Stagefright-Entdecker Zimperium hat neue Schwachstellen in Googles Mobilbetriebssystem Android gefunden. Die Lücken stecken in den Komponenten libutils und libstagefright. Durch die erste Schwachstelle, die sämtliche Android-Versionen betrifft, kann auch die zweite genutzt werden. Davon sind allerdings nur Geräte mit Android 5.0 oder höher betroffen. Die erste Schwachstelle trägt die Bezeichnung CVE-2015-6602. Die zweite hat noch keine CVE-Kennung erhalten.
Zimperium hat nach eigenen Angaben Google bereits am 15. August über die neuen Schwachstellen informiert. Der Android-Hersteller habe prompt reagiert und plant einen Patch für die Schwachstellen. Dieser soll im Rahmen des Nexus-Security-Bullertins nächste Woche erscheinen. Dann können Smartphonehersteller damit beginnen, diesen in ihre eigene Firmwares zu integrieren. Vermutlich werden die CyanogenMod-Entwickler als erste den Patch in ihre Custom Rom einbauen. Das war schon bei den Ende Juli bekannt gewordenen ersten Stagefright-Lücke so. Inzwischen haben aber auch Hersteller wie HTC, Samsung und LG damit begonnen, Updates für einige Geräte auszuliefern, die die Stagefright-Schwachstellen beheben.
Um die Smartphone-Hersteller zu einer beschleunigten Auslieferung von Sicherheitsaktualisierungen zu bewegen, hat Zimperium im September für die seiner Einschätzung nach kritischsten Stagefright-Lücke CVE-2015-1538 einen Exploit veröffentlicht. Für die nun gemeldeten Schwachstellen will Zimperium zunächst keinen Proof-of-Concept-Code veröffentlichen.
Die Stagefright genannte Schwachstelle hat seinen Namen von der gleichnamigen Komponente in der Mediaplayer-Engine von Android. Mit manipulierten MP3/MP4-Dateien, die beispielsweise über eine MMS oder eine von Hackern übernommene Webseite auf das Android-Gerät gelangen können, ist es möglich, beliebige Daten zu stehlen, die auf dem Smartphone vorliegen. Von der Schwachstelle sind alle Android-Versionen ab 2.2 betroffen. Mit der Stagefright Detector App von Zimperium können Android-Nutzer überprüfen, ob auf ihrem Gerät die Stagefright-Lücken bereits geschlossen wurden.
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
3 Kommentare zu Stagefright-Entdecker Zimperium findet neue Lücken in Android
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Mehr – es wird ausgesessen.Alle Monate Wieder ein Déjà Vu. Was ist in den letzten Monaten passiert? Wenig: >90% der gefährdeten Geräte sind weiter ungeschützt.
Das wird nix mehr, da passiert nix.
Was Google sich hier leistet ist langsam kriminell.
Und – die Ausreden von Google sind es ebenso. Ein OS-Hersteller hat umgehend Patches für USER bereitzustellen, und nicht ständig neue Ausreden zu erfinden.
Darum lieber ein OSS-Custom-ROM nutzen und die US-Hersteller generell meiden.
Ich bin froh einen Androiden zu haben, da ist es wenigstens nicht langweilig. ;)
Und ich warte schon ungeduldig und voller Vorfreude, auf die nächste Meldung. ;)