Das neue Jahr beginnt bei Android mit gewohnten Ritualen: Dem Bereinigen von Sicherheitslücken. Google hat das Android Security Bulletin für Jänner 2018 veröffentlicht.

Große Überraschungen gibt es dabei auf den ersten Blick nicht. Auch dieses Monat dominiert also wieder die Bereinigung von Lücken im Media Framework von Android. Drei dieser Bugs werden dabei als kritisch bezeichnet und könnten theoretisch genutzt werden, um beispielsweise über einen manipulierte Webseite Schadcode auf ein Smartphone einzubringen.

Fehlende Details

Eine weitere kritische Lücke wird im System Server von Android vermerkt, diese könnte von einem Angreifer genutzt werden, um sich höhere Rechte zu verschaffen. Details gibt es hierzu – wie zu den anderen gelisteten Bugs – aber noch nicht. Zudem wurden wieder einige Bugs in den Komponenten anderer Hersteller geschlossen, darunter auch ein Qualcomm-Chips betreffender, kritischer Fehler in proprietären Komponenten.

Über diese Liste hinaus schließt Google bei seinen eigenen Geräten der Nexus / Pixel-Reihe noch einige weiter Bugs mit niedrigere Gefährdungslage. Diese sind in einem separaten Security Bulletin angeführt.

Pixel

Google nutzt das Update aber auch gleich, um zwei funktionale Updates bei seinen Geräten durchzuführen. In dem Bulletin spricht man von Verbesserungen der Stabilität und Performance nach einem Update, zudem wurde das Handling von Schlüssel-Upgrades im Keystore angepasst – in welche Richtung verrät man aber nicht. Die entsprechenden Updates für noch unterstützte Nexus- und Pixel-Geräte werden innerhalb der nächsten Tage an alle Nutzer verteilt.

Samsung

Andere Hersteller wollen ebenfalls bald nachziehen, so hat etwa Samsung bereits ein entsprechendes Security Bulletin veröffentlicht. In diesem listet der führende Android-Hardwarehersteller zusätzlich zu den von Google angeführten Bugs noch einige Lücken, die nur Samsung-Geräte betreffen. Und diese haben es gehörig in sich: So ist etwa von einer kritischen Bootloader-Lücke die Rede, auch ein Bug in Exynos-Prozessoren, über den mittels Brute-Force-Attacke Passwort-Informationen erlangt werden kann, wird angeführt. Darüber hinaus wird noch eine kritische Exynos-Lücke gefixt, die den Zugriff auf das Baseband, also jenes System, das für die grundlegenden Telefoniefunktionen zuständig ist, ermöglicht. (apo, 3.1.2018)