckte Sicherheitslücke adressiert. Nexus-Geräte werden teilweise mit einem außerplanmäßigen Sicherheits-Update versehen.

Anzeige

Android und die Sicherheit ist ja ein schwieriges Gelände. Das, was viele Gerätehersteller momentan an Smartphones und Tablet PCs anbieten, kommt mit Android 5.x. Und da gibt es kaum oder keine Updates – von älteren Android-Versionen ganz zu schweigen. Erst ab Android 6 (Marshmallow) hat Google ja einen Patch-Mechanismus für monatliche Sicherheits-Updates eingeführt. Allerdings muss man sagen, dass diese Update-Garantie nur 18 Monate gilt und ältere Nexus-Geräte aus dem Support herausfallen. Mein Nexus 4 hat immer noch Android 5.1.1 und bekommt keine Sicherheits-Updates.

Zurück zum Thema: Im Linux-Kernel ist seit langem eine Lücke bekannt, die im April 2014 gefixt wurde. Die Lücke ermöglicht eine Erhöhung der Berechtigungen (elevation of privilege). Für Google war das aber nicht "relevant", weil CVE-2015-1805 nicht als "sicherheitskritisch" eingestuft wurde. Dies erfolgte erst am 2. Februar 2015. Also hat man bei Google beruhigt "die Füße still gehalten". Am 19. Februar 2016 informierte das C0RE Team Google über die Möglichkeit, dass die Sicherheitslücke unter Android ausgenutzt werden könnte.

Von Google wurde ein Patch entwickelt und im Rahmen der monatlichen Updates Anfang März 2016 veröffentlich (siehe obigen Screenshot). Zudem blockt Google die Installation von Root-Apps, die diese Lücke ausnutzen können.

Am 15. März 2016 erhielt Google eine weitere Information von den Sicherheitsforschern von Zimperium, die festgestellt hatten, dass die Sicherheitslücke aktiv auf einem Nexus 5 ausgenutzt wurde. Google stellte fest, dass eine öffentlich verfügbare Root-App verfügbar war, die diese Lücke auf Nexus 5 und Nexus 6 ausnutzen konnte (da wohl zum Rooten benutzt).

Anzeige

Nun hat Google reagiert und in diesem Android Security Advisory—2016-03-18 die Informationen offen gelegt. Gleichzeitig wurde ein Patch entwickelt, der am 16. März 2016 an Partner herausgegeben wurde. Für Nexus-Geräte von Google wird der Patch in den kommenden Tagen per OTA-Update ausgerollt.  Muss mach sehen, welche Nexus-Geräte den Patch wann erhalten. Für das Nexus 4 könnte es heißen, auf CM 13 zu wechseln.

Ähnliche Artikel:
Android: November-Update 2015 rollt an – ist aber kompliziert
Android 6.0.1 für Nexus-Geräte freigegeben
Android 6.0.1 für Nexus-Geräte
Nexus 7 (2013) auf Android 6.0 (Marshmallow) aktualisieren
CyanogenMod 13 gibt erste "Android 6"-Builds frei

Anzeige
Dieser Beitrag wurde unter Sicherheit, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.