Google hat heute ein neues Sicherheitsbulletin veröffentlicht, das die neuesten Sicherheitspatches für Nexus- und alle anderen Android-Geräte auflistet. Das Update wird in den folgenden Tagen via OTA auf die unterstützten Nexus-Geräte verteilt, die Fixes ins AOSP-Repository eingepflegt.
Wie nach Plan kommt auch diesen Monat das neue Sicherheits-Update inklusive Bericht von Google. Die aktuell geschlossenen Schwachstellen hat Google intern an seine Partner bereits bis am 2. Mai weitergereicht, sodass auch diese zeitnah Updates bereitstellen können. Das ist deshalb wichtig, weil Google die Patches nun in das Android Open Source Projekt einpflegt, die Lücken somit nicht nur den Google-Partnern sondern für alle ersichtlich werden. Zudem haben so auch die ROM-Köche die Gelegenheit, so bald wie möglich ihre eigenen Custom-ROMs auf AOSP-Basis mit den Sicherheitsupdates auszustatten.
Nexus-Benutzer dürfen sich gleich doppelt freuen: sie kommen nicht nur als erste in den Genuss der Update, sondern können die OTA-Dateien auch gleich herunterladen und selbst einspielen, da Google nicht nur die kompletten Firmware-Dateien für Nexus-Geräte online stellt, sondern seit Mitte Mai auch die OTA-Dateien.
In den bekanntgegebenen Lücken verfolgt uns weiterhin das große Android-Loch namens Mediaserver, aber auch Qualcomm bekommt gleich eine Reihe Patches spendiert:
| Remote Code Execution Vulnerability in Mediaserver | CVE-2016-2463 | Critical | Yes |
| Remote Code Execution Vulnerabilities in libwebm | CVE-2016-2464 | Critical | Yes |
| Elevation of Privilege Vulnerability in Qualcomm Video Driver | CVE-2016-2465 | Critical | Yes |
| Elevation of Privilege Vulnerability in Qualcomm Sound Driver | CVE-2016-2466 CVE-2016-2467 |
Critical | Yes |
| Elevation of Privilege Vulnerability in Qualcomm GPU Driver | CVE-2016-2468 CVE-2016-2062 |
Critical | Yes |
| Elevation of Privilege Vulnerability in Qualcomm Wi-Fi Driver | CVE-2016-2474 | Critical | Yes |
| Elevation of Privilege Vulnerability in Broadcom Wi-Fi Driver | CVE-2016-2475 | High | Yes |
| Elevation of Privilege Vulnerability in Qualcomm Sound Driver | CVE-2016-2066 CVE-2016-2469 |
High | Yes |
| Elevation of Privilege Vulnerability in Mediaserver | CVE-2016-2476 CVE-2016-2477 CVE-2016-2478 CVE-2016-2479 CVE-2016-2480 CVE-2016-2481 CVE-2016-2482 CVE-2016-2483 CVE-2016-2484 CVE-2016-2485 CVE-2016-2486 CVE-2016-2487 |
High | Yes |
| Elevation of Privilege Vulnerability in Qualcomm Camera Driver | CVE-2016-2061 CVE-2016-2488 |
High | Yes |
| Elevation of Privilege Vulnerability in Qualcomm Video Driver | CVE-2016-2489 | High | Yes |
| Elevation of Privilege Vulnerability in NVIDIA Camera Driver | CVE-2016-2490 CVE-2016-2491 |
High | Yes |
| Elevation of Privilege Vulnerability in Qualcomm Wi-Fi Driver | CVE-2016-2470 CVE-2016-2471 CVE-2016-2472 CVE-2016-2473 |
High | Yes |
| Elevation of Privilege Vulnerability in MediaTek Power Management Driver | CVE-2016-2492 | High | Yes |
| Elevation of Privilege Vulnerability in SD Card Emulation Layer | CVE-2016-2494 | High | Yes |
| Elevation of Privilege Vulnerability in Broadcom Wi-Fi Driver | CVE-2016-2493 | High | Yes |
| Remote Denial of Service Vulnerability in Mediaserver | CVE-2016-2495 | High | Yes |
| Elevation of Privilege Vulnerability in Framework UI | CVE-2016-2496 | Moderate | Yes |
| Information Disclosure Vulnerability in Qualcomm Wi-Fi Driver | CVE-2016-2498 | Moderate | Yes |
| Information Disclosure Vulnerability in Mediaserver | CVE-2016-2499 | Moderate | Yes |
| Information Disclosure Vulnerability in Activity Manager | CVE-2016-2500 | Moderate | Yes |
Last but not least darf auch der folgende Satz im Bulletin nicht fehlen:
„We encourage all users to update to the latest version of Android where possible.“