Abo
  • Services:
Anzeige
Der kleine Androide wird im Februar wieder ordentlich gepatcht.
Der kleine Androide wird im Februar wieder ordentlich gepatcht. (Bild: Werner Pluta/Golem.de)

Bug in Surfaceflinger: Android-Displayserver kann aus der Ferne Code ausführen

Der kleine Androide wird im Februar wieder ordentlich gepatcht.
Der kleine Androide wird im Februar wieder ordentlich gepatcht. (Bild: Werner Pluta/Golem.de)

Mit dem Februar-Patch schließt Google zahlreiche Sicherheitslücken in Android. Kritisch sind dabei Lücken im Kernel-Dateisystem, im Displayserver Surfaceflinger und - fast schon traditionell - im Medienserver sowie der Libstagefright.

Google behebt Schwachstellen in zahlreichen Android-Komponenten und in den proprietären Gerätetreibern von Qualcomm, Nvidia und Broadcom. Das Februar-Update kommt in zwei Stufen, die mit den Patchleveln 2017-02-01 und 2017-02-05 bezeichnet sind, wobei das zweite Level fast ausschließlich Schwachstellen in verschiedenen Gerätetreibern adressiert.

Anzeige

Eine Lücke in Surfaceflinger ermöglicht es einem Angreifer offenbar, aus der Ferne Code auszuführen. Surfaceflinger ist dafür zuständig, von einzelnen Apps gerenderte Bilder aus dem jeweiligen Buffer abzuholen und sie an den Hardwarecomposer weiterzugeben. Wie genau die Remote Code Execution funktioniert, ist noch nicht bekannt, die entsprechende CVE-2017-0405 enthält noch keine Details.

Mal wieder der Medienserver

Weitere Möglichkeiten zur Codeausführung bieten der Medienserver (CVE-2017-0406, CVE-2017-0407), die aus vielen vorherigen Patches bekannte Libstagefright (CVE-2017-0409) und das Java-Framework Libgdx, das vor allem in der Spieleentwicklung eingesetzt wird. Auch wenn die Lücke nur mit "hoch" eingestuft ist, könnte sie aktiv ausgenutzt werden. Immer wieder wird Android-Malware in Spielen versteckt, die sich vor allem an Kinder richten.

Weitere Lücken gibt es in den Kommunikationsprogrammen Aosp Mail (CVE-2017-0420) und Aosp Messaging (CVE-2017-0413, CVE-2017-0414). Erneut von zahlreichen Sicherheitsproblemen betroffen sind die Treiber der Hardwarezulieferer. Kritische Fehler finden sich in Qualcomms Crypto-Treiber, in Nvidias-GPU-Treiber und in verschiedenen Netzwerkkomponenten.


eye home zur Startseite
sp1derclaw 09. Feb 2017

Das halte ich für begrenzt möglich. Ich habe mir aufgrund dieses Schemas das Moto G4...

torrbox 08. Feb 2017

Haben die gleichen Specs wie 500¤ Smartphones mit europäischem Fantasiepreis und ich...

Bigfoo29 08. Feb 2017

Da geb ich Dir Recht. Ein Blob ist ein Blob. Und das ist per Definition schlecht. Aber...



Anzeige

Stellenmarkt
  1. Haufe Group, Freiburg im Breisgau
  2. T-Systems International GmbH, Leinfelden-Echterdingen
  3. stoba Präzisionstechnik GmbH & Co. KG, Backnang (nahe Stuttgart)
  4. T-Systems International GmbH, München, Hamburg, Darmstadt, Bonn


Anzeige
Spiele-Angebote
  1. 15,99€
  2. ab 59,00€ (Vorbesteller-Preisgarantie)
  3. 108,98€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. Bildbearbeitung

    Google-Algorithmus entfernt Wasserzeichen auf Fotos

  2. Ladestationen

    Regierung lehnt Zwangsverkabelung von Tiefgaragen ab

  3. Raspberry Pi

    Raspbian auf Stretch upgedated

  4. Trotz Förderung

    Breitbandausbau kommt nur schleppend voran

  5. Nvidia

    Keine Volta-basierten Geforces in 2017

  6. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro

  7. E-Commerce

    Kartellamt will Online-Shops des Einzelhandels schützen

  8. id Software

    Quake Champions startet in den Early Access

  9. Betrug

    Verbraucherzentrale warnt vor gefälschten Youporn-Mahnungen

  10. Lenovo

    Smartphone- und Servergeschäft sorgen für Verlust



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

  1. Re: Hat eher mit Wahlfreiheit als mit Förderung...

    devarni | 18:39

  2. Re: streaming ist alles andere als live...

    Rulf | 18:39

  3. Re: Bei einer Neuinstallation...

    nille02 | 18:38

  4. Re: Upgedated???

    Fjunchclick | 18:30

  5. Was für ein Schwachsinn

    derdiedas | 18:27


  1. 14:38

  2. 12:42

  3. 11:59

  4. 11:21

  5. 17:56

  6. 16:20

  7. 15:30

  8. 15:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel