Android Security Update mit Fix für Stagefright-Schwachstelle

Originalbeitrag von Seven Shen, Mobile Threats Analyst

Die Entdeckung der ersten Stagefright-Schwachstelle im Juli entpuppt sich als Anfang vieler Sicherheitsprobleme für Android-Nutzer. Das neueste Nexus Security Bulletin von Anfang dieses Monats umfasst Updates für 15 Sicherheitslücken im Zusammenhang mit libstagefright, und alle werden als kritisch eingestuft. Trend Micro hat vier der erwähnten Sicherheitslücken entdeckt, die alle Lollipop 5.1 und früher betreffen:

  • CVE-2015-3823
  • CVE-2015-6600
  • CVE-2015-3871
  • CVE-2015-3872

CVE-2015-3823

Diese Sicherheitslücke erlaubt es Angreifern Denial of Service (DoS)-Angriffe auf Androids Mediaserver-Programm zu führen. Dabei wird das System des Geräts so lange immer wieder hochgefahren, bis der Akku leer ist. Dieser Fehler ist ein Integer-Overflow in Matroska (MKV) File Parsing. Zuerste wurde der Fehler als moderat eingestuft, doch dann wechselte Google zu kritisch.

CVE-2015-6600

Der Fehler steht im Zusammenhang mit MP4 File Parsing. Genauer gesagt, es fehlt ein Bound Checking beim Umgang mit der “stsz/stz2”-Box während einer MP4 Dateiextraktion. Weitere Einzelheiten im Originalbeitrag.

CVE-2015-3871

Diese Sicherheitslücke steht ebenfalls in Zusammenhang mit MP4 File Parsing. Der Fehler kann zu einer Beschädigung der Memory führen. Einzelheiten liefert der Originalbeitrag.

CVE-2015-3872

Dieser Fehler liegt im Handling des Real Time Streaming Protocol (RTSP ) Media Buffer Frames. Er kann bei Missbrauch zur Ausführung beliebigen Codes führen. Einzelheiten liefert der Originalbeitrag.

Schutz für Android-Geräte

Anwender sind gut beraten, sofort die Updates auf ihre Android-Geräte aufzuspielen. Die Veröffentlichung der Updates für andere als Nexus-Geräte hängt von den Herstellern und Carriern ab.

Auch empfiehlt es sich, Sicherheitslösungen wie Trend Micro Mobile Security (TMMS) zu installieren, die Bedrohungen erkennen, die diese Sicherheitslücken ausnützen wollen.

Daten der Veröffentlichung

CVE-2015-3823

  • 29. Mai 2015: Sicherheitslücke an Google gemeldet.
  • 5. Oktober 2015: Google veröffentlicht die Sicherheitslücke.

CVE-2015-6600

  • 31. Juli 2015: Sicherheitslücke an Google gemeldet.
  • 12. August 2015: Google bestätigt und akzeptiert die Veröffentlichung.
  • 5. Oktober 2015: Google veröffentlicht die Sicherheitslücke.

CVE-2015-3871

  • 6. August 2015: Sicherheitslücke an Google gemeldet.
  • 5. Oktober 2015: Google veröffentlicht die Sicherheitslücke.

CVE-2015-3872

  • 19. August 2015: Sicherheitslücke an Google gemeldet.
  • 5. Oktober 2015: Google veröffentlicht die Sicherheitslücke.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*