Back for no good – Stagefright betrifft jetzt noch mehr Geräte

Stagefright 2.0
Kommentare

Anfang August machte eine Sicherheitslücke in Android von sich reden, die wie kaum eine Andere ungeahnte Sicherheitslücken in das mobile Betriebssystem Android riss: Stagefright. Dessen Entdecker legt nun nach.

Mehr als eine Milliarde Android-Devices sollen von den Schwachstellen betroffen sein, die erneut in einem Fehler in der Verarbeitung von Mediendateien wie MP3s oder MP4-Videodateien zu finden ist. Und das zu einem Zeitpunkt, zu dem Stagefright noch immer nicht auf allen Gerätengefixt ist.

Stagefright 2.0

Verantwortlich für die Entdeckung der aktuellen Schwachstellen zeigt sich Joshua R. Drake vom Security-Unternehmen Zimperium – eben jener, der schon Stagefright aufgedeckt hatte.

Die neuen Schwachstellen betreffen die Bibliotheken libstagefright (CVE-2015-3876) und libutils (CVE-2015-6602). Beide Schwachstellen wurden dem Android-Security-Team am 15. August 2015 gemeldet:

We notified the Android Security Team of this issue on August 15th. Per usual, they responded quickly and moved to remediate. They assigned CVE-2015-6602 to the libutils issue but have yet to provide us with a CVE number to track the second issue. We would like to thank Google for their cooperation for promptly including the fix in the upcoming Nexus Security Bulletin scheduled to be released next week.

Besonders kritisch ist dabei die Lücke in der Bibliothek libutils, da sie praktisch alle Android-Geräte seit 2008 betrifft. Die neue, bereits bestätigte Remote-Code-Execution-Schwachstelle in libstagefright betrifft indes nur Devices ab Android 5.0.

Stagefright und kein Ende?

Der Fix für die ursprüngliche Stagefright-Schwachstelle betraf vor allem MMS, der in neueren Versionen der Android-Messenger-Apps und Google Hangout entfernt wurde. Der primäre Angriffsvektor liegt nun aller Wahrscheinlichkeit nach – laut Zimperium – im Android-Browser oder in 3rd-Party-Medienplayer, die die betroffene Bibliothek verwenden.

Hat Zimperium für die erste Lücke noch einen Proof of Concept veröffentlicht, will man dieses mal davon absehen; der PoC soll nur mit zertifizierten Mitgliedern der Zimperium Handset Alliance (ZHA) geteilt werden.

Im Rahmen des monatlichen Patchdays soll nach Angaben von Zimperium bereits ein Update für die Geräte der Nexus-Reihe erscheinen. Darüber hinaus soll Google seinen OEM-Partnern bereits Mitte September einen Patch zur Verfügung gestellt haben, der alle Fixes enthalten soll, die am kommenden Patchday (5. Oktober) veröffentlich werden. Bis wann dieser Patch die betroffenen Geräte erreicht, ist allerdings vollkommen offen.

 

Aufmacherbild: Illustration depicting an illuminated neon sign with a stage fright concept. von Shutterstock / Urheberrecht: Sam72

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -