Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Fabian A. Scherschel 12

Alert Qualcomm-Atheros: Android-November-Update schließt kritische WLAN-Treiber-Lücken

Qualcomm-Atheros: Android-November-Update schließt kritische WLAN-Treiber-Lücken

Bild: Scotty Bauer

Im Linux-Treiber für WLAN-Chipsätze von Qualcomm-Atheros klaffen Sicherheitslücken, über die ein Angreifer das Gerät mit Hilfe von manipulierten WLAN-Paketen knacken kann. Unter anderem sind davon Android-Geräte der Nexus- und Pixel-Reihen betroffen.

Sicherheitsforscher finden immer wieder Lücken in den Treibern von WLAN-Chipsätzen, die in Android-Geräten verbaut sind. Nach mehreren solcher Schwachstellen in Broadcom-Hardware, die Anfang des Jahres öffentlich wurden, sind nun Qualcomm-Atheros-Chips an der Reihe. Der Linux-Kernel-Entwickler Scotty Bauer hat im Treiber für diese Chipsätze mehrere Lücken gefunden, über die Angreifer die Geräte mit Hilfe von manipulierten WLAN-Paketen kapern können. Ähnlich wie bei den Broadcom-Lücken muss sich der Angreifer dafür im selben WLAN wie das Opfer befinden.

Android-Sicherheits-Updates für November

Android-Patchday

Android-Patchday

Neben Google veröffentlichen von den großen Herstellern lediglich BlackBerry, LG und Samsung monatlich Sicherheitspatches – allerdings nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht. Letzteres ist leider die Regel.

Betroffen sind unter anderem Pixel und Nexus-5-Geräte von Google, aber auch eine ganze Reihe anderer Smartphones und Tablets. Die entsprechenden Chips sind darüber hinaus auch in Routern und anderen Geräten mit Linux-basiertem Betreibssystem verbaut, die unter Umständen verwundbare Kernel-Treiber verwenden.

Google hat am gestrigen Montag sein übliches monatliches Patch-Paket veröffentlicht, welches unter anderem auch die von Bauer entdeckten Lücken stopft. Diese schätzt Google als kritisch ein. Aber auch Nutzer von Geräten ohne Qualcomm-Atheros-Hardware sollten das monatliche Android-Sicherheitsupdate installieren, da es auch weitere Lücken in anderen Android-Komponenten behebt.

691.000 Zeilen löchriger Treiber-Code

Wer sich für die Spezifika der Qualcomm-Atheros-Sicherheitslücken interessiert, sollte sich die detaillierte Beschreibung Bauers zu Gemüte führen. Dieser zeigt recht anschaulich, wie er den fast 691.000 Zeilen langen Quellcode des Treibers auf Sicherheitslücken durchforstet. Nach eigenen Angaben hat er zusätzlich zu den veröffentlichten Lücken noch weitere auf Lager, die er im Dezember veröffentlichen will. Wahrscheinlich nachdem Google diese im kommenden Monats-Patch behoben hat. Die Webseite, auf denen er seine Erkenntnisse veröffentlicht, hat übrigens einen sehr unmissverständlichen Namen: pleasestopnamingvulnerabilities.com – Bauer ist demnach kein Fan davon, Sicherheitslücken mit einem einprägsamen Namen oder gar einem Logo zu versehen. (fab)

12 Kommentare

Themen:

Anzeige
  1. Broadpwn: Kritische iPhone-WLAN-Schwachstelle gestopft

    iPhone 7

    Kurz bevor Details zu einer Sicherheitslücke in Broadcom-Chips veröffentlicht werden, hat Apple das Problem in iOS und macOS ausgeräumt – zwei Wochen nach Googles Android. Die Lücke erlaubt die Kaperung von Geräten per WLAN.

  2. iPhone 7: Exploit für kritische WLAN-Lücke veröffentlicht

    IPhone7-Präsentation

    Die Schwachstelle in der Firmware eines weit verbreiteten Broadcom-Chipsatzes ermöglicht einem Angreifer, die Kontrolle über den WLAN-Chip des iPhone 7 zu übernehmen. In iOS-Versionen bis hin zu 10.3.3 bleibt die Lücke bislang ungeschlossen.

  3. Android-Patchday: Google kriegt den Media Player einfach nicht abgesichert

    Android-Patchday: Google kriegt den Media Player einfach nicht abgesichert

    Google stopft mehr als ein Dutzend als kritisch eingestufte Sicherheitslücken. Updates stehen für verschiedene Nexus- und Pixel-Geräte bereit.

  4. Patchday: Google verarztet Android und stopft 102 Sicherheitslücken

    Patchday: Google verarztet Android und stopft 102 Sicherheitslücken

    Mit dem aktuellen Patchpaket für seine Nexus- und Pixel-Geräte schließt Google unter anderem mehr als ein Dutzend als kritisch eingestufte Schwachstellen. Besitzer von Geräten anderer Hersteller müssen wie gewohnt warten.

  1. Die Neuerungen von Linux 4.9

    Linux-Kernel 4.9

    Das XFS-Dateisystem kann jetzt doppelt gespeicherte Daten zusammenführen und große Dateien in Sekundenbruchteilen kopieren. Linux 4.9 verbessert zudem die Sicherheit. Neue Möglichkeiten zur Performance-Analyse erleichtern System- und Programmoptimierung.

  2. Die Neuerungen von Linux 4.5

    Die Neuerungen von Linux 4.5

    Einige aktuelle Radeon-Grafikkarten können mit dem neuen Linux-Kernel deutlich mehr 3D-Performance liefern. Die neue Version unterstützt den Raspberry Pi besser und schützt vor Hardware-Defekten durch unbedachte Löschbefehle. Eine ganze Latte neuer und weiterentwickelter Treiber verbessert die Hardware-Unterstützung.

  3. IEEE-News: 10-GBit-WLAN, Light Communication, Ethernet im Auto

    IEEE-News: 10-GBit-WLAN, Light Communication, Ethernet im Auto

    Die IEEE treibt eine enorme Menge an Spezifikationen voran: Das 10-GBit-WLAN könnte schon Ende 2018 auf den Markt kommen. Messungen zeigen, wie gut Ethernet eigentlich ins Auto passen würde.

  1. Hessen baut Videoüberwachung aus

    Ãœberwachung, Kamera

    Videoüberwachung gilt bei Politikern und Polizei als wirksames Mittel gegen Verbrechen. Daher wächst die Zahl der Kameras in Hessen. Für Datenschützer wird oft zu leichtfertig darüber entschieden.

  2. Zweibeiniger Roboter Atlas schafft Salto rückwärts

    Mann schmeißt Atlas um

    Eine neue Version des aufrecht gehenden Roboters Atlas zeigt akrobatische Talente: Kisten sind kein Hindernis mehr, und sogar ein Salto aus dem Stand gelingt – meistens jedenfalls.

  3. Verhandlungen über Killerroboter in Genf

    Verhandlungen über Killerroboter in Genf

    Am Sitz der Vereinten Nationen in Genf wurde diese Woche ein Thema diskutiert, das sich für große Teile der Öffentlichkeit nach wie vor wie Science-Fiction anhört: tödliche autonome Waffensysteme oder Killerroboter.

  4. "Blaue Briefe" von der Landesmedienanstalt NRW

    "Blaue Briefe" von der Landesmedienanstalt NRW

    Auch Letsplay-Kanäle mit wenigen hundert Zuschauern geraten inzwischen ins Visier der Landesmedienanstalten. Von Annäherung zwischen Anbietern und Behörden oder gar der Abschaffung überholter Regelungen kann offenbar keine Rede sein.

Anzeige