Stagefright-Entdecker weisen auf zwei weitere Lücken in Android hin

Sicherheit
Android Probleme (Grafik: ZDNet.de)

Google wird nächste Woche einen Patch bereitstellen. Betroffen sind die Komponenten libutils und libstagefright. Eine der Lücken ist bereits als CVE-2015-6602 registriert. Einen Exlploit will die Sicherheitsfrma Zimperium diesmal nicht veröffentlichen.

Das vor einigen Wochen durch Aufdecken der Stagefright-Lücke bekannt gewordene Sicherheitsunternehmen Zimperium hat auf zwei weitere Schwachstellen in Android hingewiesen. Sie stecken in den Komponenten libutils und libstagefright. Die erste Schwachstelle betrifft sämtliche Android-Versionen. Durch sie kann auch die zweite ausgenutzt werden. Allerdings sind davon dann nur Geräte mit Android 5.0 oder neuer betroffen. Die erste Schwachstelle ist bereits unter der Bezeichnung CVE-2015-6602 registriert, für die zweite wurde noch keine CVE-Kennung vergeben.

Zimperium erklärt, man habe Google am 15. August über die Schwachstellen informiert. Das Unternehmen habe prompt reagiert und werde einen Patch für die Schwachstellen bereitstellen. Dieser soll im Rahmen des Nexus-Security-Bullertins nächste Woche verfügbar werden.

Dann können auch Smartphonehersteller beginnen, sie in ihre Firmware zu integrieren. Vermutlich werden die Entwickler von CyanogenMod den Patch als erste in ihre Custom Rom einbauen. Das war bereits bei der Ende Juli bekannt gewordenen ersten Stagefright-Lücke der Fall. Inzwischen haben aber auch Hersteller wie HTC, Samsung und LG begonnen, Updates für einige Geräte auszuliefern, um die Stagefright-Lücke zu schließen.

Um Smartphone-Hersteller dazu zu bewegen, Sicherheitsaktualisierungen schneller auszuliefern, hat Zimperium im September für die seiner Einschätzung nach gefährlichste Stagefright-Lücke mit der Kennung CVE-2015-1538 einen Exploit veröffentlicht. Für die nun gemeldeten Schwachstellen will Zimperium zunächst jedoch keinen Proof-of-Concept-Code veröffentlichen.

Die Stagefright genannte Schwachstelle hat ihren Namen von der gleichnamigen Komponente in der Mediaplayer-Engine von Android. Mit manipulierten MP3/MP4-Dateien, die etwa über eine MMS oder eine von Hackern übernommene Webseite auf das Android-Gerät gelangen können, lassen sich beliebige Daten stehlen, die auf dem Smartphone liegen. Die Schwachstelle betrifft alle Android-Versionen ab 2.2. Android-Nutzer können mit der Stagefright Detector App von Zimperium prüfen, ob auf ihrem Gerät die Stagefright-Lücken bereits geschlossen wurden.

[mit Material von Kai Schmerer, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen