Suche

Sicherheitspatches: Android lässt sich per PNG-Datei übernehmen

Mit dem aktuellen Februar-Update für Android schließt Google eine Sicherheitslücke, durch die Schadcode über eine PNG-Datei eingeschleust werden kann. Das Team hat außerdem weitere kritische Sicherheitslücken behoben.

Artikel veröffentlicht am ,
Das Android-Update wird für die Pixel-Geräte von Google bereits verteilt. (Bild: Martin Wolf/Golem.de)

Google hat mit dem monatlichen Update für den Februar 2019 mehrere teils kritische Sicherheitslücken in seinem Android-Betriebssystem geschlossen. Gleich mehrere miteinander in Verbindung stehende Sicherheitslücken (CVE-2019-1986, CVE-2019-1987, CVE-2019-1988) in der Implementierung des PNG-Formats im Android-Framework ermöglichen es Angreifern, durch das Einschleusen einer speziell manipulierten Datei Schadcode mit erweiterten Rechten auf den Geräten der Opfer auszuführen.

Anzeige

Ebenfalls zum Ausführen von Schadcode eignen sich Lücken (CVE-2017-17760, CVE-2018-5268, CVE-2018-5269) in einem noch nicht näher spezifizierten Teil der Android-Library. Hierzu ist ebenso eine speziell manipulierte Datei notwendig. Die Schadcode lässt sich aber nur mit normalen Rechten ausführen. Zwei weitere Fehler im Bluetooth-Stack von Android, ein Buffer-Overflow (CVE-2019-1991) und eine Use-after-Free-Lücke (CVE-2019-1992) ermöglichen darüber hinaus auch das Ausführen von Schadcode mit erweiterten Rechten.

Weitere Fehler im Android-System (CVE-2019-1993, CVE-2019-1994) machen es Angreifern möglich, sich erweitere Rechte zu beschaffen. Letzteres ist außerdem auch über Fehler im Binder-Driver (CVE-2019-1999, CVE-2019-2000) des Linux-Kernels in Android möglich. Auch mit einem Fehler im Ext4-Treiber (CVE-2018-10879) lassen sich erweiterte Rechte erlangen.

Wie üblich verweist Google auch auf Sicherheitslücken in den Komponenten seiner Zulieferer. Dazu gehören im Februar-Update unter anderem Fehler in der Multimedia-Hardwarebeschleunigung von Nvidia oder Fehler im Modem und dem Bootloader von Qualcomm. Weitere teils kritische Sicherheitslücken finden sich in den proprietären Bestandteilen von Qualcomms Code. Wie üblich verteilt Google das Update bereits für seine Pixel-Geräte. Die Updates für andere Geräte sollten folgen.

Anzeige