Google schließt mit Sicherheitsupdate 7 kritische Lücken in Android

Das Sicherheitsupdate wird ab sofort für das Nexus 6P, 5X, 6, 5, 7 (2013), 9, das Google Pixel C, den Nexus Player mit Android 6.0.1 und sogar das Nexus 10 mit Android 5.1.1 ausgeliefert. Möchte man nicht auf das OTA-Update warten, ist eine manuelle Installation mithilfe der Factory Images sofort möglich.

Google hat damit begonnen, das Februar-Update für Android auszuliefern, mit dem es insgesamt 13 Sicherheitslücken schließt, von denen sieben als kritisch eingestuft werden, weil sie das Ausführen von Schadcode aus der Ferne oder das Ausweiten von Nutzerrechten erlauben. Wie üblich werden die Nexus-Geräte die Patches als erstes erhalten. Bis die weiteren Hersteller und Mobilfunkprovider nachziehen, dürfte noch etwas Zeit vergehen. Samsung hatte allerdings zuletzt bewiesen, dass dies auch in wenigen Wochen passieren kann.

(Bild: ZDNet.com)

Nach Angaben von Google liegen bislang keine Hinweise vor, dass die kritischen Sicherheitslücken bereits aktiv ausgenutzt wurden. Dennoch sollte das aktuelle Android-Update laut Google installiert werden, sobald es auf dem Nexus-Gerät zur Verfügung steht. Auf ungepatchten Smartphones und Tablets könnten Hacker die Schwachstellen ausnutzen, indem sie Anwender dazu bringen, eine präparierte Mediendatei abzuspielen, die etwa per E-Mail, MMS oder über eine Webseite auf das Smartphone gelangen kann. Auch ein Einwählen in ein kompromittiertes Netzwerk, kann Angreifern bereits Tür und Tor öffnen. Aufgrund einer Anfälligkeit im Broadcom-WLAN-Treiber lässt sich schädlicher Code per Remote-Zugriff ausführen.

Des Weiteren gehen von sechs Sicherheitslücken laut Google ein „hohes“ Risiko aus. Sie erlauben teilweise ebenfalls eine Rechteausweitung sowie Denial of Service und das Ausspähen von Informationen. Betroffen sind die Komponenten Minikin, WLAN, Mediaserver und libmediaplayerservice. Die zwei restlichen Schwachstellen stuft Google als „moderat“ ein. Sie stecken im Setup Wizard und können wiederum zum Ausweiten von Rechten missbraucht werden.

Das Sicherheitsupdate erhalten zum Großteil nur die Nexus-Smartphones und -Tablets, die auch die Aktualisierung auf Android 6.0.1 bekommen haben. Dies sind die Modelle Nexus 6P, Nexus 5X, Nexus 6, Nexus 5 und Nexus 7 (2013). Die neue Android 6.0.1 Marshmallow Build-Nummer lautet MMB29Q. Zudem erhalten das Google-Tablet Pixel C (Build MXB48T), das Nexus 9 (Build MMB29R) und der Nexus Player (MMB29U) das Februar-Update ebenfalls Over the Air (OTA). Überraschenderweise stellt Google außerdem aber auch ein Update für das drei Jahre alte Nexus 10 mit Android 5.1.1 bereit (Build LMY49G).

Nexus-Besitzer, die nicht auf das reguläre Over-the-Air-Update warten und sich länger den Sicherheitslöchern aussetzen möchten, können das Update auch mithilfe der Betriebssystemabbilder manuell installieren. Die Factory Images stehen wie üblich auf der Entwicklerseite des Unternehmens bereit.

Für die Installation eines Factory Image müssen die Komponenten adb und fastboot aus dem Android-SDK installiert sowie der USB-Debug-Modus auf dem Gerät aktiviert werden. Für den Zugriff auf das Smartphone oder Tablet ist zudem die Installation des ADB-Treibers nötig.

Was genau zu tun ist, das können Android-Nutzer in dem Beitrag Android 4.4: So klappt die manuelle Installation auf einem Nexus 4, Nexus 7 und Nexus 10, der die Installation eines Factory Images mit Hilfe der Flash-all.bat auf einem Nexus 7 in der WiFi-Ausführung aus dem Jahr 2012 sowie einem Nexus 4 am Beispiel von Android 4.4 zeigt. Grundlegend ist die Vorgehensweise für das Installieren der Betriebssystemabbilder von Android 6.0.1 aber identisch. Wer die von Google veröffentlichten Images verwendet, erhält übrigens auch künftig OTA-Updates auf neue Versionen.

Die manuelle Installation von Android 6.0.1 Marshmallow dürfte aber nicht für alle Nexus-Besitzer eine ideale Lösung sein, denn dabei wird das Smartphone je nach Methode in den Werkszustand zurückversetzt. Dabei gehen alle vorhandenen Daten komplett verloren – zumindest wenn man den einfacheren Weg wählt und das Factory Image mit Hilfe des Install-Scripts Flash-all.bat installiert. Wer statt dem Script die nötigen Befehle abändert und einzeln ausführt sowie den Bootloader bereits geöffnet hat, der kann seine Daten auch behalten. Es kann allerdings auch nicht schaden, das System ab und an neu aufzusetzen.

[Mit Material von Björn Greif, ZDNet.de]

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu Google schließt mit Sicherheitsupdate 7 kritische Lücken in Android

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *