Google hatte es bereits vor einigen Tagen angekündigt und mittlerweile wird das November-Sicherheitspaket für Android auch ausgeliefert – in erster Linie aber derzeit an die Nexus- und Pixel Geräte. Das Sicherheitspaket ist mittlerweile aber auch für die anderen Hersteller verfügbar, die auf Android setzen. Wann diese den neuen Sicherheitspatch aber umsetzen und für ihre Modelle ausliefern, ist noch nicht bekannt.
Wer mit einem Nexus oder auch dem neuen Google Pixel unterwegs ist, sollte das Update auf jeden Fall einspielen. Google schließt damit immerhin 15 Sicherheitslücken, die als kritisch eingestuft wurden und immerhin 23 Lücken, deren Gefährlichkeit mit hoch bewertet wurden.
In Sicherheit sollte man sich aber auch mit dem Patch nicht wiegen. Das neuste Update schließt viele Lücken, die bekannte sogenannte Dirty Cow Lücke beliebt aber bestehen. Dieser Fehler in der Kernel-Funktion Copy-on-Write (Cow) beinhaltet eine Rechteausweitung, die auch von Angreifern genutzt werden kann. Das ist auch mit dem neusten Security Patch möglich, Google will dieses Sicherheitsproblem erst im Dezember schließen und es steht leider zu befürchten, dass auf älteren Geräten diese Lücke gar nicht mehr beseitigt wird. Nach wie vor gibt es sehr viele ältere Android Versionen auf dem Markt, die gar keine Updates mehr bekommen.
Die Sicherheitslücke vom Path (Stand 5.11.2016) im Überblick:
| Issue | CVE | Severity | Affects Google devices? |
|---|---|---|---|
| Remote code execution vulnerability in Qualcomm crypto driver | CVE-2016-6725 | Critical | Yes |
| Elevation of privilege vulnerability in kernel file system | CVE-2015-8961, CVE-2016-7910, CVE-2016-7911 | Critical | Yes |
| Elevation of privilege vulnerability in kernel SCSI driver | CVE-2015-8962 | Critical | Yes |
| Elevation of privilege vulnerability in kernel media driver | CVE-2016-7913 | Critical | Yes |
| Elevation of privilege vulnerability in kernel USB driver | CVE-2016-7912 | Critical | Yes |
| Elevation of privilege vulnerability in kernel ION subsystem | CVE-2016-6728 | Critical | Yes |
| Elevation of privilege vulnerability in Qualcomm bootloader | CVE-2016-6729 | Critical | Yes |
| Elevation of privilege vulnerability in NVIDIA GPU driver | CVE-2016-6730, CVE-2016-6731, CVE-2016-6732, CVE-2016-6733, CVE-2016-6734, CVE-2016-6735, CVE-2016-6736 | Critical | Yes |
| Elevation of privilege vulnerability in kernel networking subsystem | CVE-2016-6828 | Critical | Yes |
| Elevation of privilege vulnerability in kernel sound subsystem | CVE-2016-2184 | Critical | Yes |
| Elevation of privilege vulnerability in kernel ION subsystem | CVE-2016-6737 | Critical | Yes |
| Vulnerabilities in Qualcomm components | CVE-2016-6726, CVE-2016-6727 | Critical | Yes |
| Remote code execution vulnerability in Expat | CVE-2016-0718, CVE-2012-6702, CVE-2016-5300, CVE-2015-1283 | High | No* |
| Remote code execution vulnerability in Webview | CVE-2016-6754 | High | No* |
| Remote code execution vulnerability in Freetype | CVE-2014-9675 | High | No* |
| Elevation of privilege vulnerability in kernel performance subsystem | CVE-2015-8963 | High | Yes |
| Elevation of privilege vulnerability in kernel system-call auditing subsystem | CVE-2016-6136 | High | Yes |
| Elevation of privilege vulnerability in Qualcomm crypto engine driver | CVE-2016-6738 | High | Yes |
| Elevation of privilege vulnerability in Qualcomm camera driver | CVE-2016-6739, CVE-2016-6740, CVE-2016-6741 | High | Yes |
| Elevation of privilege vulnerability in Qualcomm bus driver | CVE-2016-3904 | High | Yes |
| Elevation of privilege vulnerability in Synaptics touchscreen driver | CVE-2016-6742, CVE-2016-6744, CVE-2016-6745, CVE-2016-6743 | High | Yes |
| Information disclosure vulnerability in kernel components | CVE-2015-8964, CVE-2016-7914, CVE-2016-7915, CVE-2016-7916 | High | Yes |
| Information disclosure vulnerability in NVIDIA GPU driver | CVE-2016-6746 | High | Yes |
| Denial of service vulnerability in Mediaserver | CVE-2016-6747 | High | Yes |
| Information disclosure vulnerability in kernel components | CVE-2016-6753, CVE-2016-7917 | Moderate | Yes |
| Information disclosure vulnerability in Qualcomm components | CVE-2016-6748, CVE-2016-6749, CVE-2016-6750, CVE-2016-3906, CVE-2016-3907, CVE-2016-6698, CVE-2016-6751, CVE-2016-6752 | Moderate | Yes |
Zuletzt aktualisiert: 11. November 2016
Mobilfunk-Newsletter: Einmal pro Woche die neusten Informationen rund um Handy, Smartphones und Deals!
Unser kostenloser Newsletter informiert Sie regelmäßig per E-Mail über Produktneuheiten und Sonderaktionen. Ihre hier eingegebenen Daten werden lediglich zur Personalisierung des Newsletters verwendet und nicht an Dritte weitergegeben. Sie können sich jederzeit aus dem Newsletter heraus abmelden. Durch Absenden der von Ihnen eingegebenen Daten willigen Sie in die Datenverarbeitung ein und bestätigen unsere Datenschutzerklärung.
Immer die aktuellsten Nachrichten direkt im Smartphone.
Unsere Kanäle gibt es kostenlos hier:
Telegram: Appdated Telegram Channel
Facebook: Appdated Facebook Seite
Twitter: Appdated Twitter Channel
Technikaffin seit den Zeiten von Amiga 500 und C64 – mittlerweile aber eher mit deutlichem Fokus auf die Bereich Mobilfunk und Telekommunikation. Die ersten Artikel im Telco Bereich habe ich bereits 2006 geschrieben, seit dem bin ich dem Thema treu geblieben und nebenbei läuft mittlerweile auch noch ein Telefon- und Smartphone Museum um die Entiwcklung zu dokumentieren.