Der Sicherheitsforscher Mateusz Jurczyk aus Googles Project Zero-Team hat Bugs gefunden, die nach seiner Einschätzung in verschiedenen Kombinationen und Ausprägungen alle Android-Geräte von Samsung betreffen sollen. Alle Geräte, die seit Ende 2014 / Anfang 2015 bis heute auf den Markt gekommen sind, seien betroffen.

Das Samsung-spezifisch angepasste Android unterstützt laut der Analysen des Forschers seit der zweiten Jahreshälfte 2014 das Bildformat QMAGE (.qmg). Die Art und Weise, wie Samsungs Android-Flavor (unter Verwendung der Android-Grafikbibliothek Skia) QMAGE-Bilder verarbeitet, ist von den Bugs betroffen.

Die Angreifer könnten die aus den Bugs resultierende Schwachstelle mittels speziell präparierter Multimedia-SMS (Multimedia Messaging Service, MMS) ausnutzen, um aus der Ferne Code auf den verwundbaren Geräten auszuführen (Remote Code Execution). Dafür sei eine Nutzerinteraktion (z.B. Öffnen der MMS) nicht notwendig.

Dieser Schwachstelle wurde die CVE-Nummer CVE-2020-8899 mit dem höchstmöglichen CVSS-v3-Score 10.0 ("critical") zugewiesen. Bislang existieren noch keine Berichte über einen Missbrauch dieses Exploits.

Im Zuge von Samsungs Mai-Update hat das Unternehmen die Schwachstelle geschlossen. Die Lücke wird in Samsungs ausführlichem Advisory zu den Updates statt mit der CVE-Nummer mit der internen Bezeichnung SVE-2020-16747 aufgeführt.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE