Der Sicherheitsforscher Mateusz Jurczyk aus Googles
Project Zero-Team hat Bugs gefunden, die nach seiner Einschätzung
in verschiedenen Kombinationen und Ausprägungen alle Android-Geräte
von Samsung betreffen sollen. Alle Geräte, die seit Ende 2014
/ Anfang 2015 bis heute auf den Markt gekommen sind, seien betroffen.
Das Samsung-spezifisch angepasste Android unterstützt laut
der Analysen des Forschers seit der zweiten Jahreshälfte 2014
das Bildformat QMAGE (.qmg). Die Art und Weise, wie Samsungs Android-Flavor
(unter Verwendung der Android-Grafikbibliothek Skia) QMAGE-Bilder
verarbeitet, ist von den Bugs betroffen.
Die Angreifer könnten die aus den Bugs resultierende Schwachstelle
mittels speziell präparierter Multimedia-SMS (Multimedia Messaging
Service, MMS) ausnutzen, um aus der Ferne Code auf den verwundbaren
Geräten auszuführen (Remote Code Execution). Dafür
sei eine Nutzerinteraktion (z.B. Öffnen der MMS) nicht notwendig.
Dieser Schwachstelle wurde die CVE-Nummer
CVE-2020-8899 mit dem höchstmöglichen CVSS-v3-Score
10.0 ("critical") zugewiesen. Bislang existieren noch
keine Berichte über einen Missbrauch dieses Exploits.
Im Zuge von Samsungs Mai-Update hat das Unternehmen die Schwachstelle
geschlossen. Die Lücke wird in Samsungs
ausführlichem Advisory zu den Updates statt mit der CVE-Nummer
mit der internen Bezeichnung SVE-2020-16747 aufgeführt.
(ts, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|