Galaxy-Update: Stagefright-Lücken nicht geschlossen

Auch die HTTPS-Schwachstelle Logjam ist für Angreifer weiter zugänglich. Ansonsten integriert die Aktualisierung die kürzlich zusammen mit dem S6 Edge+ vorgestellten Neuerungen. Dazu zählt die Möglichkeit, neben Kontakten auch Anwendungen für die seitliche Schnellzugriffsleiste zu konfigurieren.

Samsung hat vor wenigen Tagen hierzulande mit der Auslieferung des mit FXXU2COH2 bezeichneten Updates für das Galaxy S6 und S6 Edge begonnen. Die Aktualisierung trägt als Build-Datum 12.8.2015 und weist auf einem S6 Edge einen Umfang von 245 MByte auf. Sie bringt Funktionen, die Samsung kürzlich zur Vorstellung seiner Phablet-Versionen Note 5 und S6 Edge+ präsentiert hat. Dazu zählt beispielsweise die Möglichkeit, neben Kontakten auch Anwendungen für die seitliche Schnellzugriffsleiste zu konfigurieren.

Mit der aktuellen Firmware unterstützt Samsung auf den Galaxy-S6-Modellen mit der Kamera-App die Live-Broadcasting-Funktion für Youtube. Außerdem soll die Audioverstärkereinheit durch UHQ-Upscale einen besseren Klang erzeugen. Neu sind auch die abgerundeten Icons für vorinstallierte Apps. Zudem enthält die Firmware Unterstützung für Samsung Pay und eine darauf abgestimmte Knox-Version. Die seit Ende Juli als Stagefright bekannten Sicherheitslücken in der Android-Multimedia-Bibliothek schließt das Update nicht vollständig. Nach wie vor sind die Schwachstellen CVE-2015-3864 und CVE-2015-3827 für Angreifer zugänglich.

Galaxy-Update LMY47X G925FXXU2COH2 (Screenshot: ZDNet.de)

Laut der Sicherheitsfirma Zimperium, die die Stagefright-Lücken entdeckt hatte, muss ein Video per MMS an ein Gerät gesendet werden, um die Android-Lücke auszunutzen. Je nach verwendeter Messaging-App müsse der Nutzer die Nachricht aufrufen, aber nicht unbedingt das Video ansehen. Beim Einsatz von Google Hangouts sei sogar eine Infektion beim Empfang selbst möglich, da dieses Programm das Video gleich bei Erhalt dekodiert. Angreifer erhalten durch die Stagefright-Lücken Zugang zu den auf dem Smartphone abgespeicherten Daten.

Kurze Zeit nach der Entdeckung durch Zimperium fanden Mitarbeiter von Trend Micro heraus, dass die Schwachstellen nicht nur über eine MMS ausgenutzt werden können. Auch eine auf einer Webseite platzierte MP4-Datei, die der Nutzer herunterlädt, führt zu einem Heap Overflow, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurde.

Galaxy-Update LMY47X_G925FXXU2COH2-s (Screenshot: ZDNet.de)

Eine Folge nach Bekanntwerden der Lücke war auch, dass die Telekom den MMS-Dienst komplett eingestellt hat. Mitte August wurden noch weitere Stagefright-Lücken bekannt. Google hat die Hersteller von Android-Smartphones umgehend mit Patches versorgt. Diese erreichten Samsung wohl nicht mehr rechtzeitig, um sie in das jetzt veröffentlichte Update, das bereits am 12.8.2015 kompiliert wurde, zu integrieren. Samsung und andere Smartphonehersteller hatten im Zuge der Diskussion um die Stagefright-Lücke Mitte August angekündigt, zukünftig monatliche Sicherheitsupdates zu veröffentlichen.

Darüber hinaus ist der in den Galaxy-Modellen integrierte Browser noch immer anfällig für die im Mai entdeckte HTTPS-Schwachstelle Logjam. Diese Lücke hat Google in der für das Darstellen von HTML-Code gedachten Android-Komponente Webview inzwischen geschlossen. Das zeigt auch ein Test mit dem WebView Browser auf dem S6 Edge. Trotzdem weist der Test von Sicherheitsanbieter Qualys weiterhin den integrierten Samsung-Browser als anfällig aus. Offenbar nutzt er nicht WebView, um Webseiten darzustellen.

HIGHLIGHT

Samsung Galaxy S6 und S6 Edge im Business-Einsatz

Für den Einsatz in Unternehmen sind die Samsung-Smartphones Galaxy S6 und S6 Edge vor allem wegen des in der Android-Welt einzigartigen Sicherheitssystems Knox sehr gut geeignet. Zahlreiche MDM-Anbieter unterstützen die Technologie und erleichtern damit die Integration in bestehende Infrastrukturen.

Neueste Kommentare 

3 Kommentare zu Galaxy-Update: Stagefright-Lücken nicht geschlossen

Kommentar hinzufügen
  • Am 9. September 2015 um 23:00 von Judas Ischias

    Hmm. Komisch. Was soll denn der Grund sein, dass Samsung die Lücke immer noch nicht komplett geschlossen hat?
    Wird bestimmt nicht nur mich interessieren.
    Hat Samsung sich bis jetzt noch nicht geäußert, oder gibt es schon Meldungen über Termine, an denen das Loch restlos geschlossen werden soll?
    Auf jeden Fall schon sehr übel was da wieder mal NICHT passiert.
    Möchte mal wissen, was da bei den „Entscheidern“ vorgegangen ist?

  • Am 10. September 2015 um 10:24 von Wolfgang Piotrowsky

    Na ja, immerhin gibt es Updates für die Samsung Top-Modelle (Achtung: Ironie. Alle anderen schauen in die Röhre, denn Samsungs Update Politik ist grauenhaft. Wer sein Smartphone oder Tablet länger als ein Jahr nutzt bleibt bei den Updates meistens auf der Strecke; ganz selten gibt es Updates für Top-Modelle, die 2 Jahre und älter sind.
    Auch wenn mich die Technik der Samsung-Geräte überzeugt, werde ich mich doch nach Alternativen umsehen müssen.

    besitze ein Galaxy Note 3 (N9005) und ein Galaxy Tab 10.1 2014 (P605)

  • Am 10. September 2015 um 18:13 von Stefan

    Schon komisch das mein Beitrag hier gelöscht wird .Habe gestern schon mal hier geschrieben das bei meinem s6 edge die Stagefright Lücken zu sind seit dem Update. Das hier im Beitrag verwendete Programm sagt, die sind zu. Habe noch ein anderes getestet mit dem gleichen Resultat. Basisband:FXXU2COH2 Buildnummer:FXXU22QOH8

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *