Android 7.0 Nougat

Android Sicherheits-Update Dezember: Dirty Cow wird gefixt


Das Sicherheits-Update für den Dezember für Android* ist verfügbar und wird mittlerweile bereits verteilt. Fast 40 Sicherheitslücken und Probleme werden mit diesem Patch geschlossen, darunter sehr viele mit der Einstufung „kritisch“ oder „hoch“. Unter anderem wird auch die Dirty-Cow Sicherheitslücke geschlossen. Diese ist bereits seit längerem bekannt, konnte aber im November noch nicht mit bearbeitet werden. Nun reicht Google den Patch nach.

Allerdings hat das Unternehmen den Patch wieder in zwei Teile aufgeteilt. Im ersten Update werden 11 Sicherheitslücken geschlossen. Dieser Patch kann auch von Drittanbietern relativ schnell eingespielt werden, daher er nur wenige Änderungen enthält. Der zweite Patch-Level enthält deutlich mehr Bugfixes und darunter auch die Lösung für die Dirty Cow Sicherheitslücke. Bei diesen sicherheitsrelevanten Änderungen könnte es etwas länger dauert, bis diese auf den Endgeräten von Drittanbietern ankommen, da diese teilweise noch für die eigenen Geräte angepasst werden müssen. Google arbeitet mit dieser Aufteilung bereits seit einige Zeit, um zumindest die wichtigen Sicherheitslücken schnell zu schließen. Dieses Problem betrifft aber in erster Linie wirklich nur die Geräte von Drittanbietern. Die neueren Nexus Modell und das neue Google Pixel sind davon nicht betroffen und erhalten alle Sicherheitsupdates sofort. Das betrifft:

  • Google Pixel und Pixel XL
  • Nexus 5X, Nexus 6P, Nexus 6, Nexus 9

Drittanbieter wurden aber rechtzeitig über dieses Update informiert und sollten daher auch relativ schnell eine Implementierung bereit stellen können. Google schreibt dazu im Sicherheitsbulletin:

Partners were notified of the issues described in the bulletin on November 07, 2016 or earlier. Source code patches for these issues will be released to the Android* Open Source Project (AOSP) repository in the next 48 hours. We will revise this bulletin with the AOSP links when they are available. This bulletin also includes links to patches outside of AOSP.

Das Problem ist diesmal aber, das der Patch für die schwerwiegende Dirty Cow Lücke erst im zweiten Level verfügbar ist. Nutzer von anderen Geräten als den oben aufgeführten, sind also nach wie vor angreifbar, zumindest so lange, bis der eigenen Hersteller auch den zweiten Sicherheitspatch als Update zur Verfügung stellt. Das kann je nach Hersteller unterschiedlich lange dauern.

Mittlerweile werden die ersten Updates mit diesem Sicherheitslücken bereits OTA verteilt und sollten bei den meisten neuen Geräten angekommen sein. Falls ein Update möglich ist, sollte man dies auf jeden Fall einspielen, da man damit die Sicherheit der Geräte deutlich erhöht – auch wenn eventuell nur der erste Sicherheitspatch aktuell zur Verfügung steht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt ebenfalls, dieses Update so schnell wie möglich einzuspielen. In einer aktuellen Nachricht dazu heißt es:

Aktualisieren Sie Google Android* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 oder 7.0 auf die Version 2016-12-05 über die automatische Update-Funktion
innerhalb des Produktes, sobald diese Version für Ihr Gerät verfügbar  ist. Für Smartphones* mit dem Betriebssystem ‚BlackBerry powered by Android‚ ist das Update durch die Bezeichnung ‚Android Security Patch Level December 5, 2016′ in den Telefoneinstellungen identifizierbar. BlackBerry empfiehlt ein Update auf die neueste verfügbare Version des Betriebssystems. LG stellt ebenfalls ein Sicherheitsupdate für Google Android bereit und behebt gleichzeitig eine Sicherheitslücke, die nur Geräte von LG betrifft. Google hat weitere Hersteller über die  Schwachstellen informiert. Informationen zur Verfügbarkeit der   Sicherheitsupdates erhalten Sie vom jeweiligen Hersteller.



Wichtig: Hilfe zu inhaltlichen Themen kann am einfachsten in unserem Hilfe-Bereich bekommen werden. Dort kann man schnell und einfach bei Problemen und Schwierigkeiten nachfragen und entweder die Redaktion oder auch fachkundige Nutzer beantworten die Frage. Dazu können dann auch andere Nutzer mit dem gleichen Problem die Lösung dazu lesen und müssen nicht mehr selbst eine Frage stellen.