Google behebt weitere gravierende Schwachstellen im Android-Mediaserver

Google hat zum wiederholten Male schwerwiegende Schwachstellen in der Mediaserver-Komponente von Android beseitigt. Insgesamt handelt es sich um sieben gravierende Sicherheitslücken. Laut einer Sicherheitsmeldung ist ein Angreifer mithilfe manipulierter Mediendateien in der Lage, Speicherfehler zu verursachen und aus der Ferne Schadcode einzuschleusen und auszuführen. Die bedrohlichen Dateien lassen sich wiederum entweder über MMS-Nachrichten oder beim Besuch einer Website auf ein Android-Gerät schmuggeln.

Drei der sieben Schachstellen finden sich in den Android-Versionen 4.4.4 KitKat, Android 5.x Lollipop und Android 6.x Marshmallow. Vier Schwachstellen im Mediaserver stecken derweil in der aktuellsten Android-Ausgabe. Google verweist darauf, dass der Mediaserver Rechte besitzt, die Apps von Drittanbietern für gewöhnlich nicht erlangen.

Googles April-Patchday liefert Fehlerkorrekturen für 39 Schwachstellen. Die finden sich unter anderem wiederum in den Komponenten DHCP, Media Codec, Kernel, IMemory Native Interface, Download Manager, Recovery Procedure, Bluetooth, System-Server, Exchange ActiveSync, Setup Wizard und WLAN. Einige Fehler betreffen jedoch nur Geräte mit bestimmter Hardware von Qualcomm oder Texas Instruments. Die Mail-Anwendung des Android Open Source Project enthüllt unter Umständen zudem persönliche Daten.

Gefunden wurden die Schwachstellen unter anderem von Mitarbeitern des Google Chrome Security Team, des Google Project Zero und des Google Telecom Team. Viele Fehler wurden aber auch durch externe Sicherheitsforscher aufgedeckt, unter anderem von Firmen wie Alibaba, Trend Micro, Qualcomm, MWR Labs, Qihoo 360, Census und Vertu.

Aktuelle Factory Images für die Nexus-Geräte liefert Google ab sofort über seine Entwickler-Site aus. Sie stehen für Android 5.1 und Android 6.0 zum Download bereit. Die OTA-Updates folgen in den nächsten Tagen. Unter Einstellungen – Über das Telefon/Tablet – können Nutzer überprüfen, ob sie das Update bereits bekommen haben. Dort sollte bei Android 6 Marshmallow zumindest die Android-Sicherheitspatch-Ebene 2. April 2016 angezeigt werden.

Wer nicht auf das OTA-Update warten möchte, sollte beachten, dass durch die Installation eines Factory Images in der Regel alle auf dem Gerät gespeicherten Daten verloren gehen. Nutzer sollten zuvor also unbedingt ihre persönlichen Daten wie Fotos und Downloads sichern. Ein Artikel der ITespresso-Schwestersite ZDNet „Nexus 4, 5 und 7: Android 5.0 Lollipop installieren“ liefert eine detaillierte Anleitung, die sich auch für Android 6.0.1 anwenden lässt. Sie beschreibt die Installation eines Factory Image mit Hilfe des Skripts Flash-all.bat. Wer die von Google veröffentlichten Systemabbilder verwendet, erhält übrigens auch künftig OTA-Updates auf neue Versionen.

Unklar ist wie immer, wann auch andere Hersteller ihre Geräte aktualisieren werden. Neben Google haben sich auch LG und Samsung verpflichtet, einmal im Monat Sicherheitsaktualisierungen verfügbar zu machen. Samsung beschränkt sich dabei jedoch auf wenige Spitzenmodelle. Zudem verweist es darauf, dass es je nach Modell und Region zu Verzögerungen kommen kann. Überdies steht zumindest laut Samsung-Website immer noch das März-Sicherheitsupdate aus.

Für die neuen Top-Modelle hat Samsung allerdings ein Enterprise Device Program eingeführt, in dessen Rahmen es Unternehmen ab sofort eine zweijährige Warenverfügbarkeit sowie üblicherweise monatliche Sicherheitsupdates garantiert. Dieses Programm soll auch auf zukünftige Business-Smartphones ausgeweitet werden.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de