Stagefright-Entdecker Zimperium findet neue Lücken in Android

Sie stecken in den Komponenten libutils und in libstagefright. Erstere wird bereits als CVE-2015-6602 geführt. Google ist informiert und will nächste Woche einen Patch bereitstellen.

Stagefright-Entdecker Zimperium hat neue Schwachstellen in Googles Mobilbetriebssystem Android gefunden. Die Lücken stecken in den Komponenten libutils und libstagefright. Durch die erste Schwachstelle, die sämtliche Android-Versionen betrifft, kann auch die zweite genutzt werden. Davon sind allerdings nur Geräte mit Android 5.0 oder höher betroffen. Die erste Schwachstelle trägt die Bezeichnung CVE-2015-6602. Die zweite hat noch keine CVE-Kennung erhalten.

Zimperium hat nach eigenen Angaben Google bereits am 15. August über die neuen Schwachstellen informiert. Der Android-Hersteller habe prompt reagiert und plant einen Patch für die Schwachstellen. Dieser soll im Rahmen des Nexus-Security-Bullertins nächste Woche erscheinen. Dann können Smartphonehersteller damit beginnen, diesen in ihre eigene Firmwares zu integrieren. Vermutlich werden die CyanogenMod-Entwickler als erste den Patch in ihre Custom Rom einbauen. Das war schon bei den Ende Juli bekannt gewordenen ersten Stagefright-Lücke so. Inzwischen haben aber auch Hersteller wie HTC, Samsung und LG damit begonnen, Updates für einige Geräte auszuliefern, die die Stagefright-Schwachstellen beheben.

Stagefright (Bild: Zimperium)

Um die Smartphone-Hersteller zu einer beschleunigten Auslieferung von Sicherheitsaktualisierungen zu bewegen, hat Zimperium im September für die seiner Einschätzung nach kritischsten Stagefright-Lücke CVE-2015-1538 einen Exploit veröffentlicht. Für die nun gemeldeten Schwachstellen will Zimperium zunächst keinen Proof-of-Concept-Code veröffentlichen.

Die Stagefright genannte Schwachstelle hat seinen Namen von der gleichnamigen Komponente in der Mediaplayer-Engine von Android. Mit manipulierten MP3/MP4-Dateien, die beispielsweise über eine MMS oder eine von Hackern übernommene Webseite auf das Android-Gerät gelangen können, ist es möglich, beliebige Daten zu stehlen, die auf dem Smartphone vorliegen. Von der Schwachstelle sind alle Android-Versionen ab 2.2 betroffen. Mit der Stagefright Detector App von Zimperium können Android-Nutzer überprüfen, ob auf ihrem Gerät die Stagefright-Lücken bereits geschlossen wurden.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stagefright Detector App: CyanogenMod nicht länger anfällig (Screenshot: ZDNet.de)Mit der Stagefright Detector App können Anwender überprüfen, ob ihr Gerät anfällig für die Stagefright-Lücken ist. Die Entwickler der beliebtesten Android-Custom-Rom Cyanogen haben die Schwachstellen inzwischen beseitigt (Screenshot: ZDNet.de).

Themenseiten: Android, Google, Smartphone, Zimperium

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Stagefright-Entdecker Zimperium findet neue Lücken in Android

Kommentar hinzufügen
  • Am 4. Oktober 2015 um 16:01 von Judas Ischias

    Ich bin froh einen Androiden zu haben, da ist es wenigstens nicht langweilig. ;)
    Und ich warte schon ungeduldig und voller Vorfreude, auf die nächste Meldung. ;)

  • Am 3. Oktober 2015 um 0:54 von C

    Was Google sich hier leistet ist langsam kriminell.

    Und – die Ausreden von Google sind es ebenso. Ein OS-Hersteller hat umgehend Patches für USER bereitzustellen, und nicht ständig neue Ausreden zu erfinden.

    Darum lieber ein OSS-Custom-ROM nutzen und die US-Hersteller generell meiden.

  • Am 1. Oktober 2015 um 19:48 von PeerH

    Mehr – es wird ausgesessen.Alle Monate Wieder ein Déjà Vu. Was ist in den letzten Monaten passiert? Wenig: >90% der gefährdeten Geräte sind weiter ungeschützt.
    Das wird nix mehr, da passiert nix.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *