Es ist wieder einmal Patch Day bei Google: Mit einem neuen Security Bulletin schließt Google dutzende Sicherheitslücken in seinem Betriebssystem, darunter auch wieder einige, die mit der höchsten Gefährdungsstufe "kritisch" versehen wurden. Gleichzeitig hat die Auslieferung entsprechender Updates an aktuell noch unterstützte Geräte aus Googles Nexus- und Pixel-Linien begonnen.
Android 7.0 wirkt
Die von Google selbst als am gefährlichsten eingestufte Lücke betrifft einmal mehr den Mediaserver von Android. Wie gewohnt lässt sich über diese von außen – etwa mittels einer manipulierten Grafik auf einer Webseite – Schadcode zur Ausführung bringen, und mit den Rechten des Mediaservers ausführen. Neu ist allerdings, dass das aktuelle Android 7.0 dank der dort vorgenommenen Sicherheitsverbesserungen nicht von dem Problem betroffen ist. So werden mit Nougat "Integer Overflow"-Attacken gänzlich unterbunden, zudem wurde der Media Server in von einander isolierte Einzelkomponenten zerlegt, die jeweils nur die nötigsten Berechtigungen haben, was den über Sicherheitslücken anrichtbaren Schaden minimiert.
Ebenfalls bereinigt Google die letzten beiden der viel diskutierten Quadrooter-Lücken, über die sich eine lokale App Root-Rechte verschaffen kann. Weitere kritische Probleme wurden im Linux-Kernel ausgebessert, wovon allerdings jeweils nur einzelne Geräte betroffen sind. Alle betrifft hingegen ein kritischer Bug in der LibUtils, der theoretisch von außen ausgenutzt werden kann – wenn eine App diese Bibliothek verwendet.
Bulletin-Verwirrungen
Weitere Informationen zu jedem einzelnen Bug sowie welche Android-Versionen und Nexus-Geräte jeweils betroffen sind, finden sich im Security Bulletin von Google. Der offizielle Patch-Level, der bei aktuellen Geräten in den Systeminformationen nachgelesen werden kann, wird damit auf den 6. September 2016 angehoben. Dabei hat Google die Patches in drei Gruppen eingeteilt: Hersteller, die alle allgemeinen Android-Fehler des aktuellen Bulletins beheben, dürfen den Patch Level auf 1. September anheben, wer zusätzlich all die gerätespezifischen Advisories bereinigt, ist berechtigt den 5. September anzugeben. Separat – wohl weil sie gegenüber dem ursprünglichen Plan vorgezogen wurden – werden die Quadrooter-Lücken behandelt, wer diese auch noch beseitigt, darf dann also den 6. September ausweisen. Eine im konkreten Fall etwas verwirrende Lösung, immerhin betreffen die Quadrooter-Lücken nicht alle Android-Geräte, insofern muss ein Patch-Level "5. September" nicht bedeuten, dass ein Gerät für diese Bugs noch anfällig ist. So waren etwa die Google-Tablets Pixel C oder das Nexus 9 nie betroffen, da sie keinen Qualcomm-Prozessor nutzen.
Wie einleitend erwähnt, hat die Auslieferung von Updates für bestehende Geräte der Nexus- und Pixel-Linien bereits begonnen. Auch wurden dazu passende Factory Images und Full System OTAs veröffentlicht. Dabei zeigt sich ein durchaus interessantes Bild: Denn während es etwa für das Pixel C und das Nexus 5X aktualisierte Android-7.0-Builds gibt, muss sich das Nexus 6P mit einer weiteren Neuauflage von Android 6.0.1 zufriedengeben. Ein "Nougat"-Factory-Image für das aktuelle Top-Smartphone gibt es damit also weiterhin ebensowenig wie für das Nexus 6 oder das Nexus 9 mit LTE-Support. Nutzer dieser Geräte, die in den kommenden Tagen ein Update erhalten, sollten sich also nicht zu früh freuen: Es könnte einfach nur die September-Aktualisierung und nicht der Sprung auf "Nougat" sein. (Andreas Proschofsky, 7.9.2016)