Abo
  • Services:

Sicherheitspatches: Android lässt sich per PNG-Datei übernehmen

Mit dem aktuellen Februar-Update für Android schließt Google eine Sicherheitslücke, durch die Schadcode über eine PNG-Datei eingeschleust werden kann. Das Team hat außerdem weitere kritische Sicherheitslücken behoben.

Artikel veröffentlicht am ,
Das Android-Update wird für die Pixel-Geräte von Google bereits verteilt.
Das Android-Update wird für die Pixel-Geräte von Google bereits verteilt. (Bild: Martin Wolf/Golem.de)

Google hat mit dem monatlichen Update für den Februar 2019 mehrere teils kritische Sicherheitslücken in seinem Android-Betriebssystem geschlossen. Gleich mehrere miteinander in Verbindung stehende Sicherheitslücken (CVE-2019-1986, CVE-2019-1987, CVE-2019-1988) in der Implementierung des PNG-Formats im Android-Framework ermöglichen es Angreifern, durch das Einschleusen einer speziell manipulierten Datei Schadcode mit erweiterten Rechten auf den Geräten der Opfer auszuführen.

Stellenmarkt
  1. pco Personal Computer Organisation GmbH & Co. KG, Osnabrück
  2. XENON Automatisierungstechnik GmbH, Dresden

Ebenfalls zum Ausführen von Schadcode eignen sich Lücken (CVE-2017-17760, CVE-2018-5268, CVE-2018-5269) in einem noch nicht näher spezifizierten Teil der Android-Library. Hierzu ist ebenso eine speziell manipulierte Datei notwendig. Die Schadcode lässt sich aber nur mit normalen Rechten ausführen. Zwei weitere Fehler im Bluetooth-Stack von Android, ein Buffer-Overflow (CVE-2019-1991) und eine Use-after-Free-Lücke (CVE-2019-1992) ermöglichen darüber hinaus auch das Ausführen von Schadcode mit erweiterten Rechten.

Weitere Fehler im Android-System (CVE-2019-1993, CVE-2019-1994) machen es Angreifern möglich, sich erweitere Rechte zu beschaffen. Letzteres ist außerdem auch über Fehler im Binder-Driver (CVE-2019-1999, CVE-2019-2000) des Linux-Kernels in Android möglich. Auch mit einem Fehler im Ext4-Treiber (CVE-2018-10879) lassen sich erweiterte Rechte erlangen.

Wie üblich verweist Google auch auf Sicherheitslücken in den Komponenten seiner Zulieferer. Dazu gehören im Februar-Update unter anderem Fehler in der Multimedia-Hardwarebeschleunigung von Nvidia oder Fehler im Modem und dem Bootloader von Qualcomm. Weitere teils kritische Sicherheitslücken finden sich in den proprietären Bestandteilen von Qualcomms Code. Wie üblich verteilt Google das Update bereits für seine Pixel-Geräte. Die Updates für andere Geräte sollten folgen.



Anzeige
Blu-ray-Angebote
  1. 5€ inkl. FSK-18-Versand
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  3. 5€ inkl. FSK-18-Versand

ML82 11. Feb 2019 / Themenstart

machen die keine backports, wozu dann der nightly build?

deus-ex 11. Feb 2019 / Themenstart

Essential? Ist das nicht die Fa. die kein Smartphone mehr machen will? Mal sehen ob du...

0110101111010001 10. Feb 2019 / Themenstart

Sicher

mannzi 09. Feb 2019 / Themenstart

Das hört sich ja nicht gut an, hast du ne Ahnung wie man das testen kann? Und vlt eine...

Stepinsky 09. Feb 2019 / Themenstart

Der Fehler tritt bei der SafetyNet Prüfung auf. SafetyNet prüft auf dem Gerät, ob Dateien...

Kommentieren


Folgen Sie uns
       


Honor View 20 - Test

Das View 20 von Honor ist ein interessantes Smartphone: Für unter 600 Euro bekommen Käufer hochwertige Hardware im Oberklassebereich und eine der besten Kameras am Markt.

Honor View 20 - Test Video aufrufen
Raumfahrt: Aus Marzahn mit der Esa zum Mond
Raumfahrt
Aus Marzahn mit der Esa zum Mond

Die Esa versucht sich an einem neuen Ansatz: der Kooperation mit privaten Unternehmen in der Raumforschung. Die PT Scientists aus Berlin-Marzahn sollen dafür bis 2025 einen Mondlander liefern.
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt Die Nasa will schnell eine neue Mondlandefähre
  2. Chang'e 4 Chinesische Sonde landet auf der Rückseite des Mondes
  3. Raumfahrt 2019 - Die Rückkehr des Mondfiebers?

Honor Magic 2 im Test: Die Smartphone-Revolution ist aufgeschoben
Honor Magic 2 im Test
Die Smartphone-Revolution ist aufgeschoben

Ein Smartphone, dessen vordere Seite vollständig vom Display ausgefüllt wird: Diesem Ideal kommt Honor mit dem Magic 2 schon ziemlich nahe. Nicht mit Magie, sondern mit Hilfe eines Slider-Mechanismus. Honor verschenkt beim Magic 2 aber viel Potenzial, wie der Test zeigt.
Ein Test von Tobias Czullay

  1. Honor Neues Magic 2 mit Slider und ohne Notch vorgestellt
  2. Huawei Neues Honor 8X kostet 250 Euro
  3. Honor 10 vs. Oneplus 6 Oberklasse ab 400 Euro

Mobile-Games-Auslese: Mit der Enterprise durch unendliche Onlineweiten
Mobile-Games-Auslese
Mit der Enterprise durch unendliche Onlineweiten

Weltraumspannung in Star Trek Fleet Command und Bananenrepublik zum Selberspielen in Tropico: Diese Mobile Games haben auch abseits ihrer großen Namen etwas zu bieten.
Von Rainer Sigl

  1. Mobile-Games-Auslese Große Abenteuer im kleinen Feiertagsformat
  2. Small Giant Games Zynga kauft Empires & Puzzles für 560 Millionen US-Dollar
  3. Mobile-Games-Auslese Taktische Tentakel und knuddelige Killer

    •  /