Start Aktuell Google veröffentlicht Sicherheits Bulletin für März — Neue Nexus-Firmware

Google veröffentlicht Sicherheits Bulletin für März — Neue Nexus-Firmware

410
0
(c) nexusplexus, 123rf.com

Google hat heute neue Firmware-Dateien für die unterstützten Nexus-Geräte auf seine Server hochgeladen. Die neue Nexus-Firmware mit der Build-Nummer MMB29V erscheint in den kommenden Tagen auch per OTA-Update. Neben den üblichen Bugfixes behebt die neue Marshmallow-Version auch ein paar kritische Fehler in Android.

Sechs kritische Bugs hat Google mit dem März-Update für die Nexus-Geräte behoben. Dazu gehört — weiterhin — ein Fix für eine Schwachstelle im Mediaserver. Seit der Stagefright-Lücke vom Juli 2015 vergeht quasi kein Update ohne dass auch der Mediaserver betroffen wäre.

Verbunden damit ist auch die zweite kritische Lücke in der Bibliothek libvpx, über sie lässt/ließ sich ebenfalls beim Verarbeiten von Mediadateien das System austricksen.  Die Conscrypt-Lücke erlaubte Man-in-the-Middle-Attacken über ein gefälschtes Zertifikat. Zwei weitere kritische Lücken sind nur für Qualcomm bzw. MediaTek-Chipsätze relevant. Beide Lücken ließen sich durch einen lokalen Angreifer ausnutzen, weshalb Google sie als kritisch eingestuft hat.

IssueCVESeverity
Remote Code Execution Vulnerability in MediaserverCVE-2016-0815
CVE-2016-0816
Critical
Remote Code Execution Vulnerabilities in libvpxCVE-2016-1621Critical
Elevation of Privilege in ConscryptCVE-2016-0818Critical
Elevation of Privilege Vulnerability in the Qualcomm
Performance Component
CVE-2016-0819Critical
Elevation of Privilege Vulnerability in MediaTek Wi-Fi DriverCVE-2016-0820Critical
Elevation of Privilege Vulnerability in Keyring ComponentCVE-2016-0728Critical
Mitigation Bypass Vulnerability in the KernelCVE-2016-0821High
Elevation of Privilege in MediaTek Connectivity DriverCVE-2016-0822High
Information Disclosure Vulnerability in KernelCVE-2016-0823High
Information Disclosure Vulnerability in libstagefrightCVE-2016-0824High
Information Disclosure Vulnerability in WidevineCVE-2016-0825High
Elevation of Privilege Vulnerability in MediaserverCVE-2016-0826
CVE-2016-0827
High
Information Disclosure Vulnerability in MediaserverCVE-2016-0828
CVE-2016-0829
High
Remote Denial of Service Vulnerability in BluetoothCVE-2016-0830High
Information Disclosure Vulnerability in TelephonyCVE-2016-0831Moderate
Elevation of Privilege Vulnerability in Setup WizardCVE-2016-0832Moderate

Neue Firmware online: 6.0.1, Build-Nummer MMB29V

Die neuen Firmware-Dateien für Nexus-Geräte (Android 6.0.1 „Marshmallow“) stehen ab sofort unter developers.google.com zum Download bereit und werden die kommenden Tage auch per OTA-Update verteilt.

Wie üblich lädt Google die Patches in den kommenden 48 Stunden auch ins Android Open Source Repository hoch, so dass ROM-Köche ihre Firmware-Dateien ebenfalls um die Patches verbessern können. Google weist zudem darauf hin, dass die aufgelisteten Lücken nicht aktiv ausgenutzt wurden.