Veröffentlicht am 6. Februar 2017 | Aktualisiert am 8. Februar 2017
Das Android-Sicherheitsbulletin enthält Details zu Sicherheitslücken, die Android-Geräte betreffen. Neben dem Bulletin haben wir ein Sicherheitsupdate für Google-Geräte als Over-the-air-Update (OTA-Update) veröffentlicht. Die Firmware-Images für Google-Geräte wurden auch auf der Google-Entwicklerwebsite veröffentlicht. Mit den Sicherheits-Patch-Levels vom 5. Februar 2017 oder höher werden alle diese Probleme behoben. Im Updatezeitplan für Google Pixel und Nexus erfahren Sie, wie Sie den Sicherheitspatch-Level eines Geräts prüfen.
Partner wurden am 3. Januar 2017 oder früher über die in diesem Bulletin beschriebenen Probleme informiert. Quellcode-Patches für diese Probleme wurden im Repository des Android Open Source Project (AOSP) veröffentlicht und über dieses Bulletin verlinkt. Dieses Bulletin enthält auch Links zu Patches außerhalb von AOSP.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Ausführung von Remote-Code auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Web-Browsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Bewertung des Schweregrads basiert auf der Auswirkung, die die Ausnutzung der Sicherheitslücke auf ein betroffenes Gerät haben könnte, vorausgesetzt, die Plattform- und Dienstmitigationen sind zu Entwicklungszwecken deaktiviert oder werden erfolgreich umgangen.
Uns liegen keine Berichte über eine aktive Ausnutzung oder einen Missbrauch dieser neu gemeldeten Probleme durch Kunden vor. Im Abschnitt Abhilfemaßnahmen für Android- und Google-Dienste finden Sie Details zu den Sicherheitsmechanismen der Android-Plattform und zu Dienstmechanismen wie SafetyNet, die die Sicherheit der Android-Plattform verbessern.
Wir empfehlen allen Kunden, diese Updates auf ihren Geräten zu akzeptieren.
Ankündigungen
- Dieses Bulletin enthält zwei Strings für die Sicherheitspatchebene, damit Android-Partner eine Reihe von Sicherheitslücken, die auf allen Android-Geräten ähnlich sind, schneller schließen können. Weitere Informationen finden Sie unter Häufig gestellte Fragen und Antworten:
- 2017-02-01: Teilstring für das Sicherheitspatch-Level. Dieser String für die Sicherheits-Patchebene gibt an, dass alle Probleme im Zusammenhang mit dem 01.02.2017 (und allen vorherigen Strings für die Sicherheits-Patchebene) behoben wurden.
- 2017-02-05: Vollständiger String für den Stand der Sicherheitsupdates. Dieser String für die Sicherheits-Patchebene gibt an, dass alle Probleme im Zusammenhang mit den Datumsangaben 2017-02-01 und 2017-02-05 (und alle vorherigen Strings für die Sicherheits-Patchebene) behoben wurden.
- Unterstützte Google-Geräte erhalten ein einziges OTA-Update mit dem Sicherheitspatch-Level vom 05. Februar 2017.
Maßnahmen für Android- und Google-Dienste
Hier finden Sie eine Zusammenfassung der Schutzmaßnahmen, die von der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bereitgestellt werden. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android-Geräten erfolgreich ausgenutzt werden können.
- Die Ausnutzung vieler Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Nutzern, nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
- Das Android-Sicherheitsteam überwacht mit Verify Apps und SafetyNet aktiv den Missbrauch, um Nutzer vor potenziell schädlichen Apps zu warnen. „Apps überprüfen“ ist auf Geräten mit Google Mobile Services standardmäßig aktiviert und ist besonders wichtig für Nutzer, die Apps außerhalb von Google Play installieren. Rooting-Tools für Geräte sind bei Google Play nicht zulässig. Verify Apps warnt Nutzer jedoch, wenn sie versuchen, eine erkannte Rooting-App zu installieren – unabhängig davon, woher sie stammt. Außerdem versucht „Apps überprüfen“, die Installation bekannter schädlicher Anwendungen zu erkennen und zu blockieren, die eine Sicherheitslücke bei der Berechtigungserweiterung ausnutzen. Wenn eine solche Anwendung bereits installiert ist, wird der Nutzer von „Apps überprüfen“ benachrichtigt und die erkannte Anwendung wird entfernt.
- Die Google Hangouts- und Messenger-Apps geben Medien nicht automatisch an Prozesse wie den Mediaserver weiter.
Danksagungen
Wir möchten uns bei den folgenden Forschern für ihre Beiträge bedanken:
- Daniel Dakhno: CVE-2017-0420
- Daniel Micay von Copperhead Security: CVE-2017-0410
- Dzmitry Lukyanenka: CVE-2017-0414
- Frank Liberato von Chrome: CVE-2017-0409
- Gal Beniamini von Project Zero: CVE-2017-0411, CVE-2017-0412
- Gengjia Chen (@chengjia4574) und pjf vom IceSword Lab der Qihoo 360 Technology Co., Ltd.: CVE-2017-0434, CVE-2017-0446, CVE-2017-0447, CVE-2017-0432
- Guang Gong (龚广) (@oldfresher) vom Alpha-Team der Qihoo 360 Technology Co., Ltd.: CVE-2017-0415
- Hanxiang Wen, Wenke Dou, Mingjian Zhou ( @Mingjian_Zhou) und Xuxian Jiang vom C0RE-Team: CVE-2017-0418
- Hao Chen und Guang Gong vom Alpha-Team, Qihoo 360 Technology Co., Ltd.: CVE-2017-0437, CVE-2017-0438, CVE-2017-0439, CVE-2016-8419, CVE-2016-8420, CVE-2016-8421, CVE-2017-0441, CVE-2017-0442, CVE-2016-8476, CVE-2017-0443
- Jeff Sharkey von Google: CVE-2017-0421, CVE-2017-0423
- Jeff Trim: CVE-2017-0422
- Jianqiang Zhao ( @jianqiangzhao) und pjf vom IceSword Lab, Qihoo 360: CVE-2017-0445
- ma.la und Nikolay Elenkov von LINE Corporation: CVE-2016-5552
- Max Spector von Google: CVE-2017-0416
- Mingjian Zhou ( @Mingjian_Zhou), Yuqi Lu ( @nikos233) und Xuxian Jiang vom C0RE-Team: CVE-2017-0425
- Qidan He (何淇丹) (@flanker_hqd) und Di Shen (申迪) (@returnsme) von KeenLab, Tencent (腾讯科恩实验室): CVE-2017-0427
- Sagi Kedmi von IBM X-Force Research: CVE-2017-0433
- Scott Bauer (@ScottyBauer1) und Daniel Micay von Copperhead Security: CVE-2017-0405
- Seven Shen (@lingtongshen) vom Trend Micro Mobile Threat Research Team: CVE-2017-0449, CVE-2016-8418
- Tong Lin, Yuan-Tsung Lo, Chiachih Wu ( @chiachih_wu) und Xuxian Jiang vom C0RE-Team: CVE-2017-0436, CVE-2016-8481, CVE-2017-0435
- V.E.O (@VYSEa) vom Mobile Threat Response Team von Trend Micro: CVE-2017-0424
- Weichao Sun (@sunblate) von Alibaba Inc.: CVE-2017-0407
- Wenke Dou, Hongli Han, Mingjian Zhou ( @Mingjian_Zhou) und Xuxian Jiang vom C0RE-Team: CVE-2017-0450
- Wenke Dou, Yuqi Lu ( @nikos233), Mingjian Zhou ( @Mingjian_Zhou) und Xuxian Jiang vom C0RE-Team: CVE-2017-0417
- Wish Wu (@wish_wu) ( 吴潍浠 此彼) vom Ant-financial Light-Year Security Lab: CVE-2017-0408
- Yao Jun, Yuan-Tsung Lo, Chiachih Wu ( @chiachih_wu) und Xuxian Jiang vom C0RE-Team: CVE-2016-8480
- Yuan-Tsung Lo, Chiachih Wu ( @chiachih_wu) und Xuxian Jiang vom C0RE-Team: CVE-2017-0444
- Yuan-Tsung Lo, Tong Lin, Chiachih Wu ( @chiachih_wu) und Xuxian Jiang vom C0RE-Team: CVE-2017-0428
- Yuan-Tsung Lo, Xiaodong Wang, Chiachih Wu ( @chiachih_wu) und Xuxian Jiang vom C0RE-Team: CVE-2017-0448, CVE-2017-0429
- Zhen Zhou (@henices) und Zhixin Li von NSFocus: CVE-2017-0406
Wir möchten uns auch bei den folgenden Personen für ihren Beitrag zu diesem Bulletin bedanken:
- Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮) und Lenx Wei (韦韬) vom Baidu X-Lab (百度安全实验室)
Sicherheitspatch-Level vom 01.02.2017 – Details zur Sicherheitslücke
In den folgenden Abschnitten finden Sie Details zu den einzelnen Sicherheitslücken, die für das Patchlevel vom 01.02.2017 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, den zugehörigen Referenzen, dem Schweregrad, aktualisierten Google-Geräten, aktualisierten AOSP-Versionen (falls zutreffend) und dem Meldedatum. Sofern verfügbar, verlinken wir die öffentliche Änderung, mit der das Problem behoben wurde, mit der Fehler-ID, z. B. in der AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, sind zusätzliche Verweise mit Zahlen verknüpft, die auf die Fehler-ID folgen.
Sicherheitslücke bei der Remote-Codeausführung in Surfaceflinger
Eine Sicherheitslücke bei der Remote-Codeausführung in Surfaceflinger kann es einem Angreifer ermöglichen, mit einer speziell erstellten Datei bei der Verarbeitung von Mediendateien und Daten eine Beschädigung des Arbeitsspeichers zu verursachen. Dieses Problem wird als kritisch eingestuft, da eine Remote-Codeausführung im Kontext des Surfaceflinger-Prozesses möglich ist.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0405 | A-31960359 | Kritisch | Alle | 7.0, 7.1.1 | 4. Oktober 2016 |
Sicherheitslücke bei der Remote-Codeausführung im Mediaserver
Eine Sicherheitslücke zur Remote-Codeausführung im Mediaserver kann es einem Angreifer ermöglichen, mit einer speziell erstellten Datei bei der Verarbeitung von Mediendateien und Daten eine Speicherbeschädigung zu verursachen. Dieses Problem wird als kritisch eingestuft, da eine Remote-Codeausführung im Kontext des Mediaserver-Prozesses möglich ist.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0406 | A-32915871 [2] | Kritisch | Alle | 6.0, 6.0.1, 7.0, 7.1.1 | 14. November 2016 |
| CVE-2017-0407 | A-32873375 | Kritisch | Alle | 6.0, 6.0.1, 7.0, 7.1.1 | 12. November 2016 |
Sicherheitslücke bei der Remote-Codeausführung in libgdx
Eine Sicherheitslücke bei der Remote-Codeausführung in libgdx könnte es einem Angreifer ermöglichen, mithilfe einer speziell erstellten Datei beliebigen Code im Kontext eines nicht privilegierten Prozesses auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da eine Remote-Codeausführung in einer Anwendung möglich ist, die diese Bibliothek verwendet.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0408 | A-32769670 | Hoch | Alle | 7.1.1 | 9. November 2016 |
Sicherheitslücke für die Codeausführung per Fernzugriff in libstagefright
Eine Sicherheitslücke bei der Remote-Codeausführung in libstagefright könnte es einem Angreifer ermöglichen, mit einer speziell erstellten Datei beliebigen Code im Kontext eines nicht privilegierten Prozesses auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da in einer Anwendung, die diese Bibliothek verwendet, Remote-Code ausgeführt werden kann.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0409 | A-31999646 | Hoch | Alle | 6.0, 6.0.1, 7.0, 7.1.1 | Google intern |
Rechteausweitungslücke in Java.Net
Eine Erhöhung der Berechtigungen in der Java.Net-Bibliothek könnte es schädlichen Webinhalten ermöglichen, einen Nutzer ohne ausdrückliche Erlaubnis auf eine andere Website weiterzuleiten. Dieses Problem wird als „Hoch“ eingestuft, da es sich um eine Remote-Umgehung der Anforderungen an die Nutzerinteraktion handelt.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2016-5552 | A-31858037 | Hoch | Alle | 7.0, 7.1.1 | 30. September 2016 |
Sicherheitslücke vom Typ „Rechteausweitung“ in Framework-APIs
Eine Sicherheitslücke zur Erhöhung von Berechtigungen in den Framework-APIs kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem hat die Bewertung „Hoch“, da es dazu verwendet werden kann, lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieter-Anwendung normalerweise nicht zugreifen kann.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0410 | A-31929765 | Hoch | Alle | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2. Oktober 2016 |
| CVE-2017-0411 | A-33042690 [2] | Hoch | Alle | 7.0, 7.1.1 | 21. November 2016 |
| CVE-2017-0412 | A-33039926 [2] | Hoch | Alle | 7.0, 7.1.1 | 21. November 2016 |
Sicherheitslücke vom Typ „Rechteausweitung“ im Mediaserver
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Mediaserver kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem hat die Bewertung „Hoch“, da es dazu verwendet werden kann, lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieter-Anwendung normalerweise nicht zugreifen kann.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0415 | A-32706020 | Hoch | Alle | 6.0, 6.0.1, 7.0, 7.1.1 | 4. November 2016 |
Sicherheitslücke vom Typ „Rechteausweitung“ im Audioserver
Eine Sicherheitslücke zur Erhöhung von Berechtigungen in Audioserver kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem hat die Bewertung „Hoch“, da es dazu verwendet werden kann, lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieter-Anwendung normalerweise nicht zugreifen kann.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0416 | A-32886609 [2] | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Google intern |
| CVE-2017-0417 | A-32705438 | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7. November 2016 |
| CVE-2017-0418 | A-32703959 [2] | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7. November 2016 |
| CVE-2017-0419 | A-32220769 | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 15. Oktober 2016 |
Sicherheitslücke bei der Offenlegung von Informationen in AOSP Mail
Eine Sicherheitslücke bei der Offenlegung von Informationen in AOSP Mail kann es einer schädlichen lokalen Anwendung ermöglichen, die Betriebssystemschutzmaßnahmen zu umgehen, die Anwendungsdaten von anderen Anwendungen isolieren. Dieses Problem hat die Bewertung „Hoch“, da es dazu verwendet werden könnte, auf Daten zuzugreifen, auf die die Anwendung keinen Zugriff hat.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0420 | A-32615212 | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 12. September 2016 |
Sicherheitslücke bei der Offenlegung von Informationen in AOSP-Messaging
Eine Sicherheitslücke bei der Offenlegung von Informationen in AOSP Messaging könnte es einer schädlichen lokalen Anwendung ermöglichen, die Betriebssystemschutzmaßnahmen zu umgehen, die Anwendungsdaten von anderen Anwendungen isolieren. Dieses Problem hat die Bewertung „Hoch“, da es dazu verwendet werden könnte, auf Daten zuzugreifen, auf die die Anwendung keinen Zugriff hat.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0413 | A-32161610 | Hoch | Alle | 6.0, 6.0.1, 7.0, 7.1.1 | 13. Oktober 2016 |
| CVE-2017-0414 | A-32807795 | Hoch | Alle | 6.0, 6.0.1, 7.0, 7.1.1 | 10. November 2016 |
Sicherheitslücke bei der Offenlegung von Informationen in Framework-APIs
Eine Sicherheitslücke bei der Offenlegung von Informationen in den Framework APIs könnte es einer schädlichen lokalen Anwendung ermöglichen, die Betriebssystemschutzmaßnahmen zu umgehen, die Anwendungsdaten von anderen Anwendungen isolieren. Dieses Problem hat die Bewertung „Hoch“, da es dazu verwendet werden könnte, auf Daten zuzugreifen, auf die die Anwendung keinen Zugriff hat.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0421 | A-32555637 | Hoch | Alle | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Google intern |
Denial-of-Service-Sicherheitslücke in Bionic DNS
Eine Denial-of-Service-Sicherheitslücke in Bionic DNS kann es einem Remote-Angreifer ermöglichen, mit einem speziell erstellten Netzwerkpaket ein Gerät zum Absturz zu bringen oder neu zu starten. Dieses Problem wird aufgrund der Möglichkeit eines Remote-Denial-of-Service-Angriffs als „Hoch“ eingestuft.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0422 | A-32322088 | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 20. Oktober 2016 |
Sicherheitslücke vom Typ „Ausweitung von Berechtigungen“ in Bluetooth
Eine Sicherheitslücke bei der Berechtigungsaufhebung in Bluetooth kann es einem Angreifer in der Nähe ermöglichen, den Zugriff auf Dokumente auf dem Gerät zu verwalten. Dieses Problem wird als mäßig eingestuft, da zuerst eine andere Sicherheitslücke im Bluetooth-Stack ausgenutzt werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0423 | A-32612586 | Moderat | Alle | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2. November 2016 |
Sicherheitslücke bei der Offenlegung von Informationen in AOSP-Messaging
Eine Sicherheitslücke bei der Offenlegung von Informationen in AOSP Messaging kann es einem Remote-Angreifer ermöglichen, mithilfe einer speziell erstellten Datei auf Daten außerhalb seiner Berechtigungsebenen zuzugreifen. Dieses Problem wird als mittelschwer eingestuft, da es sich um eine allgemeine Umgehung einer Defense-in-Depth-Technologie oder einer Exploit-Mitigationstechnologie auf Nutzerebene in einem privilegierten Prozess handelt.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0424 | A-32322450 | Moderat | Alle | 6.0, 6.0.1, 7.0, 7.1.1 | 20. Oktober 2016 |
Sicherheitslücke beim Offenlegen von Informationen im Audioserver
Eine Sicherheitslücke in Audioserver, die zur Offenlegung von Informationen führt, könnte es einer schädlichen lokalen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem wird als mäßig eingestuft, da es dazu verwendet werden könnte, ohne Erlaubnis auf sensible Daten zuzugreifen.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0425 | A-32720785 | Moderat | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7. November 2016 |
Sicherheitslücke im Dateisystem, die zur Offenlegung von Informationen führt
Eine Sicherheitslücke im Dateisystem, die zur Offenlegung von Informationen führt, könnte es einer schädlichen lokalen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem wird als mäßig eingestuft, da es dazu verwendet werden könnte, ohne Erlaubnis auf sensible Daten zuzugreifen.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0426 | A-32799236 [2] | Moderat | Alle | 7.0, 7.1.1 | Google intern |
Sicherheitspatch-Level vom 05.02.2017 – Details zur Sicherheitslücke
In den folgenden Abschnitten finden Sie Details zu den einzelnen Sicherheitslücken, die für das Patchlevel vom 05.02.2017 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, den zugehörigen Referenzen, dem Schweregrad, aktualisierten Google-Geräten, aktualisierten AOSP-Versionen (falls zutreffend) und dem Meldedatum. Sofern verfügbar, verlinken wir die öffentliche Änderung, mit der das Problem behoben wurde, mit der Fehler-ID, z. B. in der AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, sind zusätzliche Verweise mit Zahlen verknüpft, die auf die Fehler-ID folgen.
Sicherheitslücke bei der Remote-Codeausführung im Krypto-Treiber von Qualcomm
Eine Sicherheitslücke zur Remote-Codeausführung im Qualcomm-Krypto-Treiber könnte es einem Remote-Angreifer ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als kritisch eingestuft, da es die Möglichkeit einer Remote-Codeausführung im Kontext des Kernels gibt.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-8418 | A-32652894 QC-CR#1077457 |
Kritisch | Keine* | 10. Oktober 2016 |
* Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücke vom Typ „Rechteausweitung“ im Kerneldateisystem
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Kernel-Dateisystem kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als kritisch eingestuft, da es zu einer dauerhaften lokalen Manipulation des Geräts kommen kann, was zur Reparatur des Geräts möglicherweise ein Neuflashen des Betriebssystems erfordert.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0427 | A-31495866* | Kritisch | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 13. September 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
Sicherheitslücke vom Typ „Ausweitung von Berechtigungen“ im NVIDIA-GPU-Treiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im NVIDIA-GPU-Treiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als kritisch eingestuft, da es zu einer dauerhaften lokalen Manipulation des Geräts kommen kann, was zur Reparatur des Geräts möglicherweise ein Neuflashen des Betriebssystems erfordert.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0428 | A-32401526* N-CVE-2017-0428 |
Kritisch | Nexus 9 | 25. Oktober 2016 |
| CVE-2017-0429 | A-32636619* N-CVE-2017-0429 |
Kritisch | Nexus 9 | 3. November 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
Rechteausweitungslücke im Kernel-Netzwerk-Subsystem
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Kernel-Netzwerk-Subsystem könnte es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als kritisch eingestuft, da es zu einer dauerhaften lokalen Manipulation des Geräts kommen kann, was zur Reparatur des Geräts möglicherweise ein Neuflashen des Betriebssystems erfordert.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2014-9914 | A-32882659 Upstream-Kernel |
Kritisch | Nexus 6, Nexus Player | 9. November 2016 |
Sicherheitslücke zur Rechteausweitung im Broadcom-WLAN-Treiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Broadcom-WLAN-Treiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als kritisch eingestuft, da es zu einer dauerhaften lokalen Manipulation des Geräts kommen kann, was zur Reparatur des Geräts möglicherweise ein Neuflashen des Betriebssystems erfordert.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0430 | A-32838767* B-RB#107459 |
Kritisch | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | Google intern |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
Sicherheitslücken in Qualcomm-Komponenten
Die folgende Sicherheitslücke betrifft Qualcomm-Komponenten und wird im Sicherheitsbulletin von Qualcomm AMSS vom September 2016 ausführlicher beschrieben.
| CVE | Referenzen | Schweregrad* | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0431 | A-32573899** | Kritisch | Keine*** | Qualcomm intern |
* Die Bewertung des Schweregrads dieser Sicherheitslücken wurde vom Anbieter festgelegt.
** Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
*** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücke vom Typ „Rechteausweitung“ im MediaTek-Treiber
Eine Sicherheitslücke zur Berechtigungseskalierung im MediaTek-Treiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0432 | A-28332719* M-ALPS02708925 |
Hoch | Keine** | 21. April 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücke im Synaptics-Touchscreen-Treiber, die eine Rechteausweitung ermöglicht
Eine Sicherheitslücke zur Erhöhung der Berechtigungen im Synaptics-Touchscreen-Treiber könnte es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Touchscreen-Chipsatzes auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0433 | A-31913571* | Hoch | Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | 8. September 2016 |
| CVE-2017-0434 | A-33001936* | Hoch | Pixel/Pixel XL | 18. November 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
Sicherheitslücke zur Rechteausweitung im Communicator-Treiber der Qualcomm Secure Execution Environment
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Qualcomm Secure Execution Environment Communicator-Laufwerk kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-8480 | A-31804432 QC-CR#1086186 [2] |
Hoch | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 28. September 2016 |
Sicherheitslücke vom Typ „Rechteausweitung“ im Qualcomm-Treiber für Audio
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Qualcomm-Soundtreiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-8481 | A-31906415* QC-CR#1078000 |
Hoch | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 1. Oktober 2016 |
| CVE-2017-0435 | A-31906657* QC-CR#1078000 |
Hoch | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 1. Oktober 2016 |
| CVE-2017-0436 | A-32624661* QC-CR#1078000 |
Hoch | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 2. November 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
Sicherheitslücke vom Typ „Rechteausweitung“ im Qualcomm-WLAN-Treiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Qualcomm-Wi‑Fi-Treiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0437 | A-32402310 QC-CR#1092497 |
Hoch | Nexus 5X, Pixel, Pixel XL | 25. Oktober 2016 |
| CVE-2017-0438 | A-32402604 QC-CR#1092497 |
Hoch | Nexus 5X, Pixel, Pixel XL | 25. Oktober 2016 |
| CVE-2017-0439 | A-32450647 QC-CR#1092059 |
Hoch | Nexus 5X, Pixel, Pixel XL | 25. Oktober 2016 |
| CVE-2016-8419 | A-32454494 QC-CR#1087209 |
Hoch | Nexus 5X, Pixel, Pixel XL | 26. Oktober 2016 |
| CVE-2016-8420 | A-32451171 QC-CR#1087807 |
Hoch | Nexus 5X, Pixel, Pixel XL | 26. Oktober 2016 |
| CVE-2016-8421 | A-32451104 QC-CR#1087797 |
Hoch | Nexus 5X, Pixel, Pixel XL | 26. Oktober 2016 |
| CVE-2017-0440 | A-33252788 QC-CR#1095770 |
Hoch | Nexus 5X, Pixel, Pixel XL | 11. November 2016 |
| CVE-2017-0441 | A-32872662 QC-CR#1095009 |
Hoch | Nexus 5X, Pixel, Pixel XL | 11. November 2016 |
| CVE-2017-0442 | A-32871330 QC-CR#1092497 |
Hoch | Nexus 5X, Pixel, Pixel XL | 13. November 2016 |
| CVE-2017-0443 | A-32877494 QC-CR#1092497 |
Hoch | Nexus 5X, Pixel, Pixel XL | 13. November 2016 |
| CVE-2016-8476 | A-32879283 QC-CR#1091940 |
Hoch | Nexus 5X, Pixel, Pixel XL | 14. November 2016 |
Sicherheitslücke vom Typ „Rechteausweitung“ im Realtek-Soundtreiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Realtek-Soundtreiber könnte es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0444 | A-32705232* | Hoch | Nexus 9 | 7. November 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
Sicherheitslücke vom Typ „Rechteausweitung“ im Touchscreen-Treiber von HTC
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im HTC-Touchscreen-Treiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0445 | A-32769717* | Hoch | Pixel/Pixel XL | 9. November 2016 |
| CVE-2017-0446 | A-32917445* | Hoch | Pixel/Pixel XL | 15. November 2016 |
| CVE-2017-0447 | A-32919560* | Hoch | Pixel/Pixel XL | 15. November 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
Sicherheitslücke im NVIDIA-Grafiktreiber, die zur Offenlegung von Informationen führt
Eine Sicherheitslücke im NVIDIA-Videotreiber kann es einer lokalen schädlichen Anwendung ermöglichen, auf Daten zuzugreifen, die außerhalb ihrer Berechtigungsebenen liegen. Dieses Problem wird als „Hoch“ eingestuft, da es dazu verwendet werden könnte, ohne explizite Nutzererlaubnis auf sensible Daten zuzugreifen.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0448 | A-32721029* N-CVE-2017-0448 |
Hoch | Nexus 9 | 7. November 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
Sicherheitslücke zur Rechteausweitung im Broadcom-WLAN-Treiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Broadcom-WLAN-Treiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als mäßig eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss und es durch aktuelle Plattformkonfigurationen abgeschwächt wird.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0449 | A-31707909* B-RB#32094 |
Moderat | Nexus 6, Nexus 6P | 23. September 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
Sicherheitslücke vom Typ „Rechteausweitung“ im Audioserver
Eine Sicherheitslücke zur Erhöhung von Berechtigungen in Audioserver kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als mäßig eingestuft, da es durch die aktuellen Plattformkonfigurationen abgemildert wird.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0450 | A-32917432* | Moderat | Nexus 9 | 15. November 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
Sicherheitslücke vom Typ „Rechteausweitung“ im Kerneldateisystem
Eine Sicherheitslücke in Bezug auf die Rechteausweitung im Kerneldateisystem kann es einer schädlichen lokalen Anwendung ermöglichen, Schutzmaßnahmen zu umgehen, die eine Rechteausweitung verhindern. Dieses Problem wird als mittel eingestuft, da es sich um eine allgemeine Umgehung einer Defense-in-Depth-Technologie oder einer Technologie zur Ausnutzungsminderung auf Nutzerebene handelt.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-10044 | A-31711619* | Moderat | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | Google intern |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
Sicherheitslücke beim Offenlegen von Informationen in der Qualcomm Secure Execution Environment (Communicator)
Eine Sicherheitslücke im Qualcomm Secure Execution Environment Communicator könnte es einer schädlichen lokalen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem wird als mäßig eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-8414 | A-31704078 QC-CR#1076407 |
Moderat | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 23. September 2016 |
Sicherheitslücke zur Offenlegung von Informationen im Qualcomm-Soundtreiber
Eine Sicherheitslücke im Qualcomm-Soundtreiber kann es einer lokalen schädlichen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem wird als mäßig eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0451 | A-31796345 QC-CR#1073129 [2] |
Moderat | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 27. September 2016 |
Häufig gestellte Fragen und Antworten
In diesem Abschnitt werden häufige Fragen zu diesem Bulletin beantwortet.
1. Wie finde ich heraus, ob mein Gerät entsprechend aktualisiert wurde?
Eine Anleitung zum Prüfen des Sicherheitspatches eines Geräts finden Sie im Updatezeitplan für Google Pixel und Google Nexus.
- Mit den Sicherheitspatch-Levels vom 01.02.2017 oder höher werden alle Probleme behoben, die mit dem Sicherheitspatch-Level vom 01.02.2017 zusammenhängen.
- Mit dem Stand der Sicherheits-Patches vom 05.02.2017 oder höher werden alle Probleme behoben, die mit dem Stand der Sicherheits-Patches vom 05.02.2017 und allen vorherigen Patch-Ständen zusammenhängen.
Gerätehersteller, die diese Updates einbinden, sollten die Patch-Stringebene auf Folgendes festlegen:
[ro.build.version.security_patch]:[2017-02-01][ro.build.version.security_patch]:[2017-02-05]
2. Warum gibt es in diesem Bulletin zwei Sicherheits-Patch-Stufen?
Dieses Bulletin enthält zwei Sicherheitspatch-Stufen, damit Android-Partner eine Reihe von Sicherheitslücken, die auf allen Android-Geräten ähnlich sind, schneller schließen können. Android-Partner werden aufgefordert, alle in diesem Bulletin aufgeführten Probleme zu beheben und den neuesten Sicherheitspatch zu verwenden.
- Auf Geräten mit dem Stand des Sicherheitspatches vom 1. Februar 2017 müssen alle mit diesem Sicherheitspatch verbundenen Probleme behoben sein. Außerdem müssen alle in früheren Sicherheitsbulletins gemeldeten Probleme behoben sein.
- Auf Geräten mit dem Stand des Sicherheitspatches vom 5. Februar 2017 oder höher müssen alle anwendbaren Patches aus diesem und früheren Sicherheitsbulletins installiert sein.
Wir empfehlen Partnern, die Korrekturen für alle behobenen Probleme in einem einzigen Update zusammenzufassen.
3. Wie finde ich heraus, welche Google-Geräte von den einzelnen Problemen betroffen sind?
In den Abschnitten mit Details zu den Sicherheitslücken vom 01.02.2017 und 05.02.2017 enthält jede Tabelle die Spalte Aktualisierte Google-Geräte, in der die betroffenen Google-Geräte aufgeführt sind, die für jedes Problem aktualisiert wurden. Für diese Spalte gibt es einige Optionen:
- Alle Google-Geräte: Wenn ein Problem alle Google-Geräte und Pixel-Geräte betrifft, wird in der Tabelle in der Spalte Aktualisierte Google-Geräte „Alle“ angezeigt. „Alle“ umfasst die folgenden unterstützten Geräte: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel und Pixel XL.
- Einige Google-Geräte: Wenn sich ein Problem nicht auf alle Google-Geräte auswirkt, werden die betroffenen Google-Geräte in der Spalte Aktualisierte Google-Geräte aufgeführt.
- Keine Google-Geräte: Wenn das Problem keine Google-Geräte mit Android 7.0 betrifft, wird in der Tabelle in der Spalte Aktualisierte Google-Geräte „Keines“ angezeigt.
4. Worauf beziehen sich die Einträge in der Spalte „Referenzen“?
Einträge in der Spalte Referenzen der Tabelle mit den Details zur Sicherheitslücke können ein Präfix enthalten, das die Organisation angibt, zu der der Referenzwert gehört. Diese Präfixe werden wie folgt zugeordnet:
| Präfix | Verweise |
|---|---|
| A- | Android-Fehler-ID |
| QC- | Qualcomm-Referenznummer |
| M- | MediaTek-Referenznummer |
| N- | NVIDIA-Referenznummer |
| B- | Broadcom-Referenznummer |
Überarbeitungen
- 6. Februar 2017: Mitteilung veröffentlicht.
- 8. Februar 2017: Das Bulletin wurde überarbeitet und enthält jetzt AOSP-Links.