Modifizierte MP4-Dateien sollen nicht nur das Multimedia-System von Android zum Absturz bringen, sondern es sei auch für einen Heap Overflow anfällig, warnten Sicherheitsforscher von Trend Micro. Code ließe sich dann darüber einschleusen, der mit den Rechten des Mediaserver-Prozesses ausgeführt würde.

Das potenzielle Denial-of-Service-Szenario eskaliert damit zu einem weit schlimmeren, aus der Liga "Remote Code Execution". Alle Versionen des mobilen Betriebssystems von 4.0.1 bis 5.1.1 sind davon betroffen. Diese Versionen sind laut Trend Micro auf 94 Prozent aller heute genutzten Android-Geräte im Einsatz.

Zudem weist die neue Sicherheitslücke Ähnlichkeiten zu Stagefright auf. Auch dort sind Android-Smartphones über Kurznachrichten angreifbar. Allerdings ist der neue Angriff nicht auf MMS beschränkt. Die Forscher von Trend Micro konnten auch manipulierte Videos in Webseiten einbetten. Bereits am 19. Mai 2015 hatten sie Google über diese Lücke informiert. Am 22. Juli hat das Android-Security-Team einen Patch freigegeben und es hängt von den Hardware-Herstellern ab, wann dieser auf betroffene Geräte installiert wird.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE