{"id":192854,"date":"2017-08-08T02:10:37","date_gmt":"2017-08-08T00:10:37","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=192854"},"modified":"2023-03-03T09:55:19","modified_gmt":"2023-03-03T08:55:19","slug":"android-sicherheitsupdates-august-2017","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/08\/08\/android-sicherheitsupdates-august-2017\/","title":{"rendered":"Android Sicherheitsupdates August 2017"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/android.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"http:\/\/borncity.com\/win\/2017\/08\/08\/android-security-updates-august-2017\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Google hat seine Sicherheitsupdates August 2017 f\u00fcr die unterst\u00fctzten Android-Ger\u00e4te freigegeben bzw. an die Hersteller ausgeliefert. Insgesamt 52 L\u00fccken wurden geschlossen, wobei 10 als kritisch eingestuft werden. Hier einige Informationen, was diesen Monat gefixt wurde und warum man Android eigentlich als Betriebssystem in die Tonne kloppen m\u00fcsste.<\/p>\n<p><!--more--><\/p>\n<h2>Zwei Pakete f\u00fcr Sicherheitsupdates<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/cec58418a26f4647afc5835fc844f6b2\" alt=\"\" width=\"1\" height=\"1\" \/>Google hat die Sicherheitsupdates f\u00fcr seine Pixel- und Nexus-Ger\u00e4te, die noch unterst\u00fctzt werden, auf <a href=\"https:\/\/source.android.com\/security\/bulletin\/2017-08-01\" target=\"_blank\" rel=\"noopener\">dieser Webseite<\/a> angek\u00fcndigt. Die Sicherheitsupdates unterteilen sich in zwei Pakete:<\/p>\n<ul>\n<li><strong>2017-08-01<\/strong>: Partial security patch level string. This security patch level string indicates that all issues associated with 2017-08-01 (and all previous security patch level strings) are addressed.<\/li>\n<li><strong>2017-08-05<\/strong>: Complete security patch level string. This security patch level string indicates that all issues associated with 2017-08-01 and 2017-08-05 (and all previous security patch level strings) are addressed.<\/li>\n<\/ul>\n<p>Nur das Paket vom 5. August 2017 beinhaltet alle Sicherheitsupdates. In den Details zu den Updates gibt Google an, dass einige \u00e4u\u00dferst kritische Sicherheitsl\u00fccken (von Android 4.4.4 bis Android 7.1.2), die beispielsweise im Media Framework lauern, geschlossen werden.<\/p>\n<h2>Autsch, Sicherheitsl\u00fccken aller orten \u2013 das wird nix mehr<\/h2>\n<p>Die Details zu den geschlossenen Sicherheitsl\u00fccken finden sich auf <a href=\"https:\/\/source.android.com\/security\/bulletin\/2017-08-01\" target=\"_blank\" rel=\"noopener\">dieser Webseite<\/a>. Geht man die einzelnen Positionen durch, gelangt man m\u00f6glicherweise zur Erkenntnis, dass Android sicherheitstechnisch l\u00f6chrig wie ein Schweizer K\u00e4se ist und dieser Zustand auch nicht mehr behoben werden kann. Wie oft habe ich im Blog bereits \u00fcber L\u00fccken im oben erw\u00e4hnten Media Framework berichtet? Da wurde gepatcht, was das Zeugs h\u00e4lt (wobei 99,99999 % der Android-Ger\u00e4te nicht mal diese Updates erhalten haben. Hier mal nur die als kritisch eingestuften Patches im Media Framework.<\/p>\n<ul>\n<li><strong>CVE-2017-0714:<\/strong> Remote Code Execution, Android-Updates f\u00fcr 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2<\/li>\n<li><strong>CVE-2017-0715:<\/strong> Remote Code Execution, Android-Updates f\u00fcr 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2<\/li>\n<li><strong>CVE-2017-0716:<\/strong> Remote Code Execution, Android-Updates f\u00fcr 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2<\/li>\n<li><strong>CVE-2017-0718:<\/strong> Remote Code Execution, Android-Updates f\u00fcr 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2<\/li>\n<li><strong>CVE-2017-0719:<\/strong> Remote Code Execution, Android-Updates f\u00fcr 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2<\/li>\n<li><strong>CVE-2017-0720<\/strong>: Remote Code Execution, Android-Updates f\u00fcr 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2<\/li>\n<li><strong>CVE-2017-0721:<\/strong> Remote Code Execution, Android-Updates f\u00fcr 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2<\/li>\n<li><strong>CVE-2017-0722:<\/strong> Remote Code Execution, Android-Updates f\u00fcr 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2<\/li>\n<li><strong>CVE-2017-0723<\/strong>: Remote Code Execution, Android-Updates f\u00fcr 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2<\/li>\n<li><strong>CVE-2017-0745:<\/strong> Remote Code Execution, Android-Updates f\u00fcr 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2<\/li>\n<\/ul>\n<p>Da f\u00e4llt mir nur ein 'Und monatlich gr\u00fc\u00dft das Stagefright-Murmeltier' (siehe Link-Liste am Artikelende). Insgesamt kommt man auf 52 Sicherheitsl\u00fccken, davon 10 kritische, die mit den Updates geschlossen werden. \u00c4hnlich wie in den Vormonaten sind auch wieder Ger\u00e4tetreiber dabei, die aus Sicherheitsgr\u00fcnden aktualisiert werden.<\/p>\n<h2>Skandal: Knapp mehr als ein halbes Duzend Ger\u00e4te<\/h2>\n<p>Kommen wir zum eigentlichen Skandal an der Meldung. Denn genau genommen bekommen nur sieben Google Ger\u00e4te das Sicherheitsupdate. Hier die Liste der Ger\u00e4te, die ein Update von Google erhalten:<\/p>\n<ul>\n<li>Pixel \/ Pixel XL<\/li>\n<li>Nexus 5X<\/li>\n<li>Nexus 6<\/li>\n<li>Nexus 6P<\/li>\n<li>Nexus 9<\/li>\n<li>Nexus Player<\/li>\n<li>Pixel C<\/li>\n<\/ul>\n<p>Nach dem das Update installiert wurde, sollten die Pakete einen Patch-Level vom 5. August 2017 aufweisen. Die Over-the-air Updates (OTA) und die Firmware-Images f\u00fcr die Google-Ger\u00e4te finden sich auf der <a href=\"https:\/\/developers.google.com\/android\/nexus\/images\" target=\"_blank\" rel=\"noopener\">Google Developer-Webseite<\/a>.<\/p>\n<p>Wenn es noch eines Beweises bedurft h\u00e4tte, dass man Android in die Tonne kloppen sollte, dann wurde das heute belegt. Die Stagefright-L\u00fccke, die \u00fcber eine Milliarde Android-Ger\u00e4te bedrohte, wurde 2015 bekannt. Es sind also fast zwei Jahre vergangen, und Google bekommt es nicht gebacken.<\/p>\n<p>Im Grunde m\u00fcsste man an dieser Stelle eine Empfehlung f\u00fcr Apples iOS-Ger\u00e4te aussprechen, da dort wenigstens \u00fcber einen Zeitraum von ca. 5 Jahren Updates bereitgestellt werden. Alternativ w\u00e4re es eine M\u00f6glichkeit, sofern man entsprechende Ger\u00e4te und etwas Know How besitzt, auf <a href=\"https:\/\/web.archive.org\/web\/20221128185933\/https:\/\/www.lineageosrom.com\/2017\/05\/list-of-devices-getting-lineage-os-15--android-8.html\" target=\"_blank\" rel=\"noopener\">Lineage OS<\/a> auszuweichen. Dort gibt es meist Sicherheitsupdate f\u00fcr \u00e4ltere Ger\u00e4te.<\/p>\n<p>Abschlie\u00dfend bleibt noch die spannende Frage, ob heute, am 8.8. 2017, Android O angek\u00fcndigt wird und welche Sicherheitsl\u00fccken diese Variante auf die Ger\u00e4te bringt.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2015\/07\/28\/stagefright-lcke-bedroht-950-millionen-android-gerte\/\">Stagefright-L\u00fccke bedroht 950 Millionen Android-Ger\u00e4te<\/a><br \/>\nAndroid-Sicherheit: Stagefright-Exploit ver\u00f6ffentlicht<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2015\/10\/02\/stagefright-2-0-1-milliarde-android-gerte-unsicher\/\">Stagefright 2.0: 1 Milliarde Android-Ger\u00e4te unsicher \u2026<\/a><br \/>\n<a href=\"https:\/\/web.archive.org\/web\/20151110133041\/https:\/\/www.borncity.com:80\/blog\/2015\/10\/07\/google-fixt-stagefright-2-0-lcke-in-android\/\">Google fixt Stagefright 2.0-L\u00fccke in Android<\/a><br \/>\nAndroid und die Stagefright-L\u00fccken: Nexus und Galaxy S4<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2016\/03\/21\/neue-stagefright-angriffsmethode-in-android-gefunden\/\">Neue Stagefright-Angriffsmethode in Android gefunden<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Google hat seine Sicherheitsupdates August 2017 f\u00fcr die unterst\u00fctzten Android-Ger\u00e4te freigegeben bzw. an die Hersteller ausgeliefert. Insgesamt 52 L\u00fccken wurden geschlossen, wobei 10 als kritisch eingestuft werden. Hier einige Informationen, was diesen Monat gefixt wurde und warum man Android eigentlich &hellip; <a href=\"https:\/\/borncity.com\/blog\/2017\/08\/08\/android-sicherheitsupdates-august-2017\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,426,185],"tags":[4308,4328,4315],"class_list":["post-192854","post","type-post","status-publish","format-standard","hentry","category-android","category-sicherheit","category-update","tag-android","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/192854","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=192854"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/192854\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=192854"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=192854"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=192854"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}