Google hat neue Factory-Abbilddateien für die unterstützten Nexus-Geräte auf seine Server hochgeladen. Sie enthalten die Build-Version MMB29P oder neuer für Android 6.0.1 und beheben kritische Sicherheitslücken. Das OTA-Update ist ebenfalls fertig zum Rollout.
Das Firmware-Update auf Version 6.0.1 mit der Build-Nummer MMB29P ist ein geplantes monatliches Sicherheitsupdate, das alle Patches bis zum 1. Januar 2016 enthält und nun auf die noch unterstützten Nexus-Geräte und das Pixel C (MXB48K) verteilt werden. Google hat seine Partner am 7. Dezember 2015 über die hier geschlossenen Sicherheitslücken informiert, im Quellcode von Android (Android Open Source Project) landen die Bugfixes innerhalb der kommenden 48 Stunden. Google betont, dass der Firma zu keiner der Sicherheitslücken aktive Exploits bekannt sind. Sobald der Quellcode allerdings ins AOSP-Repository einfließt, sind die kritischen Lecks für jedermann sichtbar.
Hier die Liste der nun behobenen Fehler:
| Issue | CVE | Severity |
|---|---|---|
| Remote Code Execution Vulnerability in Mediaserver | CVE-2015-6636 | Critical |
| Elevation of Privilege Vulnerability in misc-sd driver | CVE-2015-6637 | Critical |
| Elevation of Privilege Vulnerability in the Imagination Technologies driver | CVE-2015-6638 | Critical |
| Elevation of Privilege Vulnerabilities in Trustzone | CVE-2015-6639 | Critical |
| Elevation of Privilege Vulnerability in Kernel | CVE-2015-6640 | Critical |
| Elevation of Privilege Vulnerability in Bluetooth | CVE-2015-6641 | High |
| Information Disclosure Vulnerability in Kernel | CVE-2015-6642 | High |
| Elevation of Privilege Vulnerability in Setup Wizard | CVE-2015-6643 | Moderate |
| Elevation of Privilege Vulnerability in Wi-Fi | CVE-2015-5310 | Moderate |
| Information Disclosure Vulnerability in Bouncy Castle | CVE-2015-6644 | Moderate |
| Denial of Service Vulnerability in SyncManager | CVE-2015-6645 | Moderate |
| Attack Surface Reduction for Nexus Kernels | CVE-2015-6646 | Moderate |
Auch hier sind also immer noch Bugfixes für den als Stagefright bekanntgewordenen Bug im Android-Medienserver mit dabei. Google Hangouts und die SMS-App von Google (Messenger) spielen deshalb bis auf weiteres keine Mediendateien automatisch über den Mediaserver ab. Wie die einzelnen Lücken im Detail funktionieren, erklärt der aktuelle Blog-Eintrag zum Firmware-Update auf source.android.com.