30. Juni 2022
StartAktuellAndroid Security Bulletin: Nexus-Updates für den Mai sind fertig

Android Security Bulletin: Nexus-Updates für den Mai sind fertig

Google hat heute ein neues Sicherheitsbulletin veröffentlicht, das die neuesten Sicherheitspatches für Nexus-Geräte auflistet. Das Update stammt vom 1. Mai und wird in den folgenden Tagen via OTA-Update auf die unterstützten Nexus-Geräte verteilt.

Deutlich weniger Bugfixes als im April-Update prägen das aktuelle Sicherheits Bulletin für Android. Google hat den Namen für das monatliche Update zu Android Security Bulletin geändert, um klarzustellen, dass es sich hier nicht etwa um Bugs handelt, die nur Nexus-Geräte betreffen. Zudem enthält es auch Sicherheitspatches für Probleme, die Nexus-Geräte genau nicht betreffen. Deshalb gibt es neu auch eine Spalte in der Tabelle, ob Nexus-Geräte vom Bug betroffen sind.

Ebenfalls geändert hat Google die Kriterien, nach denen ein Bug eingestuft wird. Als kritischer Android-Bug gilt demnach wenn sich

  • remote in einem privilegierten Prozess Rechte erlangen lassen,
  • ein Gerät permanent manipulieren lässt und nur ein Neueinspielen der Firmware das Problem behebt
  • remote eine Denial of Service Attacke ausführen lässt oder eine solche nur durch das Neueinspielen der Firmware verhindert werden kann
  • ein Angreifer Zugriff auf den geschützten Bereich des Trusted Execution Environments (TEE) verschaffen kann.

Die genaue Liste sämtlicher Priorisierungen von Android-Bugs (Critical, High, Moderate, Low) findet sich auf den Android-Entwicklerseiten.

Hier die Liste der mit dem Mai-Update behobenen Sicherheitslücken. Wie üblich wird Google den Code in den folgenden 48 Stunden ins AOSP-Repository einpflegen, womit die Lücken publik werden, Nexus-Geräte erhalten ab sofort das OTA-Update. Alternativ gibt es die komplette Firmware wie immer unter https://developers.google.com/android/nexus/images.

Issue CVE Severity Affects Nexus?
Remote Code Execution Vulnerability in Mediaserver CVE-2016-2428
CVE-2016-2429
Critical Yes
Elevation of Privilege Vulnerability in Debuggerd CVE-2016-2430 Critical Yes
Elevation of Privilege Vulnerability in Qualcomm TrustZone CVE-2016-2431
CVE-2016-2432
Critical Yes
Elevation of Privilege Vulnerability in Qualcomm Wi-Fi Driver CVE-2015-0569
CVE-2015-0570
Critical Yes
Elevation of Privilege Vulnerability in NVIDIA Video Driver CVE-2016-2434
CVE-2016-2435
CVE-2016-2436
CVE-2016-2437
Critical Yes
Elevation of Privilege Vulnerability in Kernel CVE-2015-1805 Critical Yes
Remote Code Execution Vulnerability in Kernel CVE-2016-2438 High Yes
Information Disclosure Vulnerability in Qualcomm Tethering Controller CVE-2016-2060 High No
Remote Code Execution in Bluetooth CVE-2016-2439 High Yes
Elevation of Privilege in Binder CVE-2016-2440 High Yes
Elevation of Privilege Vulnerability in Qualcomm Buspm Driver CVE-2016-2441
CVE-2016-2442
High Yes
Elevation of Privilege Vulnerability in Qualcomm MDP Driver CVE-2016-2443 High Yes
Elevation of Privilege Vulnerability in Qualcomm Wi-Fi Driver CVE-2015-0571 High Yes
Elevation of Privilege Vulnerability in NVIDIA Video Driver CVE-2016-2444
CVE-2016-2445
CVE-2016-2446
High Yes
Elevation of Privilege in Wi-Fi CVE-2016-2447 High Yes
Elevation of Privilege Vulnerability in Mediaserver CVE-2016-2448
CVE-2016-2449
CVE-2016-2450
CVE-2016-2451
CVE-2016-2452
High Yes
Elevation of Privilege Vulnerability in MediaTek Wi-Fi Driver CVE-2016-2453 High Yes
Remote Denial of Service Vulnerability in Qualcomm Hardware Codec CVE-2016-2454 High Yes
Elevation of Privilege in Conscrypt CVE-2016-2461
CVE-2016-2462
Moderate Yes
Elevation of Privilege Vulnerability in OpenSSL & BoringSSL CVE-2016-0705 Moderate Yes
Elevation of Privilege Vulnerability in MediaTek Wi-Fi Driver CVE-2016-2456 Moderate Yes
Elevation of Privilege in Wi-Fi CVE-2016-2457 Moderate Yes
Information Disclosure Vulnerability in AOSP Mail CVE-2016-2458 Moderate Yes
Information Disclosure Vulnerability in Mediaserver CVE-2016-2459
CVE-2016-2460
Moderate Yes
Denial of Service Vulnerability in Kernel CVE-2016-0774 Low Yes

Aufmerksamen Lesern des Bulletins könnte auffallen, dass der Bug CVE-2015-1805 in diesem Bulletin noch einmal auftaucht. Das hängt damit zusammen, dass Google diesen Patch in letzter Sekunde ins April-Update eingespielt hat, den meisten Geräteherstellern aber nicht genügend Zeit blieb. Wer kein Nexus-Gerät besitzt aber auf April 01, 2016 Security Patch Level ist, hat diesen Bug deshalb ziemlich sicher noch drin. Final behoben ist die Schwachstelle im Kernel erst mit dem neuesten May 01, 2016 Security Patch Level.

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

EMPFEHLUNGEN DER REDAKTION

MAGAZIN

APPS & SPIELE