Am Patchday im Mai sind die geschlossenen Sicherheitslücken insgesamt 40 CVE-Nummern zugeteilt. Darunter sind sechs besonders kritische Schwachstellen im Mediaserver.
Die ersten Lücken in der Stagefright-Komponente tauchten schon 2015 auf. Durch den bloßen Besuch einer Internetseite mit einem präparierten Video könnten Angreifer darüber Geräte der Besucher komplett übernehmen.
Das ist gut für Besitzer von Nexus– oder Pixel-Mobilgeräten – alle anderen gehen aber zunächst leer aus. Außer Google selbst veröffentlichen nur BlackBerry, LG und Samsung monatliche Sicherheitspatches, wenn auch nicht für alle ihre Modelle.
Besitzer anderer Smartphones könnten aber die Updates erst später oder im schlimmsten Fall überhaupt nicht bekommen, wobei letzteres leider auch die Regel ist.