Stagefright-Entdecker Zimperium hat neue Schwachstellen in Googles Mobilbetriebssystem Android gefunden. Die Lücken stecken in den Komponenten libutils und libstagefright. Durch die erste Schwachstelle, die sämtliche Android-Versionen betrifft, kann auch die zweite genutzt werden. Davon sind allerdings nur Geräte mit Android 5.0 oder höher betroffen. Die erste Schwachstelle trägt die Bezeichnung CVE-2015-6602. Die zweite hat noch keine CVE-Kennung erhalten.
Zimperium hat nach eigenen Angaben Google bereits am 15. August über die neuen Schwachstellen informiert. Der Android-Hersteller habe prompt reagiert und plant einen Patch für die Schwachstellen. Dieser soll im Rahmen des Nexus-Security-Bullertins nächste Woche erscheinen. Dann können Smartphonehersteller damit beginnen, diesen in ihre eigene Firmwares zu integrieren. Vermutlich werden die CyanogenMod-Entwickler als erste den Patch in ihre Custom Rom einbauen. Das war schon bei den Ende Juli bekannt gewordenen ersten Stagefright-Lücke so. Inzwischen haben aber auch Hersteller wie HTC, Samsung und LG damit begonnen, Updates für einige Geräte auszuliefern, die die Stagefright-Schwachstellen beheben.
Um die Smartphone-Hersteller zu einer beschleunigten Auslieferung von Sicherheitsaktualisierungen zu bewegen, hat Zimperium im September für die seiner Einschätzung nach kritischsten Stagefright-Lücke CVE-2015-1538 einen Exploit veröffentlicht. Für die nun gemeldeten Schwachstellen will Zimperium zunächst keinen Proof-of-Concept-Code veröffentlichen.
Die Stagefright genannte Schwachstelle hat seinen Namen von der gleichnamigen Komponente in der Mediaplayer-Engine von Android. Mit manipulierten MP3/MP4-Dateien, die beispielsweise über eine MMS oder eine von Hackern übernommene Webseite auf das Android-Gerät gelangen können, ist es möglich, beliebige Daten zu stehlen, die auf dem Smartphone vorliegen. Von der Schwachstelle sind alle Android-Versionen ab 2.2 betroffen. Mit der Stagefright Detector App von Zimperium können Android-Nutzer überprüfen, ob auf ihrem Gerät die Stagefright-Lücken bereits geschlossen wurden.
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
