Google schließt Linux-Kernellücke in Android

Google hat die Anfang der Woche von Perception Point gemeldete Kernel-Lücke in Android geschlossen. Die Schwachstelle, die im Linux-Kernel ab Version 3.8 steckt, stuft Adrian Ludwig, Lead Security Engineer bei Google, jedoch als nicht so gefährlich ein, wie von der israelischen Sicherheitsfirma dargestellt. Zudem seien deutlich weniger Geräte betroffen als die von Perception Point gemeldeten 66 Prozent aller Android-Smartphones und –Tablets.

„Wir glauben, dass keine Nexus-Geräte anfällig sind für eine Ausnutzung durch Apps Dritter“, schreibt Ludwig auf Google+. „Außerdem sind Geräte mit Android 5.0 und höher geschützt, da die Android-SELinux-Richtlinie verhindert, dass Drittanbieteranwendungen den betroffenen Code erreichen.“

Vor allem aber enthielten viele Geräte mit Android 4.4 und älteren OS-Versionen den mit Linux-Kernel 3.8 eingeführten fehlerhaften Code gar nicht, so Ludwig weiter. Diese neueren Kernel-Versionen seien bei älteren Android-Version nicht üblich. Auf welcher Kernel-Version ihr Gerät basiert, können Nutzer in den Systemeinstellungen unter „Über das Telefon/Tablet“ kontrollieren. Bei Android 6.0.1 ist es beispielsweise 3.10, also eine grundsätzlich anfällige Version.

Seinen Patch hat Google inzwischen dem Android Open Source Project und auch seinen Partnern übergeben. Unklar ist indes, wann die Gerätehersteller das Update an ihre Kunden ausliefern werden. Google schreibt Ludwig zufolge lediglich vor, dass der Patch für alle Geräte mit Android-Sicherheitspatch-Ebene 1. März 2016 oder neuer benötigt wird.

Computerworld weist darauf hin, dass das aber nicht automatisch bedeutet, dass Hersteller den Patch auch im März zur Verfügung stellen. Die Vorgabe bedeute lediglich, dass Geräte ohne den Patch für die Kernellücke diese Patch-Ebene nicht erreichen, also bei Patch-Ebene 1. Februar 2016 oder früher bleiben.

HIGHLIGHT

Produktiver arbeiten mit Unified Communications & Collaboration

Mit Unified Communications & Collaborations können Unternehmen die Produktivität der Anwender steigern, die Effizienz der IT verbessern und gleichzeitig Kosten sparen. Damit die unbestrittenen Vorteile einer UCC-Lösung sich in der Praxis voll entfalten können, müssen Unternehmen bei der Implementierung die Leistungsfähigkeit der Infrastruktur überprüfen.

Der fragliche Zero-Day-Bug mit der Kennung CVE-2016-0728 steckt in der Schlüsselbund-Komponente des Linux-Kernels, die es Linux-Treibern erlaubt, Sicherheitsdaten, Authentifizierungsschlüssel, Verschlüsselungsschlüssel und andere Daten zu verwalten. Allerdings lässt sich der Fehler nur lokal ausnutzen – ein Hacker muss also bereits Zugriff auf ein anfälliges System haben.

Obwohl der Fehler auch Android betrifft, hatte Perception Point vor der Offenlegung der Schwachstelle Google nicht informiert. Allerdings holte das Sicherheitsunternehmen den Linux-Anbieter Red Hat mit ins Boot. In seinem Advisory widerspricht Red Hat Ludwigs Aussage, wonach SELinux vor Angriffen auf die Lücke schützen soll. Die Frage, ob SELinux das Problem entschärfe, wird dort klar mit „Nein“ beantwortet.

[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

18 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

20 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

20 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

24 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

24 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

1 Tag ago