Schwerwiegende Schwachstellen
Besonders schwerwiegend ist eine kritische Schwachstelle, die auf betroffenen Geräten Remotecodeausführung auf verschiedenen Wegen wie E-Mail, Websurfen und MMS bei der Verarbeitung von Mediendateien erlaubt, wie zdnet.de dazu ausführt. Allerdings soll laut Google noch keine aktive Ausnutzung der Lücken erfolgt sein.
Sicherheitspatch-Ebene 1. Mai 2017 – kritische Schwachstellen
- Schwachstelle in den Framework-APIs: Hier können durch lokale bösartige Anwendung höhere Berechtigungen erlangt werden. Gefahr droht hierbei durch die Möglichkeit der Umgehung der allgemeinen Schutzvorkehrungen.
- Schwachstellen im Mediaserver und im Audioserver: Mittels erhöhter Berechtigungen könnte die Ausführung eines beliebigen Programmcodes ermöglicht werden.
- Schwachstelle Denial-of-Service im Mediaserver: Diese ermöglicht Angriffe von außen um ein Gerät zum Einfrieren zu bringen oder einen Neustart auszulösen.
Sicherheitspatch-Ebene 5. Mai 2017 – weitere kritische Schwachstellen
Die kritischen Sicherheitslücken in dieser Gruppe sind unter anderem häufig in den Treibern einzelner Hersteller entdeckt worden.
Die Updates stehen bereit
Ein automatisches Update erhalten Nexus-Geräte auf Abruf hier
Factory-Images können auf der Google Entwickler-Website abgerufen werden
Daneben pusht Google aber auch die abgesicherten Ausgaben automatisch auf unterstützte Geräte!
Weiterführende Links:
20 Tipps für mobile Sicherheit
Android Security Bulletin—May 2017
zdnet.de: Android-Sicherheitsupdate schließt kritische Schwachstellen
heise.de: Patchday: Google sichert Android von KitKat bis Nougat ab
