Monat für Monat räumt Google mit Sicherheitslücken in seinem Betriebssystem Android auf. Nun wurde das passenden Security Bulletin für den September 2017 veröffentlicht, und dabei zeigt sich: Dieses Mal ist die Liste an kritischen Fehlerbereinigungen besonders umfangreich ausgefallen.

Alte Bekannte

Alleine im Media Framework von Android werden mit dem September-Update 24 Sicherheitslücken ausgeräumt, von denen zehn mit dem höchsten Gefährdungsgrad "kritisch" bezeichnet werden. Konkret bedeutet dies, dass ein Angreifer beispielsweise über eine manipulierte Webseite Schadcode auf ein Smartphone einschmuggeln und mit erhöhten Berechtigungen zur Ausführung bringen könnte.

Broadpwn, die nächste?

Doch damit nicht genug, wurden auch in anderen besonders sensiblen Bereichen wieder Bugs bereinigt. So findet sich etwa in der Liste ein kritischer Fehler im WLAN-Treiber von Broadcom. Dabei werden Erinnerungen an jene Broadpwn-Lücke wach, die vor einigen Monaten die Runde machte, und sowohl iPhones als auch Android-Geräte gefährdete. Wie schwer die aktuelle Gefährdungslage allerdings wirklich ist, lässt sich bisher nicht sagen, da noch keine Details zu dem Fehler veröffentlicht wurden. Klar scheint jedenfalls, dass hier auch bald Apple mit einem Update nachziehen wird.

Und wem das noch nicht reicht, für den gibt es auch noch einen kritischen Fehler im Netzwerk-Subsystem des Linux-Kernels, der ebenso von außen ausnutzbar ist, wie ein weiterer Bug in einer Video-Encoding-Bibliothek von Qualcomm.

Sicherheitsmaßnahmen

Wie immer betont Google, dass das Vorhandensein eines Fehlers noch nicht bedeutet, dass er auch zuverlässig ausnutzbar ist. Immerhin stellt man dem auch noch zusätzliche Sicherheitsmaßnahmen wie Google Play Protect und diverse Anti-Exploit-Maßnahmen entgegen. Zudem bezieht sich nicht jeder Bug auf alle Android-Versionen, so betrifft etwa nur ein Bruchteil der Fehler im Media Framework auch das aktuelle Android 8.0 "Oreo".

Üblicherweise beginnt Google parallel zur Freigabe des Security Bulletin mit der Auslieferung passender Updates für seine eigenen Geräte der Nexus- und Pixel-Reihen. Dies scheint derzeit aber noch nicht der Fall zu sein, auch neue Factory Images wurden noch nicht freigegeben. Eventuell wartet man hier noch ein paar Tage, um diesen Schritt mit dem Upgrade auf Android 8 zu kombinieren, das bisher nur wenige Geräte erhalten haben. Etwas schneller war hingegen Nokia, das bereits das September-Update für seine Smartphones ausliefert. (Andreas Proschofsky, 6.9.2017)