Abo
  • Services:

Sicherheitspatches: Android lässt sich per PNG-Datei übernehmen

Mit dem aktuellen Februar-Update für Android schließt Google eine Sicherheitslücke, durch die Schadcode über eine PNG-Datei eingeschleust werden kann. Das Team hat außerdem weitere kritische Sicherheitslücken behoben.

Artikel veröffentlicht am ,
Das Android-Update wird für die Pixel-Geräte von Google bereits verteilt.
Das Android-Update wird für die Pixel-Geräte von Google bereits verteilt. (Bild: Martin Wolf/Golem.de)

Google hat mit dem monatlichen Update für den Februar 2019 mehrere teils kritische Sicherheitslücken in seinem Android-Betriebssystem geschlossen. Gleich mehrere miteinander in Verbindung stehende Sicherheitslücken (CVE-2019-1986, CVE-2019-1987, CVE-2019-1988) in der Implementierung des PNG-Formats im Android-Framework ermöglichen es Angreifern, durch das Einschleusen einer speziell manipulierten Datei Schadcode mit erweiterten Rechten auf den Geräten der Opfer auszuführen.

Stellenmarkt
  1. BRZ Deutschland GmbH, Nürnberg
  2. Dataport, Altenholz bei Kiel

Ebenfalls zum Ausführen von Schadcode eignen sich Lücken (CVE-2017-17760, CVE-2018-5268, CVE-2018-5269) in einem noch nicht näher spezifizierten Teil der Android-Library. Hierzu ist ebenso eine speziell manipulierte Datei notwendig. Die Schadcode lässt sich aber nur mit normalen Rechten ausführen. Zwei weitere Fehler im Bluetooth-Stack von Android, ein Buffer-Overflow (CVE-2019-1991) und eine Use-after-Free-Lücke (CVE-2019-1992) ermöglichen darüber hinaus auch das Ausführen von Schadcode mit erweiterten Rechten.

Weitere Fehler im Android-System (CVE-2019-1993, CVE-2019-1994) machen es Angreifern möglich, sich erweitere Rechte zu beschaffen. Letzteres ist außerdem auch über Fehler im Binder-Driver (CVE-2019-1999, CVE-2019-2000) des Linux-Kernels in Android möglich. Auch mit einem Fehler im Ext4-Treiber (CVE-2018-10879) lassen sich erweiterte Rechte erlangen.

Wie üblich verweist Google auch auf Sicherheitslücken in den Komponenten seiner Zulieferer. Dazu gehören im Februar-Update unter anderem Fehler in der Multimedia-Hardwarebeschleunigung von Nvidia oder Fehler im Modem und dem Bootloader von Qualcomm. Weitere teils kritische Sicherheitslücken finden sich in den proprietären Bestandteilen von Qualcomms Code. Wie üblich verteilt Google das Update bereits für seine Pixel-Geräte. Die Updates für andere Geräte sollten folgen.



Anzeige
Blu-ray-Angebote
  1. 5€ inkl. FSK-18-Versand
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  3. 5€ inkl. FSK-18-Versand

ML82 11. Feb 2019 / Themenstart

machen die keine backports, wozu dann der nightly build?

deus-ex 11. Feb 2019 / Themenstart

Essential? Ist das nicht die Fa. die kein Smartphone mehr machen will? Mal sehen ob du...

0110101111010001 10. Feb 2019 / Themenstart

Sicher

mannzi 09. Feb 2019 / Themenstart

Das hört sich ja nicht gut an, hast du ne Ahnung wie man das testen kann? Und vlt eine...

Stepinsky 09. Feb 2019 / Themenstart

Der Fehler tritt bei der SafetyNet Prüfung auf. SafetyNet prüft auf dem Gerät, ob Dateien...

Kommentieren


Folgen Sie uns
       


Anno 1800 angespielt

Anno 1800 in der Vorschau: Wir konnten Blue Bytes Aufbautitel einige Zeit lang spielen, genauer gesagt, bis einschließlich der dritten von fünf Zivilisationsstufen. Anno 1800 orientiert sich mehr an Anno 1404 und nicht an den in der Zukunft angesiedelten direkten Vorgängern.

Anno 1800 angespielt Video aufrufen
Raspberry Pi: Spieglein, Spieglein, werde smart!
Raspberry Pi
Spieglein, Spieglein, werde smart!

Ein Spiegel, ein ausrangierter Monitor und ein Raspberry Pi sind die grundlegenden Bauteile, mit denen man sich selbst einen Smart Mirror basteln kann. Je nach Interesse können dort dann das Wetter, Fahrpläne, Nachrichten oder auch stimmungsvolle Bilder angezeigt werden.
Eine Anleitung von Christopher Bichl

  1. IoT mit LoRa und Raspberry Pi Die DNA des Internet der Dinge
  2. Bewegungssensor auswerten Mit Wackeln programmieren lernen
  3. Raspberry Pi Cam Babycam mit wenig Aufwand selbst bauen

Radeon VII im Test: Die Grafikkarte für Videospeicher-Liebhaber
Radeon VII im Test
Die Grafikkarte für Videospeicher-Liebhaber

Höherer Preis, ähnliche Performance und doppelt so viel Videospeicher wie die Geforce RTX 2080: AMDs Radeon VII ist eine primär technisch spannende Grafikkarte. Bei Energie-Effizienz und Lautheit bleibt sie chancenlos, die 16 GByte Videospeicher sind eher ein Nischen-Bonus.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Grafikkarte UEFI-Firmware lässt Radeon VII schneller booten
  2. AMD Radeon VII tritt mit PCIe Gen3 und geringer DP-Rate an
  3. Radeon Instinct MI60 AMD hat erste Grafikkarte mit 7 nm und PCIe 4.0

Ottobock: Wie ein Exoskelett die Arbeit erleichtert
Ottobock
Wie ein Exoskelett die Arbeit erleichtert

Es verleiht zwar keine Superkräfte. Bei der Arbeit in unbequemer Haltung zum Beispiel mit dem Akkuschrauber unterstützt das Exoskelett Paexo von Ottobock aber gut, wie wir herausgefunden haben. Exoskelette mit aktiver Unterstützung sind in der Entwicklung.
Ein Erfahrungsbericht von Werner Pluta


      •  /