Im Rahmen seines monatlichen Update-Rhythmus hat Google vor kurzem fehlerbereinigte Versionen seines Betriebssystems Android veröffentlicht. Welche Bugs dabei konkret ausgeräumt wurden, führt das Android Security Bulletin für den Monat Juli aus – und bei näherer Betrachtung sticht dabei vor allem ein Fehler heraus.

BroadPWN

Mit dem aktuellen Update wird nämlich ein besonders kritischer Bug in den WLAN-Treibern von Broadcom bereinigt. Über diesen kann theoretisch von Personen im direkten Umfeld Code auf ein Gerät eingeschmuggelt und mit Kernel-Rechten zur Ausführung gebracht werden, warnt Google.

Was das Problem besonders interessant macht: Broadcom-Chips kommen in praktisch allen Smartphones zum Einsatz, und betreffen somit potentiell nicht nur Android-Geräte. Die referenzierte Sicherheitslücken-ID verweist denn auch auf einen für Ende Juli geplanten Vortrag auf der Sicherheitskonferenz Black Hat, in dem weitere Details genannt werden sollen. Unter dem Namen BroadPWN spricht man dabei explizit von Fehlern in mehreren Broadcom-Chipsets (die BCM43xx-Familie), die neben Android auch iOS gefährden sollen.

Gefährdungslage

Die Entdecker der Lücke betonen dabei das hohe Gefährdungspotential. Die WLAN-Treiber seien mit hohen Rechten ausgestattet, würden aber – im Gegensatz zu anderen Systemkomponenten – praktisch ohne separaten Exploit-Schutz laufen, was Bugs in diesen Komponenten besonders interessant mache, da sie relativ zuverlässig auszunutzen sind. Betroffen sollen neben diversen iPhone-Modellen auch Smartphones von HTC, LG, Google und praktisch alle Samsung-Geräte sein.

Bereits vor einigen Monaten war eine ähnliche Lücke in den WLAN-Treibern von Broadcom entdeckt worden. Damals hatten sowohl Google als auch Apple sehr flott auf den Fehler reagiert, während sich Samsung etwas länger Zeit gelassen hat.

Update

Google schließt aktuelle Lücke mit dem Juli-Update für seine aktuell noch unterstützten Geräte der Nexus- und Pixel-Reihe. Auch Nokia hat für sein N6 bereits ein entsprechendes Update ausgeliefert, wann andere Hersteller folgen, ist derzeit noch unklar.

Mit dem aktuellen Patch-Day bereinigt Google auch noch diverse andere Bugs in seinem Betriebssystem, darunter nicht weniger als zehn kritische Fehler im Mediaserver des Systems. Für all jene, die bereits Zugriff auf ein entsprechendes Update haben, empfiehlt sich also dieses umgehend einzuspielen. (Andreas Proschofsky, 6.7.2017)