Abo
  • Services:

Google: Android-Patch für Kernel-Bug bis 1. März

Die kürzlich gefundene Kernel-Lücke wird mit den monatlichen Android-Updates bis zum 1. März geschlossen. Das schreibt ein Google-Entwickler. Die Auswirkungen sind laut Google geringer als ursprünglich behauptet, weshalb nur wenige Geräte betroffen seien.

Artikel veröffentlicht am ,
Nexus-Geräte sollen nicht über den Kernel-Bug angreifbar sein, meint Google.
Nexus-Geräte sollen nicht über den Kernel-Bug angreifbar sein, meint Google. (Bild: Google)

Ein einfacher Ganzzahl-Überlauf erlaubt Linux-Nutzern - und damit möglicherweise auch Angreifern - das Erlangen von Root-Rechten auf ihrem Gerät (CVE-2016-0728). Ersten Angaben zufolge sollten zwei Drittel aller Android-Geräte darüber angreifbar sein. Der Android-Security-Entwickler Adrian Ludwig weist diese Zahl nun zurück und stellt einen Patch in Aussicht.

Stellenmarkt
  1. Zurich Gruppe Deutschland, Köln
  2. Consors Finanz, München

Das notwendige Update sei bereits in das Android Open Source Project (AOSP) integriert und ebenso an die Partner von Google verteilt worden, schreibt Ludwig. Der Patch müsse außerdem in sämtliche Geräte eingepflegt werden, für welche die monatliche Sicherheitsstufe des 1. März gelten solle. Die Aktualisierung muss damit also spätestens bis zu diesem Datum ausgerollt werden, was zumindest für die Nexus-Geräte geschehen sollte.

Laut Google nur wenige Geräte betroffen

Ludwig betont, dass das Android-Sicherheitsteam nicht vor der Veröffentlichung über den Fehler informiert worden sei und deshalb erst jetzt damit beginnen könne, die tatsächlichen Auswirkungen des Fehlers auf das Android-Ökosystem untersuchen zu können. Die Beteiligten glauben allerdings, dass "wesentlich weniger" als zwei Drittel aller Geräte betroffen seien. Von dieser Zahl ging Perception Point aus, die den Fehler gefunden hatten.

Das Android-Team geht davon aus, dass der Fehler auf keinem Nexus-Gerät durch Drittanwendungen ausgenutzt werden könnte. Ferner seien alle Geräte mit Android 5.0 oder höher durch SELinux geschützt, da dadurch Drittanwendungen keinen Zugriff auf den fehlerhaften Code hätten. Geräte mit Android 4.4 alias KitKat (oder älter) benutzten zudem häufig einen Linux-Kernel, der älter sei als die Version 3.8, in welcher der fehlerhafte Code eingeführt wurde.

Auswirkungen weiter unklar

Gegen Letzteres sprechen aber einige Nutzerberichte, in denen es heißt, dass der fehlerhafte Code auch auf ältere Android-Kernel zurück portiert worden sei, was unter anderem für Geräte von Sony gelten soll. Auch, dass SELinux das Ausnutzen des Fehlers verhindern soll, wird von Perception Point in Frage gestellt.

Die Sicherheitsforscher gingen in ihrer Analyse zwar ebenfalls davon aus, dass SELinux ein Ausnutzen erschweren könnte. Sie erwähnten aber auch, dass es "Tricks" geben könnte, diese Vorkehrungen zu umgehen. Was das Ausnutzen des Fehlers wohl aber tatsächlich erschweren könnte, ist der beschriebene Angriffsvektor. Der Ganzzahl-Überlauf benötigt selbst auf einem schnellen Desktop-Gerät wohl mindestens 30 Minuten und auf Smartphones damit deutlich länger. Für einen erfolgreichen Angriff müssen zudem bestimmte Speicheradressen an die jeweilige laufende Kernel-Version angepasst werden.



Anzeige
Top-Angebote
  1. (-88%) 2,49€
  2. (-77%) 11,49€
  3. 111€
  4. 55,11€ (Bestpreis!)

Nikolai 22. Jan 2016

Mir ist kein Mobiltelefon mit Kathodenstrahlröhrenbildschirm bekannt.

triplekiller 21. Jan 2016

Reicht das? Kann mir jemand eine Quelle nennen, wo es zumindest dort gepatcht wurde?


Folgen Sie uns
       


LG Display CSO light angesehen (Light Building 2018)

Auf der Light + Building 2018 zeigt LG Display Licht, das auch Ton produziert.

LG Display CSO light angesehen (Light Building 2018) Video aufrufen
P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

Adblock Plus: Bundesgerichtshof erlaubt Einsatz von Werbeblockern
Adblock Plus
Bundesgerichtshof erlaubt Einsatz von Werbeblockern

Der Bundesgerichtshof hat im Streit um die Nutzung von Werbeblockern entschieden: Eyeo verstößt mit Adblock Plus gegen keine Gesetze. Axel Springer hat nach dem Urteil angekündigt, Verfassungsbeschwerde einreichen zu wollen.

  1. Urheberrecht Easylist muss Anti-Adblocker-Domain entfernen

Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data

    •  /