94 einzelne Lücken, 10 kritische Sicherheitsprobleme; Googles Android Security Bulletin für den Januar hat es in sich.

Der Januar-Patchday für Android hat es in sich – sowohl was Anzahl als auch Schwere der Lücken angeht. Insgesamt 94 CVE-Nummern für eigenständige Lücken führt Googles Android Security Bulletin für Januar auf. Die schwerwiegendste lässt sich dazu ausnutzen, ein Smartphone via E-Mail, beim Browsen im Web oder mit einer MMS zu kapern.

Google veröffentlicht diese Patch-Pakete monatlich, und mehr als 50 Lücken sind da durchaus üblich. Die aktuellen 94 markieren jedoch einen traurigen Höhepunkt, der etwa Sicherheitsforscher wie Matthew Green zu verzweifeltem Aufstöhnen veranlasst: „Wie wird ein Betriebssystem, das (größtenteils) in einer ’sicheren‘ Programmiersprache geschrieben wurde, solch ein brennender Reifenstapel?“ klagt er auf Twitter.

Googles Update-Fiasko

Allein 10 der aufgeführten Problemstellen stuft Google als kritisch ein, wobei einige davon aus mehreren Einzellücken mit jeweils eigener CVE-Nummer bestehen. Besonders hervor sticht eine Lücke im Mediaserver, die sich über speziell präparierte Multimedia-Dateien ausnutzen lässt, um Code einzuschleusen und auszuführen (Remote Code Execution, CVE-2017-0381). Der zugehörige Patch besteht übrigens nur aus einer geänderten Code-Zeile. Interessant ist auch die Liste der Danksagungen an die Entdecker der Lücken, in der sich überwiegend chinesische Namen finden.

Die einzig gute Nachricht dabei: Bisher liegen zumindest Google keine Berichte vor, dass eine der Lücken bereits für Angriffe genutzt würde. Das kann sich nach der Veröffentlichung jedoch schnell ändern. Google-Geräte bekommen das Update automatisch „Over the Air“ (OTA); die Mehrzahl der Android-Nutzer muss jedoch warten, bis ihr Hersteller passende Updates veröffentlicht. Viele Android-Smartphones kommen erfahrungsgemäß erst nach vielen Monaten oder gar nicht in den Genuss der durch die Updates hergestellten Sicherheit.

Neben Google liefern Blackberry, Samsung und zuletzt auch LG recht schnell aus, beispielsweise hat das über zwei Jahre alte Galaxy Note 4 den Januar-Patch schon bekommen. Blackberry stellt die Patches vereinzelt sogar schneller bereit als Google selbst, patzte zuletzt allerdings mehrmals bei den DTEK50-Geräten, die nicht bei Blackberry, sondern im freien Handel gekauft wurden.

Quelle: //heise.de/-3603108