Abo
  • Services:
Anzeige
Nexus-Geräte sollen nicht über den Kernel-Bug angreifbar sein, meint Google.
Nexus-Geräte sollen nicht über den Kernel-Bug angreifbar sein, meint Google. (Bild: Google)

Google: Android-Patch für Kernel-Bug bis 1. März

Nexus-Geräte sollen nicht über den Kernel-Bug angreifbar sein, meint Google.
Nexus-Geräte sollen nicht über den Kernel-Bug angreifbar sein, meint Google. (Bild: Google)

Die kürzlich gefundene Kernel-Lücke wird mit den monatlichen Android-Updates bis zum 1. März geschlossen. Das schreibt ein Google-Entwickler. Die Auswirkungen sind laut Google geringer als ursprünglich behauptet, weshalb nur wenige Geräte betroffen seien.

Ein einfacher Ganzzahl-Überlauf erlaubt Linux-Nutzern - und damit möglicherweise auch Angreifern - das Erlangen von Root-Rechten auf ihrem Gerät (CVE-2016-0728). Ersten Angaben zufolge sollten zwei Drittel aller Android-Geräte darüber angreifbar sein. Der Android-Security-Entwickler Adrian Ludwig weist diese Zahl nun zurück und stellt einen Patch in Aussicht.

Anzeige

Das notwendige Update sei bereits in das Android Open Source Project (AOSP) integriert und ebenso an die Partner von Google verteilt worden, schreibt Ludwig. Der Patch müsse außerdem in sämtliche Geräte eingepflegt werden, für welche die monatliche Sicherheitsstufe des 1. März gelten solle. Die Aktualisierung muss damit also spätestens bis zu diesem Datum ausgerollt werden, was zumindest für die Nexus-Geräte geschehen sollte.

Laut Google nur wenige Geräte betroffen

Ludwig betont, dass das Android-Sicherheitsteam nicht vor der Veröffentlichung über den Fehler informiert worden sei und deshalb erst jetzt damit beginnen könne, die tatsächlichen Auswirkungen des Fehlers auf das Android-Ökosystem untersuchen zu können. Die Beteiligten glauben allerdings, dass "wesentlich weniger" als zwei Drittel aller Geräte betroffen seien. Von dieser Zahl ging Perception Point aus, die den Fehler gefunden hatten.

Das Android-Team geht davon aus, dass der Fehler auf keinem Nexus-Gerät durch Drittanwendungen ausgenutzt werden könnte. Ferner seien alle Geräte mit Android 5.0 oder höher durch SELinux geschützt, da dadurch Drittanwendungen keinen Zugriff auf den fehlerhaften Code hätten. Geräte mit Android 4.4 alias KitKat (oder älter) benutzten zudem häufig einen Linux-Kernel, der älter sei als die Version 3.8, in welcher der fehlerhafte Code eingeführt wurde.

Auswirkungen weiter unklar

Gegen Letzteres sprechen aber einige Nutzerberichte, in denen es heißt, dass der fehlerhafte Code auch auf ältere Android-Kernel zurück portiert worden sei, was unter anderem für Geräte von Sony gelten soll. Auch, dass SELinux das Ausnutzen des Fehlers verhindern soll, wird von Perception Point in Frage gestellt.

Die Sicherheitsforscher gingen in ihrer Analyse zwar ebenfalls davon aus, dass SELinux ein Ausnutzen erschweren könnte. Sie erwähnten aber auch, dass es "Tricks" geben könnte, diese Vorkehrungen zu umgehen. Was das Ausnutzen des Fehlers wohl aber tatsächlich erschweren könnte, ist der beschriebene Angriffsvektor. Der Ganzzahl-Überlauf benötigt selbst auf einem schnellen Desktop-Gerät wohl mindestens 30 Minuten und auf Smartphones damit deutlich länger. Für einen erfolgreichen Angriff müssen zudem bestimmte Speicheradressen an die jeweilige laufende Kernel-Version angepasst werden.


eye home zur Startseite
Nikolai 22. Jan 2016

Mir ist kein Mobiltelefon mit Kathodenstrahlröhrenbildschirm bekannt.

triplekiller 21. Jan 2016

Reicht das? Kann mir jemand eine Quelle nennen, wo es zumindest dort gepatcht wurde?



Anzeige

Stellenmarkt
  1. Autobahndirektion Südbayern, München
  2. viastore SOFTWARE GmbH, Stuttgart
  3. operational services GmbH & Co. KG, München
  4. Weidmüller Interface GmbH & Co. KG, Detmold


Anzeige
Hardware-Angebote

Folgen Sie uns
       


  1. Onlinehandel

    Bald keine Birkenstock-Produkte mehr bei Amazon

  2. Zeitpunkt verschoben

    Musk reduziert Erwartungen an autonomes Fahren

  3. MacOS High Sierra

    Grafikleistung beim Macbook Pro bricht durch Bug ein

  4. Elektromobilität

    VW-Chef will Diesel-Steuervorteile für E-Autos streichen

  5. Alexa und Co.

    Wirtschaftsverband sieht Megatrend zu smarten Lautsprechern

  6. Apple TV

    Deutsche TV-App startet mit nur fünf Anbietern

  7. King's Field 1 (1994)

    Die Saat für Dark Souls

  8. Anheuser Busch

    US-Brauerei bestellt 40 Tesla-Trucks vor

  9. Apple

    Jony Ive übernimmt wieder Apples Produktdesign

  10. Elon Musk

    Tesla will eigene KI-Chips bauen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
China: Die AAA-Bürger
China
Die AAA-Bürger
  1. Microsoft Supreme Court entscheidet über die Zukunft der Cloud

Berlin: Verfassungsschutz hat Lizenz zur Gesichtserkennung
Berlin
Verfassungsschutz hat Lizenz zur Gesichtserkennung
  1. Finnairs Gesichtsscanner ausprobiert Boarden mit einem Blick in die Kamera

Watch Series 3 im Praxistest: So hätte Apples erste Smartwatch sein müssen
Watch Series 3 im Praxistest
So hätte Apples erste Smartwatch sein müssen
  1. Apple Watch Apple veröffentlicht WatchOS 4.2
  2. Alivecor Kardiaband Uhrenarmband für Apple Watch zeichnet EKG auf
  3. Smartwatch Die Apple Watch lieber nicht nach dem Wetter fragen

  1. Re: So ein Käse!

    Cbk | 08:50

  2. Re: pkw maut

    AllDayPiano | 08:48

  3. Streiche "für" und ersetze durch "zugunsten"

    toraxx | 08:48

  4. Re: LTE ? zB. Huawei e5577c ? EasyBox 904 LTE ?

    xploded | 08:46

  5. Re: Ein Stich mitten ins Herz der Dieselfans

    AllDayPiano | 08:46


  1. 08:37

  2. 07:58

  3. 07:33

  4. 07:21

  5. 10:59

  6. 09:41

  7. 08:00

  8. 15:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel