Darunter sind auch kritische Anfälligkeiten im Media Framework. Zudem verbannt Google die Bibliothek Libxaac aus Android aufgrund von mehreren schwerwiegenden Sicherheitslücken. Auch LG und Samsung kündigen ihre November-Patches an.
Google hat die Security-Bulletins für den jüngsten Android-Patchday veröffentlicht. Im November schließt das Unternehmen insgesamt 39 zum Teil als kritisch eingestufte Sicherheitslücken in seinem Mobilbetriebssystem. Auch LG und Samsung haben bereits die Details zu ihren eigenen monatlichen Android-Patches bereitgestellt – Samsung soll sogar schon mit deren Verteilung begonnen haben.
Google verteilt seine Fixes wie immer auf zwei Sicherheitswarnungen: das Android Security Bulletin und das Pixel/Nexus Security Bulletin. Ersteres nennt Details zu 36 Schwachstellen, die wiederum auf die Sicherheitspatch-Ebenen 1. und 5. November aufgeteilt sind. Die Anfälligkeiten stecken in den Komponenten Framework, Media Framework und System sowie in Komponenten von Qualcomm. Sie erlauben das Einschleusen von Schadcode aus der Ferne, die nicht autorisierte Ausweitung von Benutzerrechten, den Diebstahl vertraulicher Daten und unter Umständen auch Denial-of-Service-Angriffe.
Davon betroffen sind alle unterstützten Android-Versionen von 7.x bis 9. Darüber hinaus entfernt Google die Bibliothek Libxaac aus allen Android-Builds für den produktiven Einsatz. Grund dafür sind insgesamt 18 Sicherheitslöcher in der Bibliothek, die nun als experimentell eingestuft ist.
Das Pixel/Nexus-Bulletin beschreibt weitere drei Sicherheitslöcher in Komponenten von HTC und Qualcomm, von denen eine moderate Gefahr ausgeht. Betroffen sind der Bootloader von HTC-Geräten und der WLAN-Host von Qualcomm-Geräten.
Des Weiteren enthält der November-Patch Fehlerkorrekturen für Pixel-Geräte mit Android 9 Pie. Sie sollen die Leistung von Geräten und Apps verbessern, die die Picture-in-Picture-Funktion nutzen. Auch die Stabilität von Benachrichtigungen wurde verbessert.
LG und Samsung kündigten ebenfalls Sicherheitsaktualisierungen für bestimmte Smartphones und Tablets an. LG übernimmt 27 Fixes aus dem Android-November-Bulletin und schließt darüber hinaus eine Lücke in den Knock-Code-Einstellungen, von der ein hohes Risiko ausgeht. Damit hebt LG seine Geräte auf die Sicherheitspatch-Ebene 1. November 2018.
Auch Samsungs Android-Geräte sollten nach Installation des November-Patches diese Sicherheitsebene erreichen – mit dem November-Update verteilen Samsung und LG also auch Fixes, die bisher Geräten mit der Sicherheitspacht-Ebene 5. Oktober vorbehalten waren. Insgesamt stopft Samsung 29 Löcher, von denen elf als kritisch gekennzeichnet sind. Zusätzlich sollen vier Anfälligkeiten beseitigt werden, die es unter anderem erlauben, während der Ersteinrichtung eines Geräts eine schädliche Anwendung einzuschleusen oder im Dex-Modus selbst bei gesperrtem Gerät auf Benachrichtigungen zuzugreifen.
Google, LG und Samsung verteilen ihre Sicherheitsupdates Over-the-Air. Während sie für Pixel- und Nexus-Geräte bereits zur Verfügung stehen sollten, müssen die meisten Besitzer von LG- und Samsung-Geräten unter Umständen sogar mehrere Wochen auf die Patches warten. Google stellt darüber hinaus auf seiner Entwickler-Website Firmware-Images zum Download bereit.
SP3496A8H akkus für Samsung Google Nexus 10 GT-P8110 HA32ARB Tab
L14L4P24 akkus für Lenovo YOGA 4 Pro 900-13ISK
BAT-T11 akkus für Acer Liquid Z630 Z630S
061384 061385 akkus für BOSE SOUNDLINK Mini serie
AS16B5J akkus für ACER ASPIRE F5-573G E5-575G-53VG
BNRZ1000 BNRV100 akkus für Barnes & Noble 005,NOOK,NOOK Classic