Abo
  • Services:
Anzeige
Der Androide wurde wieder gepatcht.
Der Androide wurde wieder gepatcht. (Bild: Werner Pluta/Golem.de)

Buffer Overflow mit MP4-Datei erzeugen

In einem zweiten Schritt muss dann ein Buffer Overflow erzeugt werden, indem mittels einer manipulierten MP4-Datei der Inhalt des Sharedbuffer manipuliert wird. Das könnte über eine Webseite, eine infizierte Datei oder andere Mediendateien erfolgen. Hier wird der im ersten Schritt geleakte UTF-8-Pointer wiederverwendet. Dann wird ein Buffer-Overflow erzeugt, der letztlich den Wert für den Pointer von libmedia.so leakt.

Mit den Informationen lasse sich dann Code ausführen, schreibt Brand, der Exploit gleiche letztlich den verschiedenen Stagefright-Exploits. Der Angriff soll auf allen Android-Versionen vor Nougat (7.0) funktionieren. Auch bei Nougat sollen bestimmte Angriffsszenarien möglich sein, der Exploit ist aber deutlich komplizierter, weil Nougat verschiedene Komponenten des Medienservers gegeneinander isoliert.

Anzeige

Quadrooter komplett gepatcht

Google hat mit den neuen Patches außerdem die letzten der sogenannten Quadrooter-Lücken geschlossen. Damit können sich entsprechend präparierte Apps Root-Rechte auf einem Gerät verschaffen.

Es gibt weiterhin einige Probleme im Kernel, in den USB-Treibern und in zahlreichen Treiberkomponenten, etwa von Qualcomm, Broadcom, Synaptics und NVIDIA. Google hatte im Sommer begonnen, die monatlichen Android-Updates in mehrere Teile aufzusplitten, um den Update-Prozess schneller zu gestalten. Im ersten Teil waren einfacher zu patchende Lücken, der zweite Teil der Updates sollte Treiber und andere Software enthalten, die größere Anpassungen notwendig machen.

Die Patches sind nicht nach Dringlichkeit sortiert, in allen Bereichen finden sich kritische und als moderat eingestufte Lücken. Mit dem September-Update geht Google einen Schritt weiter und teilt die Updates in drei verschiedene Kategorien ein.

Die dritte Kategorie umfasst dabei Schwachstellen, die erst bekanntgeworden sind, nachdem Google die Partner über die anderen Probleme bereits informiert hatte. Unterstützte Nexus-Geräte haben alle Updates nach Angaben von Google bereits am 6. September erhalten. Samsung hat ebenfalls ein Security-Bulletin herausgegeben.

 Stagefright Reloaded: Android-Bug ermöglicht Codeausführung durch Medienserver

eye home zur Startseite
M.P. 09. Sep 2016

Der betroffene Code scheint jedenfalls allen aktuellen Andoid-Geschmacksrichtungen gemein...

Nikolai 08. Sep 2016

Ja, die Patches werden üblicherweise auch auf ältere Versionen portiert und dann von...

Arystus 08. Sep 2016

Danke!

M.P. 08. Sep 2016

Bibliotheksfunktionsnamen mit Leerzeichen ;-) Die sind schon in Dateinamen und -pfaden...



Anzeige

Stellenmarkt
  1. Ratbacher GmbH, Augsburg
  2. über Nash direct GmbH, Ulm
  3. Voith Turbo H+L Hydraulic GmbH & Co. KG, Rutesheim
  4. ETAS GmbH, Stuttgart


Anzeige
Top-Angebote
  1. (u. a. Gigabyte GTX 1060 Windforce OC 3G 199,90€, GTX 1060 6G 299,00€)
  2. (u. a. Core i7-7700K 299,00€, Asus Strix Z270F Gaming 159,90€)

Folgen Sie uns
       


  1. Linksys WRT32X

    Gaming-Router soll Ping um bis zu 77 Prozent reduzieren

  2. Mainframe-Prozessor

    IBMs Z14 mit 5,2 GHz und absurd viel Cache

  3. Android-App für Raspberry programmieren

    werGoogelnKann (kann auch Java)

  4. Aldebaran Robotics

    Roboter Pepper soll bei Beerdigungen in Japan auftreten

  5. Google Express

    Google und Walmart gehen Shopping-Kooperation ein

  6. Firmen-Shuttle

    Apple baut autonomes Auto - aber nicht für jeden

  7. Estcoin

    Estland könnte eigene Kryptowährung erschaffen

  8. Chrome Enterprise

    Neues Abomodell soll Googles Chrome OS in Firmen etablieren

  9. Blue Byte

    Anno 1800 mit Straßenschlachten und dicker Luft

  10. aCar

    Elektrolaster für Afrika entsteht in München



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

Mitmachprojekt: HTTPS vermiest uns den Wetterbericht
Mitmachprojekt
HTTPS vermiest uns den Wetterbericht

Google Home auf Deutsch im Test: "Tut mir leid, ich verstehe das nicht"
Google Home auf Deutsch im Test
"Tut mir leid, ich verstehe das nicht"
  1. Smarter Lautsprecher Google Home erhält Bluetooth-Zuspielung und Spotify Free
  2. Kompatibilität mit Sprachassistenten Trådfri-Update kommt erst im Herbst
  3. Lautsprecher-Assistent Google Home ab 8. August 2017 in Deutschland erhältlich

  1. Re: Ich habe einen Ping von 8ms zu Google

    gaym0r | 14:05

  2. Re: Der Central Processor weist zehn CPU-Kerne

    Neutrinoseuche | 14:05

  3. Re: Sinn???

    LSBorg | 14:03

  4. Re: Modem?

    non_existent | 14:03

  5. Re: Was ist gleich noch der Nutzen von solchen Coins?

    dEEkAy | 14:02


  1. 12:45

  2. 12:30

  3. 12:05

  4. 12:00

  5. 11:52

  6. 11:27

  7. 11:03

  8. 10:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel