Abo
  • Services:
Anzeige
Das Android-Sicherheitsupdate für April ist da.
Das Android-Sicherheitsupdate für April ist da. (Bild: Werner Pluta/Golem.de)

Security: Google patcht Android-Stagefright-Bugs und Kernel

Das Android-Sicherheitsupdate für April ist da.
Das Android-Sicherheitsupdate für April ist da. (Bild: Werner Pluta/Golem.de)

Google hat zahlreiche Schwachstellen in Android geschlossen, darunter Fehler in der Medienverwaltung und den entsprechenden Bibliotheken. Auch eine Sicherheitslücke im Kernel wurde behoben.

Google hat das Nexus-Sicherheitsupdate für April freigegeben. Darin enthalten sind zahlreiche Verbesserungen für den Medienserver und das Android Media Center, außerdem werden Schwachstellen in der Crypto-Bibliothek Bouncycastle und im Kernel gepatcht. Nach Angaben von Google gibt es keine Hinweise darauf, dass die jetzt geschlossenen Schwachstellen aktiv ausgenutzt würden.

Anzeige

Zahlreiche Updates betreffen Remote Code Executions in verschiedenen Medien-Codecs und im Medienserver inklusive der Stagefright-Bibliothek. Stagefright sorgt also weiterhin für Beschäftigung bei Googles Ingenieuren, erst vor wenigen Wochen wurde ein Remote-Exploit für den Medienserver vorgestellt.

Auch eine kritische Schwachstelle in DHCPCD wurde ausgebessert. Unter der CVE 2016-1503 finden sich aber bislang keine Details zu der Lücke. Nach Angaben von Google soll ein Angreifer in der Lage sein, aus der Ferne einen Speicherfehler zu provozieren, der dann die Ausführung beliebigen Codes ermöglicht.

Fehler im Kernel gepatcht

Ein Fehler im Android-Kernel ermöglicht nach Angaben von Google durch Rechteeskalation die Ausführung beliebigen Codes innerhalb des Kernels. Die Schwachstelle wurde als kritisch eingestuft, weil sie zu einer permanenten Kompromittierung des Gerätes führen könne, die nur durch Flashen einer sauberen Android-Version behoben werden könne. Der entsprechende Fehler im Kernel ist seit längerem bekannt und wird unter anderem zum Rooten von Geräten genutzt. Google unterbindet das nach eigenen Angaben mit der Verify-Apps-Funktion seit einiger Zeit. Weil man aber einen Bugreport der Sicherheitsfirma Zimperium erhalten habe, dass die Schwachstelle auf einem Nexus-5-Gerät ausgenutzt wurde, wurde die Lücke jetzt gepatcht. Betroffen sind nur Kernel-Versionen vor der Version 3.18.

Ein Fehler in der Exchange-Active-Sync-Implementation für Android kann nach Angaben von Google zu einem Informationsleck führen, die entsprechende Schwachstelle CVE-2016-2415 wurde als hoch eingestuft. Andere mit hoch bewertete Bugfixes betreffen Rechteeskalationen im Bluetooth-Treiber, im Download-Manager und im Qualcomm-Energiemanagement.

Als moderat eingestufte Verbesserungen finden sich in AOSP Mail, in der Cryptobibliothek Bouncycastle und im WLAN-Stack.

An Besitzer von Nexus-Geräten wird das Update ab sofort verteilt, Nutzer anderer Android-Geräte müssen warten, bis die Hersteller die Sicherheitsupdates selbst implementieren und verteilen. Die Patches sind für die Android-Versionen 4.4.4, 5.02, 5.1.1 sowie 6.0 und 6.0.1 verfügbar, wobei nicht alle genannten Patches auch alle gelisteten Android-Versionen betreffen.


eye home zur Startseite
hmuellers 05. Apr 2016

https://de.wikipedia.org/wiki/Rechteausweitung https://de.wikipedia.org/wiki/Implementierung

tg-- 05. Apr 2016

Nur weil MITRE keine Informationen dazu hat, heißt das nicht, dass keine bekannt sind...



Anzeige

Stellenmarkt
  1. Bosch Software Innovations GmbH, Berlin
  2. STAHLGRUBER GmbH, Poing bei München
  3. cab Produkttechnik GmbH & Co. KG, Karlsruhe
  4. Heraeus infosystems GmbH, Hanau bei Frankfurt am Main


Anzeige
Top-Angebote
  1. (u. a. Sony Xperia L1 für 139€)
  2. 139€
  3. 499,99€ - Wieder bestellbar. Ansonsten gelegentlich bezügl. Verfügbarkeit auf der Bestellseite...

Folgen Sie uns
       


  1. Bundestagswahl 2017

    Ein Hoffnungsschimmer für die Netzpolitik

  2. iZugar

    220-Grad Fisheye-Objektiv für Micro Four Thirds vorgestellt

  3. PowerVR

    Chinesen kaufen Imagination Technologies

  4. Zukunftsreifen

    Michelin will schwammartiges Rad für fahrerlose Autos bauen

  5. Bundestagswahl 2017

    Union und SPD verlieren, Jamaika-Koalition rückt näher

  6. IFR

    Zahl der verkauften Haushaltsroboter steigt stark an

  7. FTTH

    CDU für Verkauf der Telekom-Aktien

  8. Konkurrenz

    Unitymedia gegen Bürgerprämie für Glasfaser

  9. Arduino MKR GSM und WAN

    Mikrocontroller-Boards überbrücken weite Funkstrecken

  10. Fahrdienst

    London stoppt Uber, Protest wächst



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

  1. Re: Erfahrungen mit LoRa?

    gadthrawn | 08:23

  2. Re: Jamaika wird nicht halten

    Markus08 | 08:21

  3. Re: Ich feier das Ergebnis der AfD!

    Ispep | 08:20

  4. Re: So ein Quatsch - was ist das für ein Blödsinn

    ArcherV | 08:14

  5. Re: Das stimmt imho so nicht, ...

    ArcherV | 08:04


  1. 07:52

  2. 07:33

  3. 07:25

  4. 07:17

  5. 19:04

  6. 15:18

  7. 13:34

  8. 12:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel