Stagefright: Cyanogen-Entwickler haben Sicherheitslücken in CyanogenMod geschlossen

Cyanogen plant gegen Ende August die Auslieferung von stabilen Versionen seiner Android-Custom-Rom-Varianten. Die Nightlies von CyanogenMod 11.0, 12.0 und 12.1 sind gegenüber den Schwachstellen nicht mehr anfällig.

CyanogenMod-Entwickler haben inzwischen die in der Multimedia-Library Stagefright (zu Deutsch Lampenfieber) entdeckten Schwachstellen beseitigt. Sie schließen – anders als Google – sämtliche unter der Bezeichnung Stagefright genannten Lücken mit den Kennungen CVE-2015-1538, -1539, -3824, -3827, -3828, -3829 und -3864. Die Nightlies von CyanogenMod 11.0, 12.0 und 12.1 sind gegenüber den Schwachstellen nicht mehr anfällig. Gegen Ende des Monats plant Cyanogen die Auslieferung von stabilen Versionen.

Stagefright Detector App: CyanogenMod nicht länger anfällig (Screenshot: ZDNet.de)

Stagefright Detector App: CyanogenMod nicht länger anfällig (Screenshot: ZDNet.de)

Die Sicherheitsfirma Zimperium hatte die Schwachstellen in der Android-Multimedia-Library im April an Google gemeldet. Sie wurde Ende Juli via NPR und auch im Blog von Zimperium öffentlich gemacht. Google hatte Ende Juli einen von Zimperium angebotenen Patch akzeptiert und an die Endgerätehersteller verteilt. Allerdings musste es inzwischen einräumen, dass dieser nicht alle Sicherheitslücken schließt. Mitarbeitern von Exodus Intelligence gelang es, eine MP4-Datei so zu manipulieren, dass sie einen der Patches umgeht und ein aktualisiertes Nexus 5 zum Absturz bringt. Datendiebstahl oder Code-Ausführung scheint die letzte Woche entdeckte Schwachstelle CVE-2015-3824 allerdings nicht zu ermöglichen.

Mithilfe der App Stagefright Detector können Android-User überprüfen, ob ihr Gerät von den oben aufgeführten Lücken betroffen ist. Das Programm wurde von Zimperium und Exodus Intelligence entwickelt. Alternative Anwendungen, die vorgeben, die Stagefright-Lücken ebenfalls zu erkennen, sollte man meiden, da sie nicht alle Schwachstellen überprüfen.

Die Ausnutzung der Stagefright-Sicherheitslücken erfolgt über eine präparierte MP4-Datei, die auf das Gerät beispielsweise per MMS, Hangouts, Messenger, E-Mail, USB oder über den Besuch einer präparierten Webseite gelangen kann und die Multimedia-Library Stagefright zum Absturz bringt. Der dadurch entstandene Pufferüberlauf kann zur Ausführung von Schadcode genutzt werden, sodass zum Beispiel Audiomitschnitte oder Videos ohne Zutun des Benutzers erstellt werden können. Ein Angreifer hätte auch Zugriff auf die Mediengalerie und die Bluetooth-Schnittstelle.

Stagefright wurde bis jetzt wohl nicht ausgenutzt, die Sicherheitslücke soll aber über 94 Prozent aller Android-Geräte betreffen. Google hat den Herstellern zwar Patches zur Verfügung gestellt, aber noch ist weitgehend unklar, wann und für welche Geräte Sicherheitsaktualisierungen bei den Nutzern ankommen. Immerhin haben Google, Samsung und andere Android-Hersteller angekündigt, zukünftig regelmäßig Sicherheitsaktualisierungen durchführen zu wollen.

[Mit Material von Kai Schmerer, ZDNet.de]

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Stagefright: Cyanogen-Entwickler haben Sicherheitslücken in CyanogenMod geschlossen

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *