Mit dem monatlichen Update für den Februar 2019 hat Google mehrere teils kritische Sicherheitslücken in seinem Android-Betriebssystem geschlossen. Angreifern wird es durch mehrere miteinander in Verbindung stehenden Sicherheitslücken (CVE-2019-1986, CVE-2019-1987, CVE-2019-1988) in der Implementierung des PNG-Formats im Android-Framework ermöglicht, durch das Einschleusen einer speziell manipulierten Datei Schadcode mit erweiterten Rechten auf den Geräten der Opfer auszuführen.

Lücken (CVE-2017-17760, CVE-2018-5268, CVE-2018-5269) in einem noch nicht näher spezifizierten Teil der Android-Library eignen sich ebenfalls zum Ausführen von Schadcode. Dazu ist hier ebenso eine speziell manipulierte Datei notwendig. Allerdings lassen sich die Schadcodes nur mit normalen Rechten ausführen. Darüber hinaus ermöglichen es zwei weitere Fehler im Bluetooth-Stack von Android, ein Buffer-Overflow (CVE-2019-1991) und eine Use-after-Free-Lücke (CVE-2019-1992) das Ausführen von Schadcode mit erweiterten Rechten.

Google verweist wie üblich auch auf Sicherheitslücken in den Komponenten seiner Zulieferer. Unter anderem gehören dazu Fehler im Februar-Update in der Multimedia-Hardwarebeschleunigung von Nvidia oder Fehler im Modem und dem Bootloader von Qualcomm. In den proprietären Bestandteilen von Qualcomms Code finden sich weitere teils kritische Sicherheitslücken. Google verteilt wie üblich das Update bereits für seine Pixel-Geräte.

(jf, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE