Google hat heute im Rahmen seiner monatlichen Sicherheitspatches neue Firmware-Abbilder für die unterstützten Nexus-Geräte auf seine Server hochgeladen. Die neuen Marshmallow-Dateien besitzen — je nach Gerät — die Build-Nummer MMB29Q oder MMB29R. Fünf der zehn Patches ordnet Google als „critical“ ein.
Wie üblich dienen die frischen Firmware-Dateien dazu, kritische und weniger gravierende Sicherheitslücken auf den Nexus-Geräten zu stopfen. Die heute veröffentlichten Nexus-Firmware-Dateien wiederspiegeln dabei den Zustand vom 4. Januar 2016. Dann wurden auch die Partner von Google informiert, die im monatlichen Security-Update-Programm teilnehmen. Im Quellcode von Android (Android Open Source Project, AOSP) werden die Änderungen in den kommenden 24 Stunden eingepflegt, sodass Hacker und ROM-Küche gleich viel Zeit haben, einen Exploit oder einen Patch zu basteln ;-)
Besitzer eines entsprechenden Nexus-Geräts bekommen das Update in den kommenden Stunden oder Tagen automatisch via OTA-Update.
Hier die Liste der Neuerungen bzw. Fixes, die zum Teil bis zurück zu Android 4.4 kritisch sind:
| Issue | CVE | Severity |
|---|---|---|
| Remote Code Execution Vulnerability in Broadcom Wi-Fi Driver | CVE-2016-0801 CVE-2016-0802 |
Critical |
| Remote Code Execution Vulnerability in Mediaserver | CVE-2016-0803 CVE-2016-0804 |
Critical |
| Elevation of Privilege Vulnerability in Qualcomm Performance Module | CVE-2016-0805 | Critical |
| Elevation of Privilege Vulnerability in Qualcomm Wi-Fi Driver | CVE-2016-0806 | Critical |
| Elevation of Privilege Vulnerability in the Debugger Daemon | CVE-2016-0807 | Critical |
| Denial of Service Vulnerability in Minikin | CVE-2016-0808 | High |
| Elevation of Privilege Vulnerability in Wi-Fi | CVE-2016-0809 | High |
| Elevation of Privilege Vulnerability in Mediaserver | CVE-2016-0810 | High |
| Information Disclosure Vulnerability in libmediaplayerservice | CVE-2016-0811 | High |
| Elevation of Privilege Vulnerability in Setup Wizard | CVE-2016-0812 CVE-2016-0813 |
Moderate |
Vor allem die beiden Bugs im Qualcomm- und Broadcomm-Wifi-Treiber dürften recht viele Geräte betreffen, hier sollten die Hersteller schnell nachziehen. Details zu den einzelnen Patches liefert wie üblich das Android Sicherheits Bulletin.
