Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
Stagefright 2.0: Weitere Lücken klaffen in allen Android-Versionen

02.10.2015

 zur Newsdatenbank home

Der Vizepräsident von Zimperium, Joshua Drake, legt nach und zeigt zwei weitere kritische Lücken in verschiedenen Bibliotheken von Android-Geräten auf. Alle Android-Versionen sollen davon betroffen sein.

Angreifer können über die Schwachstellen abermals Geräte mittels präparierter MP3- und MP4-Dateien kompromittieren, eigenen Code ausführen und Smartphones etwa in Wanzen verwandeln. Die Sicherheitsforscher warnen davor, dass die Angriffswege dabei vielfältig sind und Angreifer Geräte über eine präparierte Webseite oder App entern können.

Zimperium versichert jedoch, dass es noch keine Übergriffe gegeben hat. Die Sicherheitsforscher erläutern in ihrer Mitteilung zu den neuen Lücken, dass dies stetig überwacht wird.

Drake zufolge schleppt Android die Lücke mit der Kennung CVE-2015-6602 seit der ersten Version mit. Die grundlegende Systembibliothek libutils soll dabei verwundbar sein. Da viele Bereiche von Android auf diese Bibliothek zugreifen, könnte das weite Kreise nach sich ziehen.

Die zweite Schwachstelle klafft in der Bibliothek libstagefright und habe noch keine CVE-Kennung bekommen. Code der innerhalb des Media-Servers von Android läuft ist davon betroffen. Über die Lücke konnten sie Drake zufolge Geräte mit der Android-Version 5.0 und höher erfolgreich angreifen.

Für die beiden neuen Lücken seien Patches auf dem Weg und Zimperium zufolge will Google seine Geräte der Nexus-Serie im Zuge des Patchdays nächste Woche abdichten. Nicht bekannt ist, wann die Geräte-Hersteller nachziehen. Da viele Hersteller noch keine Patches für die alten Stagefright-Lücken verteilt haben, sind noch heute unzählige Geräte verwundbar.

Zimperium will, wenn ein Patch verfügbar ist, seine Stagefright Detector App zur Überprüfung der Anfälligkeit von Geräten aktualisieren. Einen Exploit für die neuen Schwachstellen wollen die Sicherheitsforscher nicht veröffentlichen. Ein Exploit für die Lücken der ersten Stagefright-Welle ist mittlerweile verfügbar.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89