Start Aktuell Android Security Bulletin: Nexus-Updates für den Mai sind fertig

Android Security Bulletin: Nexus-Updates für den Mai sind fertig

(c) nexusplexus, 123rf.com

Google hat heute ein neues Sicherheitsbulletin veröffentlicht, das die neuesten Sicherheitspatches für Nexus-Geräte auflistet. Das Update stammt vom 1. Mai und wird in den folgenden Tagen via OTA-Update auf die unterstützten Nexus-Geräte verteilt.

Deutlich weniger Bugfixes als im April-Update prägen das aktuelle Sicherheits Bulletin für Android. Google hat den Namen für das monatliche Update zu Android Security Bulletin geändert, um klarzustellen, dass es sich hier nicht etwa um Bugs handelt, die nur Nexus-Geräte betreffen. Zudem enthält es auch Sicherheitspatches für Probleme, die Nexus-Geräte genau nicht betreffen. Deshalb gibt es neu auch eine Spalte in der Tabelle, ob Nexus-Geräte vom Bug betroffen sind.

Ebenfalls geändert hat Google die Kriterien, nach denen ein Bug eingestuft wird. Als kritischer Android-Bug gilt demnach wenn sich

  • remote in einem privilegierten Prozess Rechte erlangen lassen,
  • ein Gerät permanent manipulieren lässt und nur ein Neueinspielen der Firmware das Problem behebt
  • remote eine Denial of Service Attacke ausführen lässt oder eine solche nur durch das Neueinspielen der Firmware verhindert werden kann
  • ein Angreifer Zugriff auf den geschützten Bereich des Trusted Execution Environments (TEE) verschaffen kann.

Die genaue Liste sämtlicher Priorisierungen von Android-Bugs (Critical, High, Moderate, Low) findet sich auf den Android-Entwicklerseiten.

Hier die Liste der mit dem Mai-Update behobenen Sicherheitslücken. Wie üblich wird Google den Code in den folgenden 48 Stunden ins AOSP-Repository einpflegen, womit die Lücken publik werden, Nexus-Geräte erhalten ab sofort das OTA-Update. Alternativ gibt es die komplette Firmware wie immer unter https://developers.google.com/android/nexus/images.

IssueCVESeverityAffects Nexus?
Remote Code Execution Vulnerability in MediaserverCVE-2016-2428
CVE-2016-2429
CriticalYes
Elevation of Privilege Vulnerability in DebuggerdCVE-2016-2430CriticalYes
Elevation of Privilege Vulnerability in Qualcomm TrustZoneCVE-2016-2431
CVE-2016-2432
CriticalYes
Elevation of Privilege Vulnerability in Qualcomm Wi-Fi DriverCVE-2015-0569
CVE-2015-0570
CriticalYes
Elevation of Privilege Vulnerability in NVIDIA Video DriverCVE-2016-2434
CVE-2016-2435
CVE-2016-2436
CVE-2016-2437
CriticalYes
Elevation of Privilege Vulnerability in KernelCVE-2015-1805CriticalYes
Remote Code Execution Vulnerability in KernelCVE-2016-2438HighYes
Information Disclosure Vulnerability in Qualcomm Tethering ControllerCVE-2016-2060HighNo
Remote Code Execution in BluetoothCVE-2016-2439HighYes
Elevation of Privilege in BinderCVE-2016-2440HighYes
Elevation of Privilege Vulnerability in Qualcomm Buspm DriverCVE-2016-2441
CVE-2016-2442
HighYes
Elevation of Privilege Vulnerability in Qualcomm MDP DriverCVE-2016-2443HighYes
Elevation of Privilege Vulnerability in Qualcomm Wi-Fi DriverCVE-2015-0571HighYes
Elevation of Privilege Vulnerability in NVIDIA Video DriverCVE-2016-2444
CVE-2016-2445
CVE-2016-2446
HighYes
Elevation of Privilege in Wi-FiCVE-2016-2447HighYes
Elevation of Privilege Vulnerability in MediaserverCVE-2016-2448
CVE-2016-2449
CVE-2016-2450
CVE-2016-2451
CVE-2016-2452
HighYes
Elevation of Privilege Vulnerability in MediaTek Wi-Fi DriverCVE-2016-2453HighYes
Remote Denial of Service Vulnerability in Qualcomm Hardware CodecCVE-2016-2454HighYes
Elevation of Privilege in ConscryptCVE-2016-2461
CVE-2016-2462
ModerateYes
Elevation of Privilege Vulnerability in OpenSSL & BoringSSLCVE-2016-0705ModerateYes
Elevation of Privilege Vulnerability in MediaTek Wi-Fi DriverCVE-2016-2456ModerateYes
Elevation of Privilege in Wi-FiCVE-2016-2457ModerateYes
Information Disclosure Vulnerability in AOSP MailCVE-2016-2458ModerateYes
Information Disclosure Vulnerability in MediaserverCVE-2016-2459
CVE-2016-2460
ModerateYes
Denial of Service Vulnerability in KernelCVE-2016-0774LowYes

Aufmerksamen Lesern des Bulletins könnte auffallen, dass der Bug CVE-2015-1805 in diesem Bulletin noch einmal auftaucht. Das hängt damit zusammen, dass Google diesen Patch in letzter Sekunde ins April-Update eingespielt hat, den meisten Geräteherstellern aber nicht genügend Zeit blieb. Wer kein Nexus-Gerät besitzt aber auf April 01, 2016 Security Patch Level ist, hat diesen Bug deshalb ziemlich sicher noch drin. Final behoben ist die Schwachstelle im Kernel erst mit dem neuesten May 01, 2016 Security Patch Level.

Kommentiere den Artikel

Please enter your comment!
Please enter your name here