Rekord-Monat: Android Patch-Paket für Januar schließt 94 Lücken – davon 10 schwerwiegende
Jeden Monat veröffentlicht Google eine große Patch-Sammlung für Android, die eine Reihe von Sicherheitslücken schließt und weitere Probleme löst. Jetzt wurde das Paket für den Monat Januar veröffentlicht, und ist dieses mal Rekordverdächtig: Allein in diesem Monat werden mit dem Patch mehr als 90 Lücken geschlossen, wovon sogar 10 als schwerwiegend markiert worden sind.
Schon seit zwei Jahren liefert Google geplante monatliche Sicherheits-Updates für Android aus, um dringende Lücken schnell zu schließen und auch zeitnah an die Hersteller zu verteilen. Da diese Lücken in einigen Fällen sehr schwerwiegend sein können, so wie der damals ausschlaggebende Stagefright-Bug im Mediaserver liefern glücklicherweise auch die großen Hersteller wie Samsung oder LG die Updates relativ schnell an ihre Smartphones aus.
In diesem Monat besteht das Patch-Paket aus ganzen 94 Bugfixes, von denen gleich 10 der Lücken als „schwerwiegend“ bezeichnet worden sind. Natürlich ist es sehr schön zu sehen, dass Google eine so große Anzahl an Lücken im eigenen Betriebssystem nun schließt, aber genau so muss man sich aber auch fragen, ob Android damit nicht langsam aber sicher zum Scheunentor geworden ist – wie es auch ein Sicherheitsforscher auf Twitter treffend auf den Punkt gebracht hat.
How does an operating system (largely) written in a "safe" language manage to be such a tire fire? pic.twitter.com/HVqK2SOe8q
— Matthew Green (@matthew_d_green) 18. Januar 2017
Die Lücken haben es unter anderem erlaubt, durch eine manipulierte E-Mail, SMS oder gar Webeite beliebigen Code auszuführen. Schuld daran ist vor allem der Mediaserver, der seit einigen Jahren schon große Probleme bereitet und immer wieder der Ausgangspunkt für Angriffe ist. Der schwerwiegendste Bug konnte interessanterweise durch die Änderung von nur einer Codezeile behoben werden.
Damit ist der Monat Januar nicht nur in punkto Gesamtanzahl der Patches sondern auch der Anzahl der schwerwiegenden Lücken der traurige Rekordmonat seit der Einführung des Patch Days. Zwar werden Google-Smartphones das Update in den nächsten Tagen bekommen, aber ob und wann alle anderen Hersteller die Updates ausliefern, dahinter steht immer ein großes Fragezeichen. Und spätestens mit der Veröffentlichung dieser Lücken, sind natürlich alle anderen gefährdet. Bisher wurde laut Google aber noch keine der Lücken tatsächlich ausgenutzt.
» Android Security Bulletin Januar 2017
[heise]
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter