GoogleWatchBlog

Android: Google rollt Oktober-Sicherheitsupdate für alle Pixel-Smartphones aus – inklusive Pixel-Update

» Web-Version «

Der Oktober ist schon fast eine Woche alt und nach einer notwendigen Verzögerung rollt Google nun endlich das Sicherheitsupdate für diesen Monat aus. Der Monat in dem Google die neuen Pixel 4-Smartphones und weitere Hardware vorstellen wird. Nun gibt es aber erst einmal ein Update für alle bereits am Markt befindlichen Pixel-Smartphones in Form des Sicherheitsupdates für Oktober. Das Update beinhaltet auch dieses Mal unzählige Bugfixes für das Betriebssystem sowie zahlreiche gestopfte Sicherheitslücken in einigen wichtigen Komponenten. Außerdem gibt es ein separates Pixel-Update, das unter anderem die Project Zero-Lücke stopft und neue Funktionen mitbringt.


Immer am Monatsanfang rollt Google ein Sicherheitsupdate für das Betriebssystem Android aus, das entdeckte Sicherheitslücken stopft oder Fehler behebt, die sich im Laufe der Zeit in die Plattform geschlichen haben. Ein großer Teil dieses Pakets besteht aus Bugfixes oder gestopften Lücken in den Hardware-Komponenten – allen voran sehr häufig von Qualcomm – die an die Nutzer weitergereicht werden. Doch ein Großteil der Nutzer wird die Updates niemals bekommen.

Auch in diesem Monat wurden viele Bugs und Sicherheitslücken in Android gefunden, wobei vor allem die Medien-Komponente im Mittelpunkt steht und die Ausführung von beliebigem Code ermöglicht hätte. Aber auch im Monat Oktober gibt es eine ganze Reihe weiterer gestopfter Lücken in der System-Komponente sowie den Qualcomm-Komponenten. Insgesamt haben die Entwickler in diesem Monat 12 kritische sowie 17 mittelschwere Lücken gestopft.

Google veröffentlicht die Details zu den Sicherheitslücken und Bugs in den meisten Fällen erst nach dem Rollout des Updates, sodass diese in der Vergangenheit nicht ausgenutzt werden konnten, was auch in diesem Monat wie gewohnt mit Stolz vermeldet werden konnte. Wie das zu, wie Google selbst vermeldete hat, entdeckten Sicherheitslücke in vielen Smartphones passt, lässt sich schwer sagen.

The most severe of these issues is a critical security vulnerability in Media framework that could enable a remote attacker using a specially crafted file to execute arbitrary code within the context of a privileged process. The severity assessment is based on the effect that exploiting the vulnerability would possibly have on an affected device, assuming the platform and service mitigations are turned off for development purposes or if successfully bypassed.

We have had no reports of active customer exploitation or abuse of these newly reported issues. Refer to the Android and Google Play Protect mitigations section for details on the Android security platform protections and Google Play Protect, which improve the security of the Android platform.



Separates Update für die Pixel-Smartphones

Google rollt sowohl das Sicherheitsupdate als auch das funktionelle Update ab sofort für die hauseigenen Pixel-Smartphones aus – für alle Generationen vom Pixel der ersten Generation bis hinauf zu den noch aktuellen Pixel 3a-Smartphones. In den kommenden Stunden sollten es die ersten Nutzer angeboten bekommen, wobei es immer wieder Mal Verzögerungen für einige Geräte geben kann. Andere Smartphone-Hersteller lassen sich häufig etwas mehr Zeit oder rollen die Updates nur alle paar Monate gesammelt aus. Wie schnell sie es schaffen, seht ihr sehr ausführlich in diesem Artikel. Schon vor längerer Zeit hatte Google glücklicherweise damit begonnen, die Hersteller zu Sicherheitsupdates zu verpflichten und die Situation damit etwas entschärft.

Wer das Update über OTA nicht abwarten möchte, kann sich sowohl die Factory- als auch die OTA-Images für die Pixel-Smartphones direkt bei Google herunterladen. Details zu allen Lücken gibt es direkt unter folgenden Links, in denen die einzelnen Probleme mit den Komponenten aufgelistet und im Detail erklärt werden.

» Android Security Bulletin Oktober 2019
» Pixel / Nexus Security Bulletin Oktober 2019
» Factory Images
» OTA Images

Android 10: Google macht die eigene Gestensteuerung zur Pflicht – Hersteller müssen ihre Lösung verstecken


Keine Google-News mehr verpassen:
GoogleWatchBlog bei Google News abonnieren | Jetzt den GoogleWatchBlog-Newsletter abonnieren