Google hat heute ein neues Sicherheitsbulletin veröffentlicht, das die neuesten Sicherheitspatches für Nexus-Geräte auflistet. Das Update wird in den folgenden Tagen via OTA auf die unterstützten Nexus-Geräte verteilt, die Fixes ins AOSP-Repository eingepflegt.
Die Stagefright-Lücke (kann man hier noch von einer Lücke sprechen, es scheint ein riesiges Loch zu sein…) verfolgt uns auch bei diesem Update weiterhin. Gleich acht kritische Bugs, die damit zusammenhängen hat Google für das aktuelle Update beseitigt. Eine weitere kritische Lücke, auf die Google bereits am 18. März via Security Advisory hinwies, ist mit dem Update ebenfalls gestopft. Ebenfalls als kritisch stuft Google eine Remote Code Execution Vulnerability im DHCP-Client ein, die zwar bereits 2014 gefunden wurde, damals aber anscheinend nur in/bis Android bis 4.4 gefixt wurde, obwohl auch Android 5.x und 6.x betroffen sind.
Daneben befinden sich noch ein paar weniger kritische Schwachstellen, die aber allesamt als „High“ eingestuft wurden, also schwerwiegende Sicherheitsprobleme, aber nicht kritisch:
| Issue | CVE | Severity |
|---|---|---|
| Remote Code Execution Vulnerability in DHCPCD | CVE-2016-1503 CVE-2014-6060 |
Critical |
| Remote Code Execution Vulnerability in Media Codec | CVE-2016-0834 | Critical |
| Remote Code Execution Vulnerability in Mediaserver | CVE-2016-0835 CVE-2016-0836 CVE-2016-0837 CVE-2016-0838 CVE-2016-0839 CVE-2016-0840 CVE-2016-0841 |
Critical |
| Remote Code Execution Vulnerability in libstagefright | CVE-2016-0842 | Critical |
| Elevation of Privilege Vulnerability in Kernel | CVE-2015-1805 | Critical |
| Elevation of Privilege Vulnerability in Qualcomm Performance Module |
CVE-2016-0843 | Critical |
| Elevation of Privilege Vulnerability in Qualcomm RF Component | CVE-2016-0844 | Critical |
| Elevation of Privilege Vulnerability in Kernel | CVE-2014-9322 | Critical |
| Elevation of Privilege Vulnerability in IMemory Native Interface | CVE-2016-0846 | High |
| Elevation of Privilege Vulnerability in Telecom Component | CVE-2016-0847 | High |
| Elevation of Privilege Vulnerability in Download Manager | CVE-2016-0848 | High |
| Elevation of Privilege Vulnerability in Recovery Procedure | CVE-2016-0849 | High |
| Elevation of Privilege Vulnerability in Bluetooth | CVE-2016-0850 | High |
| Elevation of Privilege Vulnerability in Texas Instruments Haptic Driver | CVE-2016-2409 | High |
| Elevation of Privilege Vulnerability in a Video Kernel Driver | CVE-2016-2410 | High |
| Elevation of Privilege Vulnerability in Qualcomm Power Management Component |
CVE-2016-2411 | High |
| Elevation of Privilege Vulnerability in System_server | CVE-2016-2412 | High |
| Elevation of Privilege Vulnerability in Mediaserver | CVE-2016-2413 | High |
| Denial of Service Vulnerability in Minikin | CVE-2016-2414 | High |
| Information Disclosure Vulnerability in Exchange ActiveSync | CVE-2016-2415 | High |
| Information Disclosure Vulnerability in Mediaserver | CVE-2016-2416 CVE-2016-2417 CVE-2016-2418 CVE-2016-2419 |
High |
| Elevation of Privilege Vulnerability in Debuggerd Component | CVE-2016-2420 | Moderate |
| Elevation of Privilege Vulnerability in Setup Wizard | CVE-2016-2421 | Moderate |
| Elevation of Privilege Vulnerability in Wi-Fi | CVE-2016-2422 | Moderate |
| Elevation of Privilege Vulnerability in Telephony | CVE-2016-2423 | Moderate |
| Denial of Service Vulnerability in SyncStorageEngine | CVE-2016-2424 | Moderate |
| Information Disclosure Vulnerability in AOSP Mail | CVE-2016-2425 | Moderate |
| Information Disclosure Vulnerability in Framework | CVE-2016-2426 | Moderate |
| Information Disclosure Vulnerability in BouncyCastle | CVE-2016-2427 | Moderate |
Eine ausführliche Erklärung zu jedem CVE-Eintrag findet sich wie immer im Nexus Security Bulletin auf der Android-Homepage. Die neuen Firmware-Dateien gibt es unter https://developers.google.com/android/nexus/images zum Download, falls du nicht auf das OTA-Update warten kannst/möchtest.
