Original-URL des Artikels: https://www.golem.de/news/sicherheitspatches-android-laesst-sich-per-png-datei-uebernehmen-1902-139277.html    Veröffentlicht: 08.02.2019 13:00    Kurz-URL: https://glm.io/139277

Sicherheitspatches

Android lässt sich per PNG-Datei übernehmen

Mit dem aktuellen Februar-Update für Android schließt Google eine Sicherheitslücke, durch die Schadcode über eine PNG-Datei eingeschleust werden kann. Das Team hat außerdem weitere kritische Sicherheitslücken behoben.

Google hat mit dem monatlichen Update für den Februar 2019 mehrere teils kritische Sicherheitslücken in seinem Android-Betriebssystem geschlossen. Gleich mehrere miteinander in Verbindung stehende Sicherheitslücken (CVE-2019-1986, CVE-2019-1987, CVE-2019-1988) in der Implementierung des PNG-Formats im Android-Framework ermöglichen es Angreifern, durch das Einschleusen einer speziell manipulierten Datei Schadcode mit erweiterten Rechten auf den Geräten der Opfer auszuführen.

Ebenfalls zum Ausführen von Schadcode eignen sich Lücken (CVE-2017-17760, CVE-2018-5268, CVE-2018-5269) in einem noch nicht näher spezifizierten Teil der Android-Library. Hierzu ist ebenso eine speziell manipulierte Datei notwendig. Die Schadcode lässt sich aber nur mit normalen Rechten ausführen. Zwei weitere Fehler im Bluetooth-Stack von Android, ein Buffer-Overflow (CVE-2019-1991) und eine Use-after-Free-Lücke (CVE-2019-1992) ermöglichen darüber hinaus auch das Ausführen von Schadcode mit erweiterten Rechten.

Weitere Fehler im Android-System (CVE-2019-1993, CVE-2019-1994) machen es Angreifern möglich, sich erweitere Rechte zu beschaffen. Letzteres ist außerdem auch über Fehler im Binder-Driver (CVE-2019-1999, CVE-2019-2000) des Linux-Kernels in Android möglich. Auch mit einem Fehler im Ext4-Treiber (CVE-2018-10879) lassen sich erweiterte Rechte erlangen.

Wie üblich verweist Google auch auf Sicherheitslücken in den Komponenten seiner Zulieferer. Dazu gehören im Februar-Update unter anderem Fehler in der Multimedia-Hardwarebeschleunigung von Nvidia oder Fehler im Modem und dem Bootloader von Qualcomm. Weitere teils kritische Sicherheitslücken finden sich in den proprietären Bestandteilen von Qualcomms Code. Wie üblich verteilt Google das Update bereits für seine Pixel-Geräte. Die Updates für andere Geräte sollten folgen.  (sg)


Verwandte Artikel:
Smartphone: LG G8 Thinq kommt mit ToF-Frontkamera   
(07.02.2019, https://glm.io/139248 )
Android-Updates: Krack-Patches für Android, aber nicht für Pixel-Telefone   
(13.11.2017, https://glm.io/131117 )
Android-Smartphone: 10 Jahre in die Vergangenheit in 5 Tagen   
(01.02.2019, https://glm.io/139040 )
Kilswitch und Apass: US-Soldaten nutzten Apps mit fatalen Sicherheitslücken   
(25.12.2018, https://glm.io/138396 )
Autonomes Fahren: Allianz Renault-Nissan-Mitsubishi will mit Waymo kooperieren   
(06.02.2019, https://glm.io/139229 )

© 1997–2019 Golem.de, https://www.golem.de/