zurück zum Artikel

Stagefright-Lücken in Android: Googles Patch ist fehlerhaft

Dennis Schirrmacher
Stagefright

Die Geräte seiner Nexus-Serie hat Google schon gegen die Stagefright-Bugs abgesichert. Doch ein Patch wurde nicht sauber programmiert und Angreifer könnten das als Einfallstor für DoS-Angriffe ausnutzen.

Die Entwickler von Google haben bei der Erstellung eines Patches für einen Stagefright-Bug nicht aufgepasst, denn Angreifer können Android-Geräte immer noch über manipulierte Videos zum Absturz bringen. Das haben Sicherheitsforscher von Exodus Intelligence herausgefunden [1]. Dabei attackierten sie Geräte im Zuge eines Pufferüberlaufes mit einem DoS-Angriff.

Fehlerfreier Patch im September

Google zufolge steht eine überarbeitete Version des Patches bereit [2]. Die Auslieferung soll für die Geräte Nexus 4, 5, 6, 7, 9, 10 und den Nexus Player am neu eingeführten Patchday [3] im September beginnen.

Das Android Open Source Project und verschiedene Smartphone-Hersteller wollen den neuen Patch in der nächsten Update-Welle ausspielen. Wann das soweit sein wird ist unklar, denn viele Hersteller haben bisher noch gar keine der Stagefright-Lücken gestopft [4]. Die Macher von Cyanogenmod haben nach eigenen Angaben bereits die Nightly-Versionen 10.1 bis 12.1 abgedichtet [5]. Die Stable-Versionen sollen noch in diesem Monat folgen.

Stagefright ist eine Multimedia-Komponente des Android-Systems und rund 95 Prozent aller Android-Geräte sind über verschiedene Schwachstellen verwundbar [6]. Dabei können Angreifer über manipulierte Videos, etwa in MMS-Nachrichten oder auf Webseiten, Schadcode auf die Handhelds schmuggeln.

[UPDATE, 14.08.2015 11:15 Uhr]

Cyanogenmod in Bezug auf gepatchte Versionen hinzugefügt. (des [7])

URL dieses Artikels:
https://www.heise.de/-2779034

Links in diesem Artikel:
[1] http://blog.exodusintel.com/2015/08/13/stagefright-mission-accomplished/
[2] https://android.googlesource.com/platform/frameworks/av/+/e1d095fa8bbb0d944722ce93d54962d1efb84a6f
[3] https://www.heise.de/news/StageFright-Samsung-und-Nexus-Geraete-bekommen-monatliche-Sicherheitsupdates-2772788.html
[4] https://www.heise.de/news/Stagefright-Luecken-in-Android-Geraete-Hersteller-lassen-Nutzer-im-Unklaren-2774462.html
[5] https://plus.google.com/+CyanogenMod/posts/Ak2PBeytBGk
[6] https://www.heise.de/news/Stagefright-Android-Smartphones-ueber-Kurznachrichten-angreifbar-2763764.html
[7] mailto:des@heise.de

Copyright © 2015 Heise Medien