Abo
  • IT-Karriere:

Bug in Surfaceflinger: Android-Displayserver kann aus der Ferne Code ausführen

Mit dem Februar-Patch schließt Google zahlreiche Sicherheitslücken in Android. Kritisch sind dabei Lücken im Kernel-Dateisystem, im Displayserver Surfaceflinger und - fast schon traditionell - im Medienserver sowie der Libstagefright.

Artikel veröffentlicht am ,
Der kleine Androide wird im Februar wieder ordentlich gepatcht.
Der kleine Androide wird im Februar wieder ordentlich gepatcht. (Bild: Werner Pluta/Golem.de)

Google behebt Schwachstellen in zahlreichen Android-Komponenten und in den proprietären Gerätetreibern von Qualcomm, Nvidia und Broadcom. Das Februar-Update kommt in zwei Stufen, die mit den Patchleveln 2017-02-01 und 2017-02-05 bezeichnet sind, wobei das zweite Level fast ausschließlich Schwachstellen in verschiedenen Gerätetreibern adressiert.

Stellenmarkt
  1. Deloitte, Berlin, Düsseldorf
  2. SCHEMA GmbH, Nürnberg

Eine Lücke in Surfaceflinger ermöglicht es einem Angreifer offenbar, aus der Ferne Code auszuführen. Surfaceflinger ist dafür zuständig, von einzelnen Apps gerenderte Bilder aus dem jeweiligen Buffer abzuholen und sie an den Hardwarecomposer weiterzugeben. Wie genau die Remote Code Execution funktioniert, ist noch nicht bekannt, die entsprechende CVE-2017-0405 enthält noch keine Details.

Mal wieder der Medienserver

Weitere Möglichkeiten zur Codeausführung bieten der Medienserver (CVE-2017-0406, CVE-2017-0407), die aus vielen vorherigen Patches bekannte Libstagefright (CVE-2017-0409) und das Java-Framework Libgdx, das vor allem in der Spieleentwicklung eingesetzt wird. Auch wenn die Lücke nur mit "hoch" eingestuft ist, könnte sie aktiv ausgenutzt werden. Immer wieder wird Android-Malware in Spielen versteckt, die sich vor allem an Kinder richten.

Weitere Lücken gibt es in den Kommunikationsprogrammen Aosp Mail (CVE-2017-0420) und Aosp Messaging (CVE-2017-0413, CVE-2017-0414). Erneut von zahlreichen Sicherheitsproblemen betroffen sind die Treiber der Hardwarezulieferer. Kritische Fehler finden sich in Qualcomms Crypto-Treiber, in Nvidias-GPU-Treiber und in verschiedenen Netzwerkkomponenten.



Anzeige
Top-Angebote
  1. 519,72€ (Bestpreis!)
  2. 1.199,00€
  3. 449,00€
  4. (u. a. Wreckfest für 16,99€, Fallout 76 für 16,99€)

sp1derclaw 09. Feb 2017

Das halte ich für begrenzt möglich. Ich habe mir aufgrund dieses Schemas das Moto G4...

torrbox 08. Feb 2017

Haben die gleichen Specs wie 500¤ Smartphones mit europäischem Fantasiepreis und ich...

Bigfoo29 08. Feb 2017

Da geb ich Dir Recht. Ein Blob ist ein Blob. Und das ist per Definition schlecht. Aber...


Folgen Sie uns
       


Nokia 6.2 und 7.2 - Hands on

Das Nokia 6.2 und das Nokia 7.2 sind zwei Android-Smartphones im Mittelklassesegment. Beide sind Teil des Android-One-Programms und dürften entsprechend schnelle Updates erhalten.

Nokia 6.2 und 7.2 - Hands on Video aufrufen
Indiegames-Rundschau: Killer trifft Gans
Indiegames-Rundschau
Killer trifft Gans

John Wick Hex ist ein gelungenes Spiel zum Film, die böse Gans sorgt in Untitled Goose Game für Begeisterung und in Noita wird jeder Pixel simuliert: Die Indiegames des Monats sind abwechslungsreich und hochwertig wie selten zuvor.
Von Rainer Sigl

  1. Indiegames-Rundschau Überleben im Dschungel und tausend Tode im Dunkeln
  2. Indiegames-Rundschau Epische ASCII-Abenteuer und erlebnishungrige Astronauten
  3. Indiegames-Rundschau Von Bananen und Astronauten

Funkstandards: Womit funkt das smarte Heim?
Funkstandards
Womit funkt das smarte Heim?

Ob Wohnung oder Haus: Smart soll es bitte sein. Und wenn das nicht von Anfang an klappt, soll die Nachrüstung zum Smart Home so wenig aufwendig wie möglich sein. Dafür kommen vor allem Funklösungen infrage, wir stellen die gebräuchlichsten vor.
Von Jan Rähm

  1. Local Home SDK Google bietet SDK für Smarthomesteuerung im lokalen Netzwerk
  2. GE Smarte Lampe mit 11- bis 13-stufigem Resetverfahren
  3. IoT Smart Homes ohne Internet, geht das? Ja!

IT-Freelancer: Paradiesische Zustände
IT-Freelancer
Paradiesische Zustände

IT-Freiberufler arbeiten zeitlich nicht mehr als ihre fest angestellten Kollegen, verdienen aber doppelt so viel wie sie. Das unternehmerische Risiko ist in der heutigen Zeit für gute IT-Freelancer gering, die Gefahr der Scheinselbstständigkeit aber hoch.
Von Peter Ilg

  1. Change-Management Die Zeiten, sie, äh, ändern sich
  2. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  3. MINT Werden Frauen überfördert?

    •  /