Android-Updates: Krack-Patches für Android, aber nicht für Pixel-Telefone

Mit dem November-Patch für Android schließt Google wieder zahlreiche Sicherheitslücken. Traditionell dabei: der Medienserver. Aber auch einen Patch für Krack gibt es - doch diesen bekommen noch nicht einmal die Pixel-Geräte von Google selbst.

Artikel veröffentlicht am ,
Der kleine Androide wird im November wieder ordentlich gepatcht.
Der kleine Androide wird im November wieder ordentlich gepatcht. (Bild: Werner Pluta/Golem.de)

Google hat mit den November-Updates für das Android Open Source Project auch Patches für die WPA2-Sicherheitslücke Krack freigegeben. In diesem Monat gibt es drei verschiedene Patchlevel - und erstmals bekommen auch Googles eigene Smartphones nicht alle drei Patchlevel im November.

Stellenmarkt
  1. Referent*in für Informationssicherheit und Datenschutz
    Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V., Darmstadt, München, Bonn
  2. Release Manager (d/m/w)
    NÜRNBERGER Versicherung, Nürnberg
Detailsuche

Denn nach Angaben von Ars Technica bekommen auch die Pixel-Geräte im November nur die Patchlevel 2017-11-01 und 2017-11-05. Der dritte Level 2017-11-06 soll auch für die Pixel- und Nexus-Geräte erst im Dezember ausgeliefert werden. In diesem Level sind die Patches für Krack enthalten. Google bestätigte dies. Android-Partner müssten unter Umständen weitere Patches von Zulieferern der Wi-Fi-Komponenten implementieren, schreibt das Unternehmen im Security Advisory. Da zahlreiche Apps TLS-Verschlüsselung nutzen und der Angriff derzeit sehr aufwendig durchzuführen ist, besteht derzeit kein Grund zur Panik.

Wie üblich hat Google zahlreiche weitere Sicherheitslücken geschlossen. Zwei Schwachstellen im Application-Framework ermöglichen Angreifern, weitere Rechte für Berechtigungen für Applikationen zu erlangen, ohne dass dafür eine Interaktion der Nutzer erforderlich wäre (CVE-2017-0830 und -0831).

Wieder dabei ist auch der Medienserver. Fast schon traditionell ist es möglich, mit Hilfe präparierter Dateien beliebigen Code mit weitreichenden Berechtigungen auszuführen. Alleine fünf verschiedene CVEs in diesem Bereich sind als "kritisch" eingestuft. Ähnliches ist auch auf Systemebene möglich, genauere Angaben gibt es dazu aber noch nicht.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Im zweiten Patchlevel behebt Google vor allem Fehler in Treiberkomponenten. Zwei Fehler im Netzwerk- und im WLAN-Stack ermöglichen Angreifern auch hier, beliebigen Code in einem privilegierten Prozess auszuführen. Fehler im Cross Core Communication Interface (CCCI) von Mediatek-Prozessoren und im Grafiktreiber von Nvidia ermöglichen ebenfalls die Ausführung beliebigen Codes.

Auch Qualcomm-Prozessoren können mit "speziell präparierten Dateien" dazu gebracht werden, Code in einem privilegierten Kontext auszuführen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Microsoft Office  
BGP-Fehler macht zahlreichen Telekom-Kunden Probleme

Zahlreiche Telekom-Kunden hatten am Morgen Probleme, sich etwa mit Microsofts Online-Diensten zu verbinden. Grund ist wohl ein BGP-Fehler.

Microsoft Office: BGP-Fehler macht zahlreichen Telekom-Kunden Probleme
Artikel
  1. Jetpack Compose: Neues Framework für Android-UI ist fertig
    Jetpack Compose
    Neues Framework für Android-UI ist fertig

    Mit Jetpack Compose will Google die UI-Entwicklung für Android vereinfachen. Das Projekt erscheint nun in der stabilen Version 1.0.

  2. Neue Webcams im Test: Dell und Elgato wollen Razer ablösen
    Neue Webcams im Test
    Dell und Elgato wollen Razer ablösen

    Viele Leute suchen nach guten Webcams. Die Dell Ultrasharp Webcam und die Elgato Facecam sollen helfen. Sie müssen sich aber gegen Razer behaupten.
    Ein Test von Oliver Nickel

  3. That's No Moon: Branchenveteranen gründen Studio für Solospiele
    That's No Moon
    Branchenveteranen gründen Studio für Solospiele

    Geht es um Star Wars? Hochkarätige Entwickler aus dem Umfeld von Sony gründen ein neues Studio - mit Starthilfe von 100 Millionen US-Dollar.

Hüendli 14. Nov 2017

Nur so, das Essential Phone bekam KRACK bereits ein paar Tage vor Googles November-Patch...

Takato 14. Nov 2017

Mein Nokia 5 hat heute das Update vom 6.11. erhalten. Wenn jetzt nocht die Bugs vom...

anonym 13. Nov 2017

Einstellungen -> über das Telefon -> Sicherheitspatchebene: 1., 5. oder 6. November. Ist...

_LC_ 13. Nov 2017

Fast schon traditionell ist es möglich, mit Hilfe präparierter Dateien beliebigen...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • PS5 jetzt bestellbar • EA-Spiele (PC) günstiger (u. a. Battlefield 5 5,99€) • Asus TUF Gaming 23,8" FHD 144Hz 169€ • Acer-Chromebooks zu Bestpreisen • Philips 65" Ambilight 679€ • Bosch Professional günstiger [Werbung]
    •  /