LineageOS behebt Sicherheitslücke

Zur Privacy-Guard-Implementierung von "su" wurden mehrere Schwachstellen gemeldet. Aktive Exploits sind jedoch nicht bekannt. Die Entwickler ersetzen außerdem Gello mit dem schlankeren und besser aktualisierbaren Browser Jelly, der auf der integrierten Webview-Engine basiert.

In ihrem aktuellen Changelog beschreiben die Entwickler der beliebten Custom ROM LineageOS laufende Verbesserungen und machen auf eine Sicherheitslücke aufmerksam, die vorsorglich behoben wurde. Für mehr Sicherheit der alternativen Android-Version sorgt außerdem die schlankere und besser aktualisierbare Browser-App, die unter dem Codenamen Jelly entwickelt wurde.

LineageOS (Bild: ZDNet.de)

Der Privacy-Guard-Implementierung von „su“ wurden mehrere Schwachstellen zugeschrieben, deren Ausnutzung selbst dann möglich sein soll, wenn sie nicht aktiv ist. Demnach reichte schon das Vorhandensein des su-Binärcodes aus, um ein Gerät kompromittieren zu können. Da nur die Sicherheitslücke und keine weiteren Einzelheiten gemeldet wurden, entschieden sich die Lineage-Entwickler dafür, den su-Zugang nur noch zu ermöglichen, wenn er in den Einstellungen ausdrücklich erlaubt wird.

Außerdem verbirgt ein Kernel-Patch su vor allen Prozessen außer Root und System, wenn der su-Daemon nicht läuft. Das soll unberechtigte Prozesse nicht nur effektiv an der Nutzung von su hindern, sie sollen vielmehr das Vorhandensein des Binärcodes nicht einmal feststellen können. „Das ist eine Vorsichtsmaßnahme“, merken die Entwickler dazu an. „Wir haben keinerlei Kenntnis von aktiven Exploits zu diesem Problem.“

Im letzten Monat wurde ein neuer Browser vorgestellt, der unter dem Codenamen Jelly entwickelt wurde und sich auch für Geräte eignet, die mit schwerfälligeren Anwendungen wie dem zuvor selbst entwickelten Browser Gello und / oder Chrome nicht zurechtkommen. Gello war außerdem schwieriger auf dem Laufenden zu halten, so dass Nutzer am Ende oft einen alten und anfälligen Chromium-Browser nutzten. Der „kleine Bruder“ Jelly ersetzt nun Gello und ist leichter aktualisierbar, da er nur auf der integrierten Webview-Engine basiert. Damit können Nutzer künftig sicher sein, immer die neueste Variante der Android-Browserengine zu nutzen.

Das Google-Smartphone Nexus 4 (mako) wird nicht mehr aktiv mit neuen Builds von LineageOS 14.1 unterstützt. Wenn ein Gerät aus der Aufstellung genommen wird, muss es jedoch nicht bedeuten, dass es auf Dauer entfällt. Macht sich ein neuer Maintainer an die Arbeit, sind auch wieder neue Nightlies in Sicht.

LineageOS zählt zu den beliebtesten Custom ROMs. Die Gründe dafür sind schnell gefunden: Während Smartphonehersteller im günstigsten Fall ihre Geräte nur zwei Jahre lang mit aktualisierten Android-Versionen versorgen, bietet LineageOS Unterstützung für wesentlich ältere Geräte. So lassen sich beispielsweise das Galaxy S4 und das Nexus 5 problemlos mit LineageOS auf Basis von Android 7.1.2 betreiben.

Themenseiten: Android, Browser, LineageOS, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu LineageOS behebt Sicherheitslücke

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *