Categories: MobileMobile OS

Google stopft weitere Stagefright-Schwachstellen in Android

Google hat das November-Sicherheitsupdate für sein Mobilbetriebssystem Android veröffentlicht. Es schließt insgesamt sieben Sicherheitslücken. Zwei Anfälligkeiten, CVE-2015-6608 und CVE-2015-6609, stuft das Unternehmen als kritisch ein. Sie erlauben einem Security-Bulletin zufolge das Einschleusen und Ausführen von Schadcode.

Obwohl die kritische Schwachstelle CVE-2015-6609 sämtliche Android-Versionen betrifft, steht das Sicherheitsupdate in Form von aktualisierten Factory-Images nur für Googles Nexus-Geräte mit Android 5.1 Lollipop und Android 6.0 Marshmallow zur Verfügung. OTA-Updates sollten in den nächsten Tagen die betroffenen Geräte erreichen.

Seine Partner hat Google nach eigenen Angaben bereits am 5. Oktober oder früher über die Schwachstellen informiert. Den Quellcode der Patches will es zudem innerhalb der nächsten 48 Stunden für das Android Open Source Project (AOSP) freigeben.

Eine der Sicherheitslücken kann mithilfe präparierter Websites, E-Mails und MMS-Nachrichten ausgenutzt werden. Sie steckt in der Komponente Mediaserver und tritt bei der Verarbeitung von Mediendateien auf. Den anderen kritischen Bug hat Google aus der Stagefright-Komponente libutils entfernt.

Das von vier der restlichen fünf Lecks ausgehende Risiko stuft Google als „hoch“ ein. Anfälligkeiten in libstagefright, libmedia, Bluetooth und der Telefon-App erlauben eine nicht autorisierte Ausweitung von Nutzerrechten. Ein weiterer Fehler in Mediaserver ermöglicht indes das Auslesen persönlicher Informationen.

ANZEIGE

MobileIron: Sichere Verwaltung von Android-Geräten

In vielen Unternehmen nutzen Mitarbeiter ihre privaten mobilen Geräte. Unternehmen, die dieser Szenario erlauben, sollten sich Gedanken über eine leistungsfähige Enterprise Mobility Management Suite machen. Nur damit lassen sich Unternehmensdaten gegen nicht autorisierten Zugriff absichern.

Entdeckt wurden die Schwachstellen unter anderem von Mitgliedern des Google Chrome Security Team und des Google Project Zero sowie von Mitarbeitern von Trend Micro, System Security Lab und Copperhead Security. Ob ihr Gerät vor diesen Bedrohungen geschützt ist, können Besitzer von Nexus-Geräten in den Einstellungen unter dem Punkt „über das Telefon/Tablet“ überprüfen. Dort sollte bei Android 5 Lollipop mindestens das Build LMY48X und bei Android 6 Marshmallow mindestens die Android-Sicherheitspatch-Ebene 1. November 2015 angezeigt werden.

An der Android-Sicherheitspatch-Ebene erkennen Besitzer von Nexus-Geräten mit Android 6, ob sie bereits das aktuellste Sicherheitsupdate erhalten haben (Screenshot: ZDNet.de).

Neben Google haben sich auch LG und Samsung dazu verpflichtet, einmal im Monat Sicherheitsupdates für ihre Android-Geräte bereitzustellen. Samsung beschränkt die Zusage allerdings auf wenige Flaggschiff-Modelle. HTC hält das Versprechen indes für unrealistisch, vor allem dann, wenn die Verteilung nicht direkt über den Gerätehersteller, sondern den Mobilfunkanbieter erfolgt.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

3 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

6 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

7 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

7 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago