Sicherheitspatches: Android lässt sich per PNG-Datei übernehmen

Mit dem aktuellen Februar-Update für Android schließt Google eine Sicherheitslücke, durch die Schadcode über eine PNG-Datei eingeschleust werden kann. Das Team hat außerdem weitere kritische Sicherheitslücken behoben.

Artikel veröffentlicht am ,
Das Android-Update wird für die Pixel-Geräte von Google bereits verteilt.
Das Android-Update wird für die Pixel-Geräte von Google bereits verteilt. (Bild: Martin Wolf/Golem.de)

Google hat mit dem monatlichen Update für den Februar 2019 mehrere teils kritische Sicherheitslücken in seinem Android-Betriebssystem geschlossen. Gleich mehrere miteinander in Verbindung stehende Sicherheitslücken (CVE-2019-1986, CVE-2019-1987, CVE-2019-1988) in der Implementierung des PNG-Formats im Android-Framework ermöglichen es Angreifern, durch das Einschleusen einer speziell manipulierten Datei Schadcode mit erweiterten Rechten auf den Geräten der Opfer auszuführen.

Stellenmarkt
  1. Cloud Engineer AWS (m/w/d)
    Metaways Infosystems GmbH, Hamburg
  2. Product Owner (m/w/d) Cloud Entwicklungsumgebung
    Deutsche Bundesbank, Frankfurt am Main, Düsseldorf, Hannover, München, Stuttgart
Detailsuche

Ebenfalls zum Ausführen von Schadcode eignen sich Lücken (CVE-2017-17760, CVE-2018-5268, CVE-2018-5269) in einem noch nicht näher spezifizierten Teil der Android-Library. Hierzu ist ebenso eine speziell manipulierte Datei notwendig. Die Schadcode lässt sich aber nur mit normalen Rechten ausführen. Zwei weitere Fehler im Bluetooth-Stack von Android, ein Buffer-Overflow (CVE-2019-1991) und eine Use-after-Free-Lücke (CVE-2019-1992) ermöglichen darüber hinaus auch das Ausführen von Schadcode mit erweiterten Rechten.

Weitere Fehler im Android-System (CVE-2019-1993, CVE-2019-1994) machen es Angreifern möglich, sich erweitere Rechte zu beschaffen. Letzteres ist außerdem auch über Fehler im Binder-Driver (CVE-2019-1999, CVE-2019-2000) des Linux-Kernels in Android möglich. Auch mit einem Fehler im Ext4-Treiber (CVE-2018-10879) lassen sich erweiterte Rechte erlangen.

Wie üblich verweist Google auch auf Sicherheitslücken in den Komponenten seiner Zulieferer. Dazu gehören im Februar-Update unter anderem Fehler in der Multimedia-Hardwarebeschleunigung von Nvidia oder Fehler im Modem und dem Bootloader von Qualcomm. Weitere teils kritische Sicherheitslücken finden sich in den proprietären Bestandteilen von Qualcomms Code. Wie üblich verteilt Google das Update bereits für seine Pixel-Geräte. Die Updates für andere Geräte sollten folgen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anonymer Nutzer 11. Feb 2019

machen die keine backports, wozu dann der nightly build?

deus-ex 11. Feb 2019

Essential? Ist das nicht die Fa. die kein Smartphone mehr machen will? Mal sehen ob du...

0110101111010001 10. Feb 2019

Sicher

mannzi 09. Feb 2019

Das hört sich ja nicht gut an, hast du ne Ahnung wie man das testen kann? Und vlt eine...

Stepinsky 09. Feb 2019

Der Fehler tritt bei der SafetyNet Prüfung auf. SafetyNet prüft auf dem Gerät, ob Dateien...



Aktuell auf der Startseite von Golem.de
Arbeiten bei SAP
Nur die Gassi-App geht grad nicht

SAP bietet seinen Mitarbeitern einiges. Manchen mag das zu viel sein, aber die geringe Fluktuation spricht für das Softwareunternehmen.
Von Elke Wittich

Arbeiten bei SAP: Nur die Gassi-App geht grad nicht
Artikel
  1. Truth Social: Trumps Twitter-Klon erhält Milliarde von Investoren
    Truth Social
    Trumps Twitter-Klon erhält Milliarde von Investoren

    Für den Aufbau seiner Twitter-Alternative Truth Social hat sich der frühere US-Präsident Trump die Unterstützung unbekannter Investoren gesichert.

  2. SpaceX: Das Starship für den Mars soll gebaut werden
    SpaceX
    Das Starship für den Mars soll gebaut werden

    Elon Musk hat via Twitter den Bau seines Mars-Starships angekündigt. Dazu schreibt der SpaceX-Gründer, dass es endlich Realität werden soll.

  3. Nano-Chip: Umprogrammierung von biologischem Gewebe im lebenden Körper
    Nano-Chip
    Umprogrammierung von biologischem Gewebe im lebenden Körper

    Hautgewebe in Blutgefäße umwandeln? Ein Forschungsteam hat dafür einen Nano-Chip entwickelt. Bald könnte er am Menschen getestet werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional Werkzeug und Zubehör • Corsair Virtuoso RGB Wireless Gaming-Headset 187,03€ • Noiseblocker NB-e-Loop X B14-P ARGB 24,90€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • Alternate (u. a. Patriot Viper VPN100 2 TB SSD 191,90€) [Werbung]
    •  /