Categories: MobileSmartphone

Galaxy-Update: Stagefright-Lücken nicht geschlossen

Samsung hat vor wenigen Tagen hierzulande mit der Auslieferung des mit FXXU2COH2 bezeichneten Updates für das Galaxy S6 und S6 Edge begonnen. Die Aktualisierung trägt als Build-Datum 12.8.2015 und weist auf einem S6 Edge einen Umfang von 245 MByte auf. Sie bringt Funktionen, die Samsung kürzlich zur Vorstellung seiner Phablet-Versionen Note 5 und S6 Edge+ präsentiert hat. Dazu zählt beispielsweise die Möglichkeit, neben Kontakten auch Anwendungen für die seitliche Schnellzugriffsleiste zu konfigurieren.

Mit der aktuellen Firmware unterstützt Samsung auf den Galaxy-S6-Modellen mit der Kamera-App die Live-Broadcasting-Funktion für Youtube. Außerdem soll die Audioverstärkereinheit durch UHQ-Upscale einen besseren Klang erzeugen. Neu sind auch die abgerundeten Icons für vorinstallierte Apps. Zudem enthält die Firmware Unterstützung für Samsung Pay und eine darauf abgestimmte Knox-Version. Die seit Ende Juli als Stagefright bekannten Sicherheitslücken in der Android-Multimedia-Bibliothek schließt das Update nicht vollständig. Nach wie vor sind die Schwachstellen CVE-2015-3864 und CVE-2015-3827 für Angreifer zugänglich.

Laut der Sicherheitsfirma Zimperium, die die Stagefright-Lücken entdeckt hatte, muss ein Video per MMS an ein Gerät gesendet werden, um die Android-Lücke auszunutzen. Je nach verwendeter Messaging-App müsse der Nutzer die Nachricht aufrufen, aber nicht unbedingt das Video ansehen. Beim Einsatz von Google Hangouts sei sogar eine Infektion beim Empfang selbst möglich, da dieses Programm das Video gleich bei Erhalt dekodiert. Angreifer erhalten durch die Stagefright-Lücken Zugang zu den auf dem Smartphone abgespeicherten Daten.

Kurze Zeit nach der Entdeckung durch Zimperium fanden Mitarbeiter von Trend Micro heraus, dass die Schwachstellen nicht nur über eine MMS ausgenutzt werden können. Auch eine auf einer Webseite platzierte MP4-Datei, die der Nutzer herunterlädt, führt zu einem Heap Overflow, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurde.

Eine Folge nach Bekanntwerden der Lücke war auch, dass die Telekom den MMS-Dienst komplett eingestellt hat. Mitte August wurden noch weitere Stagefright-Lücken bekannt. Google hat die Hersteller von Android-Smartphones umgehend mit Patches versorgt. Diese erreichten Samsung wohl nicht mehr rechtzeitig, um sie in das jetzt veröffentlichte Update, das bereits am 12.8.2015 kompiliert wurde, zu integrieren. Samsung und andere Smartphonehersteller hatten im Zuge der Diskussion um die Stagefright-Lücke Mitte August angekündigt, zukünftig monatliche Sicherheitsupdates zu veröffentlichen.

Darüber hinaus ist der in den Galaxy-Modellen integrierte Browser noch immer anfällig für die im Mai entdeckte HTTPS-Schwachstelle Logjam. Diese Lücke hat Google in der für das Darstellen von HTML-Code gedachten Android-Komponente Webview inzwischen geschlossen. Das zeigt auch ein Test mit dem WebView Browser auf dem S6 Edge. Trotzdem weist der Test von Sicherheitsanbieter Qualys weiterhin den integrierten Samsung-Browser als anfällig aus. Offenbar nutzt er nicht WebView, um Webseiten darzustellen.

HIGHLIGHT

Samsung Galaxy S6 und S6 Edge im Business-Einsatz

Für den Einsatz in Unternehmen sind die Samsung-Smartphones Galaxy S6 und S6 Edge vor allem wegen des in der Android-Welt einzigartigen Sicherheitssystems Knox sehr gut geeignet. Zahlreiche MDM-Anbieter unterstützen die Technologie und erleichtern damit die Integration in bestehende Infrastrukturen.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

1 Tag ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago