Google hat heute neue Firmware-Dateien für die unterstützten Nexus-Geräte auf seine Server hochgeladen. Die neue Nexus-Firmware mit der Build-Nummer MMB29V erscheint in den kommenden Tagen auch per OTA-Update. Neben den üblichen Bugfixes behebt die neue Marshmallow-Version auch ein paar kritische Fehler in Android.
Sechs kritische Bugs hat Google mit dem März-Update für die Nexus-Geräte behoben. Dazu gehört — weiterhin — ein Fix für eine Schwachstelle im Mediaserver. Seit der Stagefright-Lücke vom Juli 2015 vergeht quasi kein Update ohne dass auch der Mediaserver betroffen wäre.
Verbunden damit ist auch die zweite kritische Lücke in der Bibliothek libvpx, über sie lässt/ließ sich ebenfalls beim Verarbeiten von Mediadateien das System austricksen. Die Conscrypt-Lücke erlaubte Man-in-the-Middle-Attacken über ein gefälschtes Zertifikat. Zwei weitere kritische Lücken sind nur für Qualcomm bzw. MediaTek-Chipsätze relevant. Beide Lücken ließen sich durch einen lokalen Angreifer ausnutzen, weshalb Google sie als kritisch eingestuft hat.
| Issue | CVE | Severity |
|---|---|---|
| Remote Code Execution Vulnerability in Mediaserver | CVE-2016-0815 CVE-2016-0816 |
Critical |
| Remote Code Execution Vulnerabilities in libvpx | CVE-2016-1621 | Critical |
| Elevation of Privilege in Conscrypt | CVE-2016-0818 | Critical |
| Elevation of Privilege Vulnerability in the Qualcomm Performance Component |
CVE-2016-0819 | Critical |
| Elevation of Privilege Vulnerability in MediaTek Wi-Fi Driver | CVE-2016-0820 | Critical |
| Elevation of Privilege Vulnerability in Keyring Component | CVE-2016-0728 | Critical |
| Mitigation Bypass Vulnerability in the Kernel | CVE-2016-0821 | High |
| Elevation of Privilege in MediaTek Connectivity Driver | CVE-2016-0822 | High |
| Information Disclosure Vulnerability in Kernel | CVE-2016-0823 | High |
| Information Disclosure Vulnerability in libstagefright | CVE-2016-0824 | High |
| Information Disclosure Vulnerability in Widevine | CVE-2016-0825 | High |
| Elevation of Privilege Vulnerability in Mediaserver | CVE-2016-0826 CVE-2016-0827 |
High |
| Information Disclosure Vulnerability in Mediaserver | CVE-2016-0828 CVE-2016-0829 |
High |
| Remote Denial of Service Vulnerability in Bluetooth | CVE-2016-0830 | High |
| Information Disclosure Vulnerability in Telephony | CVE-2016-0831 | Moderate |
| Elevation of Privilege Vulnerability in Setup Wizard | CVE-2016-0832 | Moderate |
Neue Firmware online: 6.0.1, Build-Nummer MMB29V
Die neuen Firmware-Dateien für Nexus-Geräte (Android 6.0.1 „Marshmallow“) stehen ab sofort unter developers.google.com zum Download bereit und werden die kommenden Tage auch per OTA-Update verteilt.
Wie üblich lädt Google die Patches in den kommenden 48 Stunden auch ins Android Open Source Repository hoch, so dass ROM-Köche ihre Firmware-Dateien ebenfalls um die Patches verbessern können. Google weist zudem darauf hin, dass die aufgelisteten Lücken nicht aktiv ausgenutzt wurden.
