Stagefright: Samsung schließt mit Firmware-Update letzte Lücke
Anfang des Monats hatte ein Sicherheits-Update fünf der sechs Stagefright-Schwachstellen behoben. Mit der Version 910FXXU1COI3 liefert Samsung nun auch einen Patch für die Schwachstelle CVE-2015-3864. Das Firmware-Update erhalten in Deutschland zuerst Nutzer des Note 4.
Samsung schließt die letzte noch offene Stagefright-Lücke mit der Kennung CVE-2015 3864 nun durch Auslieferung aktualisierter Firmware für Smartphones und Tablets. Begonnen hat der Konzern damit beim Note 4. Dessen Anwender erhalten seit einigen Tagen bereits ein Update mit der Firmware-Kennung 910FXXU1COI3. Anfang des Monats waren mit Sicherheits-Updates fünf der insgesamt sechs Stagefright-Sicherheitslücken behoben worden.
Noch unklar ist, welche Geräte als nächste mit dem Update versorgt werden. Auch welche Modelle überhaupt eine Aktualisierung erhalten, hat Samsung noch nicht mitgeteilt. Allerdings scheint es für die meisten aktuellen Gerätetypen vorgesehen zu sein, denn in einem amerikanischen Provider-Forum ist ersichtlich, dass es sogar für das 2012 auf den Markt gekommene Galaxy S3 noch einen Patch gibt.
Andere Hersteller haben ebenfalls begonnen, Updates für ihre Geräte auszuliefern, mit denen sie die Stagefright-Lücke komplett schließen. Beispielsweise haben hierzulande das LG G3 und das G Flex 2 bereits das Update erhalten. In den USA ist angeblich auch das G4 von LG mit einem Patch versorgt worden. Auch für neuere Sony- und HTC-Smartphones stehen Aktualisierungen zur Verfügung.
Der Sicherheitsfirma Zimperium zufolge, die die Stagefright-Lücken entdeckt hatte, lassen sich die Sicherheitslücken durch ein präpariertes Video, das per MMS an ein Gerät gesendet wird, auszunutzen. Je nach eingesetzter Messaging-App muss der Nutzer die Nachricht zwar aufrufen, aber das Video nicht unbedingt ansehen. Bei Google Hangouts ist die Infektion sogar schon beim Empfang möglich, da dort Videos gleich bei Erhalt dekodiert werden. Durch die Stagefright-Lücken erhalten Angreifer Zugang zu den auf dem Smartphone abgespeicherten Daten.
Mitarbeiter von Trend Micro fanden zudem heraus, dass die Schwachstellen auch über eine auf einer Webseite platzierte MP4-Datei ausgenutzt werden können, die der Nutzer herunterlädt. Wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurde, führt das zu einem Heap Overflow.
[mit Material von Kai Schmerer, ZDNet.de]