Android-Sicherheitslücke: PNG-Dateien gefährden Handys | handy.de
Software

Android-Sicherheitslücken: PNG-Dateien gefährden Smartphones

Google liefert Sicherheitspatch für Februar auch

Jeden Monat spendiert Google seinem mobilen Betriebssystem Android einen neuen Sicherheitspatch. Meist kommen diese in Form kleiner Updates, die vor allem Sicherheitslücken schließen sollen, die entweder neu aufgekommen sind oder schön länger bekannt sind. Dabei steht die Google-eigene Hardware immer an erster Stelle, was die Verteilung der Updates angeht. Doch auch die Android-Smartphones weiterer Hersteller erhalten die Patches. Aktuell soll mit dem Patch für Februar einige kritische Android-Sicherheitslücken geschlossen werden, mit denen PNG-Dateien Schadcodes einschleusen konnten.

Android-Sicherheitspatch von Februar 2019 schließt kritische Lücken

Neuer Monat. Neuer Sicherheitspatch. Das monatliche Sicherheits-Update für Android ist da. Google schließt mit dem Patch für Februar 2019 wieder mal einige Sicherheitslücken, von denen einige teils kritisch waren. So sorgen gleich mehrere Android-Sicherheitslücken (CVE-2019-1986, CVE-2019-1987, CVE-2019-1988), die miteinander in Verbindung stehen, dafür, dass schadhafter Code mit Hilfe der Implementierung von PNG-Bilddateien in das System eingeschleust werden kann. Dieser lässt sich dann durch erweiterte Rechte auf den Geräten der Opfer ausführen und kann so Schaden anrichten.

Doch diese Android-Sicherheitslücken sind nicht die einzigen, die durch speziell manipulierte Dateien Schadcode durchlassen. Auch die Lücken mit den Bezeichnungen CVE-2017-17760, CVE-2018-5268 und CVE-2018-5269 stellen eine Gefährdung dar. Um sie auszunutzen sind zudem nur normale Rechte notwendig. Auch hier greift der neueste Sicherheitspatch von Februar 2019. Außerdem werden Fehler im Bluetooth-Stack von Android, ein Buffer-Overflow (CVE-2019-1991) und eine Use-after-Free-Lücke (CVE-2019-1992) behoben. Zusätzlich schließt Google die Lücken CVE-2019-1993 und CVE-2019-1994, durch die es Angreifern möglich ist, sich erweiterte Rechte zu beschaffen.

Mit dem monatlichen Sicherheitspatch stellt Google den Herstellern regelmäßig ein wichtiges Update zur Verfügung. Doch nicht alle Hersteller bringen dieses Sicherheits-Update regelmäßig auf ihre Modelle, täuschen die neueste Version oftmals nur vor.

Weiterhin verweist Google wie üblich auf Sicherheitslücken in den Komponenten, die die Alphabet-Tochter von Zulieferern erhält. Im Februar-Update werden hier beispielsweise ein Fehler in der Multimedia-Hardwarebeschleunigung von Nvidia oder Fehler im Modem und dem Bootloader von Qualcomm genannt.

Google Pixel-Besitzer erhalten den Patch für Februar wie gewohnt als erstes. Danach folgt das Update auch für die Smartphones anderer Hersteller.

Quelle Golem