Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.684.054 Produkten

Jörg Wirtgen 96

Android: Google-Sicherheitspatch vom September stopft erneute Stagefright-Lücke

Android: Google-Sicherheitspatch vom September stopft erneute Stagefright-Lücke

Bild: dpa, Britta Pedersen/Archiv

Google behebt im Security Bulletin vom September mehrere Fehler in Android, darunter eine vom eigenen Team Zero gefundene Erweiterung des Stagefright-Bugs. Der Patch ist an die Hersteller ausgeliefert, einige haben schon Updates bereitgestellt.

Nachdem in Googles monatlichen Sicherheitspatches für Android eine Zeitlang nicht mehr von letztjährigen Bösewicht Stagefright die Rede war, taucht er im September-Update wieder auf: Die Sicherheitsforscher von Googles eigenem Project Zero haben eine neue Möglichkeit gefunden, über den Android-Mediaserver eine Lücke auszunutzen, und zwar diesmal in der Bibliothek libutils (CVE-2016-3861 und -3862). Den Fix liefern sie gleich mit, Google verteilt ihn an die eigenen Nexus-Geräte und an die Hersteller anderer Android-Geräte.

Anzeige

Diesmal besteht das Update aus drei Stufen: Seit Juli verteilt Google es zweistufig, wobei die erste Stufe von den Herstellern schnell zu implementieren ist und die zweite etwas mehr Zeit benötigt, etwa weil sie Bugfixes in Treibern oder in von Herstellern häufig geänderten Code-Abschnitten enthält. Die dritte Stufe enthält nun die Fixes für zwei Bugs, die Hersteller an Google zurück gemeldet haben, nachdem sie die ersten beiden Security-Updates erhalten haben.

Ob und wann die Sicherheits-Updates die Geräte anderer Hersteller erreichen, ist unklar. Einige wie Blackberry spielen sie sehr schnell aus, auch Samsung hat beispielsweise fürs zwei Jahre alte Note 4 schon zumindest die erste der drei Stufen ausgeliefert und damit die neuen Stagefright-Lücke geschlossen.

Eine Möglichkeit, diese Updates direkt ohne Mitarbeit der Hersteller oder manchmal sogar Provider einzuspielen, besteht derzeit nicht, auch Android 7 löst das Problem nicht. Google versucht zwar, immer mehr Dienste in eigene Apps oder in Libraries auszulagern, die per Play Store schnell Updates erhalten, aber tiefer sitzende Bugs erfordern weiterhin Firmware-Updates der Hersteller. (jow)

96 Kommentare

Themen:

Anzeige
  1. Dezember-Patches für Android schützen Pixel- und Nexus-Geräte vor KRACK

    Android

    Wie jeden Monat schließt Google auch im Dezember eine ganze Reihe von Android-Lücken – und unterbindet damit unter anderem die Remote Code Execution. Außerdem sichert das Unternehmen seine Smartphones endlich gegen den KRACK-Angriff auf WPA2 ab.

  2. Google veröffentlicht Riesen-Patch-Paket für Android

    Blaue Androiden

    94 einzelne Lücken, 10 kritische Sicherheitsprobleme; Googles Android Security Bulletin für den Januar hat es in sich.

  3. Patchday: Fehlerbereinigte Android-Versionen für Nexus, Pixel & Co. veröffentlicht

    Patchday: Fehlerbereinigte Android-Versionen für Nexus, Pixel & Co. veröffentlicht

    Google hat mehrere Sicherheitslücken in Android gestopft – darunter auch kritische. Wer ein Google-Gerät besitzt, sollte es zügig aktualisieren. Auch Besitzer von Geräten anderer Hersteller sollten prüfen, ob es eine Aktualisierung gibt.

  4. Android-Verbreitung: Nougat verdoppelt, aber weiter kleiner Anteil

    Android-Verbreitung: Nougat verdoppelt, aber weiter kleiner Anteil

    Android 7 läuft nun auf 2,8 statt 1,2 Prozent der Geräte, und der Anteil von Android 4 sinkt auf unter ein Drittel - das ergibt Googles monatliche Statistik der Versionsverteilung.

  1. Android Nougat: Funktionen, Veröffentlichung, Preview-Versionen

    Android Nougat: Funktionen, Veröffentlichung, Preview-Versionen

    Die nächste Android-Version heißt Android Nougat und kommt im Herbst 2016. Welche Funktionen Google in Android ändert, kann man zum großen Teil jetzt schon sehen: dank der Developer-Preview-Versionen von Android N.

  2. Brauche ich einen Virenscanner für mein Android-Smartphone?

    Immer wieder liest man von Android-Viren, die Smartphones und Tablets befallen. Wir verraten dir, ob du einen Virenscanner für Android brauchst.

  3. Vom Leben und Sterben der 0days

    Vom Leben und Sterben der 0days

    Viele diskutieren über Zero-Day-Exploits, doch die wenigsten haben je ein lebendiges Exemplar gesehen. Zwei interessante Studien bringen überraschende Erkenntnisse zur Lebenserwartung dieser gefährlichen Spezies.

  1. Ein zweites Video zeigt die ganze Hinrichtung Saddams

    "See how Saddam Hussein was executed. He is peeing in his pants."

  2. Fahrbericht: Ford Expedition 2018

    Ford Expedition

    In den USA herrschen, was die richtige Fahrzeuggröße angeht, vielfach andere Vorstellungen als in Europa. Ein Ausflug mit dem für europäische Verhältnisse riesigen, auf dem US-Markt recht populären Ford Expedition 2018 zeigt dies eindrücklich

  3. Missing Link: Von Maschinenethik und vom Datenschatz der Therapie- und Pflegeroboter

    Missing Link: Von Maschinenethik und Datenschatz der Therapie- und Pflegeroboter

    "Wie groß wäre das Interesse an den Daten von Michael Schumacher!" Roboter in Pflege und Therapie stellen uns vor ganz neue Probleme, was die Ethik im Robotereinsatz und den Datenschutz angeht, meint der Wirtschaftsinformatiker und Ethiker Oliver Bendel.

  4. Plagiats-Jägerin: Kaum Fortschritte im Kampf gegen Ideen-Klau bei Doktorarbeiten

    Schavan

    Weil die frühere Bildungsministerin Annette Schavan in ihrer Doktorarbeit plagiiert hat, trat sie vor fünf Jahren zurück. Was hat sich seitdem an den Unis getan?

Anzeige