Android Sicherheitsupdates August 2017

[English]Google hat seine Sicherheitsupdates August 2017 für die unterstützten Android-Geräte freigegeben bzw. an die Hersteller ausgeliefert. Insgesamt 52 Lücken wurden geschlossen, wobei 10 als kritisch eingestuft werden. Hier einige Informationen, was diesen Monat gefixt wurde und warum man Android eigentlich als Betriebssystem in die Tonne kloppen müsste.


Anzeige

Zwei Pakete für Sicherheitsupdates

Google hat die Sicherheitsupdates für seine Pixel- und Nexus-Geräte, die noch unterstützt werden, auf dieser Webseite angekündigt. Die Sicherheitsupdates unterteilen sich in zwei Pakete:

  • 2017-08-01: Partial security patch level string. This security patch level string indicates that all issues associated with 2017-08-01 (and all previous security patch level strings) are addressed.
  • 2017-08-05: Complete security patch level string. This security patch level string indicates that all issues associated with 2017-08-01 and 2017-08-05 (and all previous security patch level strings) are addressed.

Nur das Paket vom 5. August 2017 beinhaltet alle Sicherheitsupdates. In den Details zu den Updates gibt Google an, dass einige äußerst kritische Sicherheitslücken (von Android 4.4.4 bis Android 7.1.2), die beispielsweise im Media Framework lauern, geschlossen werden.

Autsch, Sicherheitslücken aller orten – das wird nix mehr

Die Details zu den geschlossenen Sicherheitslücken finden sich auf dieser Webseite. Geht man die einzelnen Positionen durch, gelangt man möglicherweise zur Erkenntnis, dass Android sicherheitstechnisch löchrig wie ein Schweizer Käse ist und dieser Zustand auch nicht mehr behoben werden kann. Wie oft habe ich im Blog bereits über Lücken im oben erwähnten Media Framework berichtet? Da wurde gepatcht, was das Zeugs hält (wobei 99,99999 % der Android-Geräte nicht mal diese Updates erhalten haben. Hier mal nur die als kritisch eingestuften Patches im Media Framework.

  • CVE-2017-0714: Remote Code Execution, Android-Updates für 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
  • CVE-2017-0715: Remote Code Execution, Android-Updates für 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
  • CVE-2017-0716: Remote Code Execution, Android-Updates für 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
  • CVE-2017-0718: Remote Code Execution, Android-Updates für 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
  • CVE-2017-0719: Remote Code Execution, Android-Updates für 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
  • CVE-2017-0720: Remote Code Execution, Android-Updates für 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
  • CVE-2017-0721: Remote Code Execution, Android-Updates für 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
  • CVE-2017-0722: Remote Code Execution, Android-Updates für 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
  • CVE-2017-0723: Remote Code Execution, Android-Updates für 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
  • CVE-2017-0745: Remote Code Execution, Android-Updates für 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Da fällt mir nur ein 'Und monatlich grüßt das Stagefright-Murmeltier' (siehe Link-Liste am Artikelende). Insgesamt kommt man auf 52 Sicherheitslücken, davon 10 kritische, die mit den Updates geschlossen werden. Ähnlich wie in den Vormonaten sind auch wieder Gerätetreiber dabei, die aus Sicherheitsgründen aktualisiert werden.

Skandal: Knapp mehr als ein halbes Duzend Geräte

Kommen wir zum eigentlichen Skandal an der Meldung. Denn genau genommen bekommen nur sieben Google Geräte das Sicherheitsupdate. Hier die Liste der Geräte, die ein Update von Google erhalten:

  • Pixel / Pixel XL
  • Nexus 5X
  • Nexus 6
  • Nexus 6P
  • Nexus 9
  • Nexus Player
  • Pixel C

Nach dem das Update installiert wurde, sollten die Pakete einen Patch-Level vom 5. August 2017 aufweisen. Die Over-the-air Updates (OTA) und die Firmware-Images für die Google-Geräte finden sich auf der Google Developer-Webseite.

Wenn es noch eines Beweises bedurft hätte, dass man Android in die Tonne kloppen sollte, dann wurde das heute belegt. Die Stagefright-Lücke, die über eine Milliarde Android-Geräte bedrohte, wurde 2015 bekannt. Es sind also fast zwei Jahre vergangen, und Google bekommt es nicht gebacken.

Im Grunde müsste man an dieser Stelle eine Empfehlung für Apples iOS-Geräte aussprechen, da dort wenigstens über einen Zeitraum von ca. 5 Jahren Updates bereitgestellt werden. Alternativ wäre es eine Möglichkeit, sofern man entsprechende Geräte und etwas Know How besitzt, auf Lineage OS auszuweichen. Dort gibt es meist Sicherheitsupdate für ältere Geräte.


Anzeige

Abschließend bleibt noch die spannende Frage, ob heute, am 8.8. 2017, Android O angekündigt wird und welche Sicherheitslücken diese Variante auf die Geräte bringt.

Ähnliche Artikel:
Stagefright-Lücke bedroht 950 Millionen Android-Geräte
Android-Sicherheit: Stagefright-Exploit veröffentlicht
Stagefright 2.0: 1 Milliarde Android-Geräte unsicher …
Google fixt Stagefright 2.0-Lücke in Android
Android und die Stagefright-Lücken: Nexus und Galaxy S4
Neue Stagefright-Angriffsmethode in Android gefunden


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Android, Sicherheit, Update abgelegt und mit Android, Sicherheit, Update verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Android Sicherheitsupdates August 2017

  1. sibu sagt:

    Wie viel Menschen sind heute wieder auf der Straße verunglückt? Im Schnitt sind es 220 Tote im Monat in Deutschland.
    In Deutschland wurden im Jahr 2015 insgesamt 2,5 Millionen Unfälle von der Polizei aufgenommen.
    Im Bereich der UV der gewerblichen Wirtschaft und der UV der öffentlichen Hand ereigneten sich 2016 insgesamt 877.071 meldepflichtige Arbeitsunfälle.

    Was sagt uns das? Unfallschutz und Arbeitsschutz sollte man IN DIE TONNE TRETEN. Und am Besten a) nicht mehr auf die Straße gehen und b) nicht mehr arbeiten. Die Gefahren durch Android sind vernachlässigbar!

    • Herr IngoW sagt:

      Nur mit dem Unterschied das die Sicherheitslücken in Android, Leute in Millionenhöhe erreicht.
      Zwar nicht umbringt, aber vielleicht um den Verstand bringt, wenn zum Beispiel das Geld von der Bank einfach so verschwindet.

      • sibu sagt:

        Nicht verstanden? Ich spreche nur von Deutschland. Rechnen Sie das mal mit den Unfällen auf die Erde um. Wie viel hätten Sie denn gerne?
        Und, Sie wären lieber tot als verstandlos und ohne Geld? Wenn ich Ihre Rechtschreibung sehe, glaube ich das heute schon.

  2. Robert Richter sagt:

    Wie heisst es so schön: Nicht nur im Preis, sondern auch in der Leistung, unterscheiden wir uns von unseren Mitbewerbern! *lol* (sorry, den konnte ich mir nicht verkneifen)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.