Das Android-Jahr beginnt mit einem Schwall an Sicherheitsaktualisierungen: Mit dem Security Bulletin für Jänner 2021 räumt Google dieses Mal eine ungewöhnlich große Zahl an Lücken aus. Und eine davon kann durchaus Kopfzerbrechen bereiten, war sie doch seit Jahren öffentlich bekannt, wird aber erst jetzt offiziell ausgeräumt.

Spurensuche

Konkret geht es dabei um eine Sicherheitslücke im Media Framework von Android, über die sich von außen – etwa über eine manipulierte Webseite – Schadcode einschmuggeln und zur Ausführung bringen lässt. Theoretisch könnte ein Angreifer damit auch Informationen im Kontext eines mit hohen Rechten laufenden Prozesses erhalten.

Google stuft das damit einhergehende Risiko als "hoch" ein. Was dabei schnell auffällt ist die sehr alte CVE-Nummer: Der Eintrag in die "Common Vulnerabilities and Exposures"-Liste, in der solche sicherheitsrelevanten Fehler erfasst werden, verweist nämlich zunächst auf das Jahr 2016 – konkret lautet die Bezeichnung hier CVE-2016-6328. Und tatsächlich findet sich in der Fehlerdatenbank von Linux-Distributor Red Hat ein entsprechender Eintrag aus dem August 2016. Es geht dabei um die Libexif, eine Bibliothek, die zur Verarbeitung der Metadaten von JPEG-Bildern genutzt wird.

Damals schätzten die Entwickler die Gefahr allerdings nur als gering ein, und verzichteten auf einen Bugfix. Eine Herangehensweise, die sich in nachhinein als Fehler erwies, im Jahr 2018 entschlossen sich dann diverse Linux-Distributionen den besagten Fehler mittels Update zu bereinigen. Erst dann taucht das Problem erstmals in den üblichen Warnhinweisen auf.

Späte Erkenntnis

Das wirft natürlich die Frage auf, wieso der Fehler jetzt erst in einem Security Bulletin von Google landet. Denkbar wäre theoretisch, dass die Lücke längst im Quellcode von Android ausgeräumt wurde, aber nie mit einem offiziellen Android Patch Level assoziiert wurde. Immer wieder hat Google nachträglich solche Einträge vorgenommen, damit sichergestellt ist, dass auch wirklich alle Hersteller den betreffenden Bug beseitigen müssen. Dagegen spricht allerdings, dass Google die Lücke für alle aktuell noch gewarteten Android-Versionen anführt – also inklusive des erst vor wenigen Monaten veröffentlichten Android 11.

Es sieht also tatsächlich so aus, als wäre hier ein wichtiger Bugfix vor einigen Jahren übersehen worden. Ein Grund dafür, dass dies jetzt überhaupt aufgefallen ist, könnte sein, dass im Mai 2020 nach Jahren eine neue Libexif-Version veröffentlicht wurde, in der die Lücke noch einmal gelistet war, was zum Teil auch neue Warnungen von Linux-Distributionen ausgelöst hat.

Andere Lücken sind gefährlicher

Das Jänner-Update bringt aber auch Fehlerbereinigungen für aktuellere Lücken, und von denen sind einige gar mit der höchsten Warnstufe "kritisch" versehen. Dazu zählt ein Bug über den ein Angreifer ein Gerät von außen über eine spezielle Zeichenfolge zum Absturz bringen kann. Näherer Details gibt es dabei noch nicht, die Beschreibung lässt aber vermuten, dass hier mittels SMS oder anderen Nachrichten ein Gerät zum Absturz gebracht werden konnte – und potentiell nachher die betreffende App oder gar das gesamte System nicht mehr startbar war. Immerhin qualifiziert Google diesen Angriff als "permanente Denial of Service"-Lücke. Eine weitere kritische Lücke hätte ebenfalls zum Einschmuggeln von Schadcode verwendet werden könnten. Dazu kommen noch – wie gewohnt – einige kritische Probleme in den proprietären Treibern von Qualcomm.

Pixel

Für die eigenen Pixel-Geräte nimmt Google zudem noch einige weitere Sicherheitsaktualisierungen aber auch andere Fehlerbereinigungen vor. So verspricht man Verbesserungen bei der automatischen Helligkeitsanpassung von Pixel 4a, 4a 5G und Pixel 5. Auch App-Abstürze durch Grafik- bzw. Display-Treiberprobleme sollen bereinigt worden sein.

Das Jänner-Update steht wie gewohnt für alle unterstützten Geräte aus der Pixel-Reihe zum Download bereits – aktuell ist das Pixel 3 das älteste noch mit Updates versorgte Smartphone von Google. Das Pixel 2 hat im Dezember sein letztes Update erhalten, und selbst da wurden nicht mehr alle Sicherheitsprobleme ausgeräumt. Samsung liefert ebenfalls bereits den Jänner-Patch an einige seiner Geräte, andere Hersteller werden wie gewohnt in den kommenden Wochen nachziehen – oder je nach Support-Versprechen auch nicht. (Andreas Proschofsky, 6.1.2021)