Abo
  • Services:

Bug in Surfaceflinger: Android-Displayserver kann aus der Ferne Code ausführen

Mit dem Februar-Patch schließt Google zahlreiche Sicherheitslücken in Android. Kritisch sind dabei Lücken im Kernel-Dateisystem, im Displayserver Surfaceflinger und - fast schon traditionell - im Medienserver sowie der Libstagefright.

Artikel veröffentlicht am ,
Der kleine Androide wird im Februar wieder ordentlich gepatcht.
Der kleine Androide wird im Februar wieder ordentlich gepatcht. (Bild: Werner Pluta/Golem.de)

Google behebt Schwachstellen in zahlreichen Android-Komponenten und in den proprietären Gerätetreibern von Qualcomm, Nvidia und Broadcom. Das Februar-Update kommt in zwei Stufen, die mit den Patchleveln 2017-02-01 und 2017-02-05 bezeichnet sind, wobei das zweite Level fast ausschließlich Schwachstellen in verschiedenen Gerätetreibern adressiert.

Stellenmarkt
  1. Eurowings Aviation GmbH, Köln
  2. mobilcom-debitel GmbH, Büdelsdorf

Eine Lücke in Surfaceflinger ermöglicht es einem Angreifer offenbar, aus der Ferne Code auszuführen. Surfaceflinger ist dafür zuständig, von einzelnen Apps gerenderte Bilder aus dem jeweiligen Buffer abzuholen und sie an den Hardwarecomposer weiterzugeben. Wie genau die Remote Code Execution funktioniert, ist noch nicht bekannt, die entsprechende CVE-2017-0405 enthält noch keine Details.

Mal wieder der Medienserver

Weitere Möglichkeiten zur Codeausführung bieten der Medienserver (CVE-2017-0406, CVE-2017-0407), die aus vielen vorherigen Patches bekannte Libstagefright (CVE-2017-0409) und das Java-Framework Libgdx, das vor allem in der Spieleentwicklung eingesetzt wird. Auch wenn die Lücke nur mit "hoch" eingestuft ist, könnte sie aktiv ausgenutzt werden. Immer wieder wird Android-Malware in Spielen versteckt, die sich vor allem an Kinder richten.

Weitere Lücken gibt es in den Kommunikationsprogrammen Aosp Mail (CVE-2017-0420) und Aosp Messaging (CVE-2017-0413, CVE-2017-0414). Erneut von zahlreichen Sicherheitsproblemen betroffen sind die Treiber der Hardwarezulieferer. Kritische Fehler finden sich in Qualcomms Crypto-Treiber, in Nvidias-GPU-Treiber und in verschiedenen Netzwerkkomponenten.



Anzeige
Spiele-Angebote
  1. 23,99€
  2. 26,95€
  3. 59,99€ mit Vorbesteller-Preisgarantie (Release 26.02.)
  4. (-48%) 12,99€

sp1derclaw 09. Feb 2017

Das halte ich für begrenzt möglich. Ich habe mir aufgrund dieses Schemas das Moto G4...

torrbox 08. Feb 2017

Haben die gleichen Specs wie 500¤ Smartphones mit europäischem Fantasiepreis und ich...

Bigfoo29 08. Feb 2017

Da geb ich Dir Recht. Ein Blob ist ein Blob. Und das ist per Definition schlecht. Aber...


Folgen Sie uns
       


Nuraphone Kopfhörer- Test

Der Nuraphone bietet einen automatischen Hörtest, der den Frequenzgang des Kopfhörers je nach Nutzer unterschiedlich einstellt. Die Klangqualität des ungewöhnlichen Kopfhörers hat Golem.de im Test überzeugt.

Nuraphone Kopfhörer- Test Video aufrufen
IT: Frauen, die programmieren und Bier trinken
IT
Frauen, die programmieren und Bier trinken

Fest angestellte Informatiker sind oft froh, nach Feierabend nicht schon wieder in ein Get-together zu müssen. Doch was ist, wenn man kein Team hat und sich selbst Programmieren beibringt? Women Who Code veranstaltet Programmierabende für Frauen, denen es so geht. Golem.de war dort.
Von Maja Hoock

  1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
  2. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"
  3. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp

Requiem zur Cebit: Es war einmal die beste Messe
Requiem zur Cebit
Es war einmal die beste Messe

Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
Von Nico Ernst

  1. IT-Messe Die Cebit wird eingestellt

IMHO: Valves Ka-Ching mit der Brechstange
IMHO
Valves "Ka-Ching" mit der Brechstange

Es klingelt seit Jahren in den Kassen des Unternehmens von Gabe Newell. Dabei ist die Firma tief verschuldet - und zwar in den Herzen der Gamer.
Ein IMHO von Michael Wieczorek

  1. Artifact im Test Zusammengewürfelt und potenziell teuer
  2. Artifact Erste Kritik an Kosten von Valves Sammelkartenspiel
  3. Virtual Reality Valve arbeitet an VR-Headset und Half-Life-Titel

    •  /