Android: Google beseitigt weitere Stagefright-Schwachstellen

Der November-Patchday bringt Fixes für sieben Sicherheitslücken. Bisher stehen Updates aber nur für Nexus-Geräte mit Android 5.1 und Android 6.0 bereit.

Das November-Sicherheitsupdate, das Google jetzt für sein Mobilbetriebssystem Android veröffentlicht hat, beseitigt sieben Schwachstellen. Zwei Sicherheitslücken, CVE-2015-6608 und CVE-2015-6609, stuft das Unternehmen als kritisch ein. Sie erlauben einem Security-Bulletin zufolge das Einschleusen und Ausführen von Schadcode.

Android-Logo (Bild: Google)

Android-Logo (Bild: Google)

Das Sicherheitsupdate steht nur in Form von aktualisierten Factory-Images nur für Googles Nexus-Geräte mit Android 5.1 Lollipop und Android 6.0 Marshmallow zur Verfügung, obwohl die kritische Schwachstelle CVE-2015-6609 sämtliche Android-Versionen betrifft. OTA-Updates sollten in den nächsten Tagen die betroffenen Geräte erreichen.

Google hat seine Partner nach eigenen Angaben bereits am 5. Oktober oder früher über die Schwachstellen informiert. Den Quellcode der Patches will es zudem innerhalb der nächsten 48 Stunden für das Android Open Source Project (AOSP) freigeben.

Eine der Sicherheitslücken kann mithilfe präparierter Websites, E-Mails und MMS-Nachrichten ausgenutzt werden. Sie steckt in der Komponente Mediaserver und tritt bei der Verarbeitung von Mediendateien auf. Den anderen kritischen Bug hat Google aus der Stagefright-Komponente libutils entfernt.

Das Risiko, das von vier der restlichen fünf Lecks ausgeht, stuft Google als „hoch“ ein. Anfälligkeiten in libstagefright, libmedia, Bluetooth und der Telefon-App erlauben eine nicht autorisierte Ausweitung von Nutzerrechten. Ein weiterer Fehler in Mediaserver ermöglicht indes das Auslesen persönlicher Informationen.

Die Schwachstellen wurden unter anderem von Mitgliedern des Google Chrome Security Team und des Google Project Zero sowie von Mitarbeitern von Trend Micro, System Security Lab und Copperhead Security entdeckt. Ob ihr Gerät vor diesen Bedrohungen geschützt ist, können Besitzer von Nexus-Geräten in den Einstellungen unter dem Punkt „über das Telefon/Tablet“ überprüfen. Dort sollte bei Android 5 Lollipop mindestens das Build LMY48X und bei Android 6 Marshmallow mindestens die Android-Sicherheitspatch-Ebene 1. November 2015 angezeigt werden.

An der Android-Sicherheitspatch-Ebene erkennen Besitzer von Nexus-Geräten mit Android 6, ob sie bereits das aktuellste Sicherheitsupdate erhalten haben (Screenshot: ZDNet.de).

An der Android-Sicherheitspatch-Ebene erkennen Besitzer von Nexus-Geräten mit Android 6, ob sie bereits das aktuellste Sicherheitsupdate erhalten haben (Screenshot: ZDNet.de).

Neben Google haben sich auch LG und Samsung dazu verpflichtet, einmal im Monat Sicherheitsupdates für ihre Android-Geräte bereitzustellen. Samsung beschränkt die Zusage allerdings auf wenige Flaggschiff-Modelle. HTC hält das Versprechen indes für unrealistisch, vor allem dann, wenn die Verteilung nicht direkt über den Gerätehersteller, sondern den Mobilfunkanbieter erfolgt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Android: Google beseitigt weitere Stagefright-Schwachstellen

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *