Privilege Escalation Linux-Kernel-Exploit wurde auf Android portiert

Eine gefährliche Sicherheitslücke, die unter Linux längst gepatcht wurde, wird nun unter Android ausgenutzt. Laut Symantec ist es Entwicklern von Schadsoftware gelungen, den Exploit zu portieren. Abhilfe durch eine neue Android-Version gibt es zunächst nicht.

Anzeige

Die Linux-Sicherheitslücke, die unter der CVE-Nummer 2013-2094 gelistet ist, wird von Kriminellen nun auch unter Android ausgenutzt. Laut Symantec ist es Kriminellen gelungen, den Exploit, der CVE-2013-2094 ausnutzt, auf das Android-Betriebssystem anzuwenden.

Die besondere Gefahr der Sicherheitslücke liegt darin, dass Angreifer sich höhere Rechte erschleichen können (Local Privilege Escalation). Die Schwachstelle lässt sich auch unter Android ausnutzen, obwohl Anwender dort in der Regel nicht mit weitgehenden Betriebssystemrechten ausgestattet sind.

Die Sicherheitslücke steckte schon länger in Linux und wurde erst im Mai 2013 beseitigt. Sie betraf zudem nur mit speziellen Optionen kompilierte Distributionen, was wohl auch für verwandte Android-Systeme gilt.

Der hohe Marktanteil und das in aller Regel sehr niedrige Patchlevel bei Android-Geräten lockt zunehmend Kriminelle an, die viel Geld in Schadsoftware investieren. Kaspersky entdeckte beispielsweise kürzlich einen fortschrittlichen Trojaner (Backdoor.AndroidOS.Obad.a.), der eine Sicherheitslücke in der Dex2Jar-Software ausnutzt. Außerdem verwenden sie eine weitere, bisher ungepatchte Schwachstelle im Betriebssystem.

Wenn ein Fix kommt, dann nur für wenige Geräte

Im Unterschied zu Linux-Distributionen, bei denen Sicherheitsprobleme schnell beseitigt werden, kann der Nutzer von Android-Betriebssystemen unter Umständen lange auf eine Lösung des Problems warten. Allerdings gibt Symantec Entwarnung. So sollen nicht alle Android-Systeme für CVE-2013-2094 anfällig sein, Symantec bleibt aber eine Auflistung schuldig. Aktuell ist derzeit Android 4.2.2 vom Februar 2013. Eine neue Version, die die Sicherheitslücken behebt, ist bisher nicht angekündigt worden.

Gerüchte, die noch vor der Google I/O im Netz verteilt wurden, sprachen von einem Android 4.2.3 oder 4.3 in den kommenden Monaten. Sollte eine dieser Versionen mit der Fehlerbehebung erscheinen, dürften in der Regel nur wenige Geräte sofort damit patchbar sein. Darunter fallen meist die aktuellen Google-Smartphones und -Tablets. Auch Geräte mit alternativen Android-ROMs wie Cyanogenmod 10.1 haben das Potenzial für einen schnellen Bugfix, da die aktuelle Android-Version hier meist schneller verfügbar ist. Geräte, die Sony für das Android Open Source Project (AOSP) freigegeben hat, könnten den Bugfix daher ebenfalls schneller erhalten.


E4est 18. Jun 2013

Natürlich gibt es längst verschiedene Exploits...es ging jetzt darum, ob man diesen auch...

rabatz 14. Jun 2013

http://www.mobilegeeks.de/iphone-und-ipad-per-ladegerat-hacken/

Edebeton 13. Jun 2013

Fatal... das Kasper, Affe & Consorten noch ein Medium für Ihre Panikmache finden. Aber...

tingelchen 12. Jun 2013

Aus dem Eingangsposting. Menschen die nicht über das nötige Wissen verfügen, sind in der...

kendon 12. Jun 2013

CONFIG_PERF_EVENTS=y weisst du, diese blau geschriebenen wörter im artikeltext sind...

Kommentieren



Anzeige

  1. Experte (m/w) Berichtswesen (SAP)
    Stadtwerke München GmbH, München
  2. Leiter IT (m/w) CIO
    RVM Versicherungsmakler GmbH & Co. KG über Tauster GmbH, Eningen bei Reutlingen
  3. IT-Consultant/IT-Projektmana- ger (m/w)
    CAPCAD SYSTEMS AG, Ismaning bei München
  4. Mitarbeiter/in Informationstechnologie mit Teilprojektleitung
    Daimler AG, Sindelfingen

 

Detailsuche


Folgen Sie uns
       


  1. Quartalsbericht

    Google kann Gewinn nur leicht steigern

  2. Maynard

    Wayland-Shell für den Raspberry Pi

  3. BGH-Urteil

    Typenbezeichnung gehört in eine Werbeanzeige

  4. Startup Uber

    Privater Taxidienst Uberpop verboten

  5. Project Atomic

    Red Hat erarbeitet Host-System für Docker-Container

  6. Getac T800

    Robustes 8-Zoll-Tablet mit Windows

  7. MS-Flugsimulator X

    Flughafen Berlin-Brandenburg eröffnet

  8. Vorratsdatenspeicherung

    Totgesagte speichern länger

  9. Intel

    Broxton LTE erst 2016, Skylake-Produktion noch 2015

  10. Bitcoin-Börse

    Mtgox soll verkauft oder aufgelöst werden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smart Highway: Leuchtende Mittelstreifen und Straßenbäume
Smart Highway
Leuchtende Mittelstreifen und Straßenbäume

Auf einer Straße in den Niederlanden ist die Fahrbahnmarkierung mit einer luminiszenten Farbe aufgemalt worden. Die Straßenbemalung ist Teil eines Projekts zu einer intelligenten Straße.

  1. Facebook und Nasa Internetzugang mit Drohnen, Satelliten und Laser
  2. Abwehrsystem Music Israelische Flugzeuge erhalten Laserabwehr gegen Raketen
  3. Internet.org Facebook soll Übernahme von Drohnenhersteller planen

Display Scanout Engine: Xbox, streck das Bild!
Display Scanout Engine
Xbox, streck das Bild!

Die Xbox One berechnet viele Spiele nicht nativ in 1080p. Stattdessen vergrößern ein Hardware-Scaler oder einige Softwareschritte niedrigere Auflösungen. Beide Lösungen bieten Vor- und Nachteile, welche die Bildqualität oder Bildrate beeinflussen.

  1. Xbox One Upgedated und preisgesenkt
  2. Xbox One Microsoft denkt über Xbox-360-Emulation nach
  3. Xbox One Inoffizielle PC-Treiber für Controller erhältlich

Facebook und Oculus Rift: Vier Prognosen zu Faceboculus
Facebook und Oculus Rift
Vier Prognosen zu Faceboculus

Der erste Shitstorm hat sich gelegt. Und Oculus gehört immer noch Facebook. Was ändert das jetzt? Und was bedeutet das für die Zukunft? Wer sich mit Entwicklern und Experten unterhält, der kann einige erste Schlüsse ziehen.

  1. Oculus Rift 25.000 Exemplare der neuen Dev-Kit-Version verkauft
  2. Developer Center Sicherheitslücke bei Oculus VR
  3. Oculus VR "Wir haben nicht so viele Morddrohungen erwartet"

    •  / 
    Zum Artikel