• IT-Karriere:
  • Services:

Bug in Surfaceflinger: Android-Displayserver kann aus der Ferne Code ausführen

Mit dem Februar-Patch schließt Google zahlreiche Sicherheitslücken in Android. Kritisch sind dabei Lücken im Kernel-Dateisystem, im Displayserver Surfaceflinger und - fast schon traditionell - im Medienserver sowie der Libstagefright.

Artikel veröffentlicht am ,
Der kleine Androide wird im Februar wieder ordentlich gepatcht.
Der kleine Androide wird im Februar wieder ordentlich gepatcht. (Bild: Werner Pluta/Golem.de)

Google behebt Schwachstellen in zahlreichen Android-Komponenten und in den proprietären Gerätetreibern von Qualcomm, Nvidia und Broadcom. Das Februar-Update kommt in zwei Stufen, die mit den Patchleveln 2017-02-01 und 2017-02-05 bezeichnet sind, wobei das zweite Level fast ausschließlich Schwachstellen in verschiedenen Gerätetreibern adressiert.

Stellenmarkt
  1. SySS GmbH, Tübingen
  2. Swyx Solutions GmbH, Dortmund

Eine Lücke in Surfaceflinger ermöglicht es einem Angreifer offenbar, aus der Ferne Code auszuführen. Surfaceflinger ist dafür zuständig, von einzelnen Apps gerenderte Bilder aus dem jeweiligen Buffer abzuholen und sie an den Hardwarecomposer weiterzugeben. Wie genau die Remote Code Execution funktioniert, ist noch nicht bekannt, die entsprechende CVE-2017-0405 enthält noch keine Details.

Mal wieder der Medienserver

Weitere Möglichkeiten zur Codeausführung bieten der Medienserver (CVE-2017-0406, CVE-2017-0407), die aus vielen vorherigen Patches bekannte Libstagefright (CVE-2017-0409) und das Java-Framework Libgdx, das vor allem in der Spieleentwicklung eingesetzt wird. Auch wenn die Lücke nur mit "hoch" eingestuft ist, könnte sie aktiv ausgenutzt werden. Immer wieder wird Android-Malware in Spielen versteckt, die sich vor allem an Kinder richten.

Weitere Lücken gibt es in den Kommunikationsprogrammen Aosp Mail (CVE-2017-0420) und Aosp Messaging (CVE-2017-0413, CVE-2017-0414). Erneut von zahlreichen Sicherheitsproblemen betroffen sind die Treiber der Hardwarezulieferer. Kritische Fehler finden sich in Qualcomms Crypto-Treiber, in Nvidias-GPU-Treiber und in verschiedenen Netzwerkkomponenten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-40%) 35,99€
  2. 37,49€
  3. (-53%) 13,99€
  4. 39,99€

sp1derclaw 09. Feb 2017

Das halte ich für begrenzt möglich. Ich habe mir aufgrund dieses Schemas das Moto G4...

torrbox 08. Feb 2017

Haben die gleichen Specs wie 500¤ Smartphones mit europäischem Fantasiepreis und ich...

Bigfoo29 08. Feb 2017

Da geb ich Dir Recht. Ein Blob ist ein Blob. Und das ist per Definition schlecht. Aber...


Folgen Sie uns
       


Jedi Fallen Order - Fazit

Wer Fan von Star Wars ist und neben viel Macht auch eine gewisse Frusttoleranz in sich spürt, sollte Jedi Fallen Order eine Chance geben.

Jedi Fallen Order - Fazit Video aufrufen
Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

30 Jahre Champions of Krynn: Rückkehr ins Reich der Drachen und Drakonier
30 Jahre Champions of Krynn
Rückkehr ins Reich der Drachen und Drakonier

Champions of Krynn ist das dritte AD&D-Rollenspiel von SSI, es zählt zu den Highlights der Gold-Box-Serie. Passend zum 30. Geburtstag hat sich unser Autor den Klassiker noch einmal angeschaut - und nicht nur mit Drachen, sondern auch mit dem alten Kopierschutz gekämpft.
Ein Erfahrungsbericht von Benedikt Plass-Fleßenkämper

  1. Dungeons & Dragons Dark Alliance schickt Dunkelelf Drizzt nach Icewind Dale

Support-Ende von Windows 7: Für wen Linux eine Alternative zu Windows 10 ist
Support-Ende von Windows 7
Für wen Linux eine Alternative zu Windows 10 ist

Windows 7 erreicht sein Lebensende (End of Life) und wird von Microsoft künftig nicht mehr mit Updates versorgt. Lohnt sich ein Umstieg auf Linux statt auf Windows 10? Wir finden: in den meisten Fällen schon.
Von Martin Loschwitz

  1. Lutris EA verbannt offenbar Linux-Gamer aus Battlefield 5
  2. Linux-Rechner System 76 will eigene Laptops bauen
  3. Grafiktreiber Nvidia will weiter einheitliches Speicher-API für Linux

    •  /