Android-Mediaserver: Google beseitigt erneut kritische Schwachstellen

Android (Bild: Google)

Google hat erneut sieben kritische Sicherheitslücken in der Mediaserver-Komponente seines Mobilbetriebssystems Android geschlossen. Die Lücken betreffen die Versionen 4.4.4 KitKat bis 6.x Marshmallow und erlauben teilweise das Einschleusen und Ausführen von Schadcode aus der Ferne.

Ein Angreifer kann einer Sicherheitsmeldung zufolge mithilfe speziell gestalteter Mediendateien Speicherfehler auslösen und aus der Ferne Schadcode einschleusen und ausführen. Die gefährlichen Dateien können wiederum über MMS-Nachrichten oder beim Besuch einer Website auf ein Android-Gerät gelangen.

Von den sieben Schwachstellen stecken drei in Android 4.4.4 KitKat, Android 5.x Lollipop und Android 6.x Marshmallow. Vier Anfälligkeiten im Mediaserver betreffen indes nur die jüngste Android-Version. Google weist darauf hin, dass der Mediaserver über Rechte verfügt, die Apps von Drittanbietern normalerweise nicht erhalten.

Googles April-Patchday bringt insgesamt Fixes für 39 Anfälligkeiten, die unter anderem in den Komponenten DHCP, Media Codec, Kernel, IMemory Nativ Interface, Download Manager, Recovery Procedure, Bluetooth, System-Server, Exchange ActiveSync, Setup Wizard und WLAN stecken. Einige Fehler betreffen indes nur Geräte mit bestimmter Hardware von Qualcomm oder Texas Instruments. Die Mail-Anwendung des Android Open Source Project gibt zudem unter Umständen persönliche Informationen preis.

Die Schwachstellen wurden unter anderem von Mitarbeitern des Google Chrome Security Team, des Google Project Zero und des Google Telecom Team gefunden. Viele Fehler wurden aber auch durch externe Sicherheitsforscher aufgedeckt, unter anderem von Firmen wie Alibaba, Trend Micro, Qualcomm, MWR Labs, Qihoo 360, Census und Vertu.

Google verteilt aktuelle Factory Images für die Nexus-Geräte ab sofort über seine Entwickler-Site. Sie stehen für Android 5.1 und Android 6.0 zum Download bereit. Die OTA-Updates folgen in den kommenden Tagen. Unter Einstellungen – Über das Telefon/Tablet können Nutzer überprüfen, ob sie das Update bereits erhalten haben. Dort sollte bei Android 6 Marshmallow mindestens die Android-Sicherheitspatch-Ebene 2. Arpil 2016 angezeigt werden.

Wer nicht auf das OTA-Update warten möchte, sollte beachten, dass durch die Installation eines Factory Images in der Regel alle auf dem Gerät gespeicherten Daten verloren gehen. Nutzer sollten zuvor also unbedingt ihre persönlichen Daten wie Fotos und Downloads sichern. Der Artikel “Nexus 4, 5 und 7: Android 5.0 Lollipop installieren” unserer Schwesterseite ZDNet.de liefert eine detaillierte Anleitung, die sich auch für Android 6.0.1 anwenden lässt. Sie beschreibt die Installation eines Factory Image mit Hilfe des Skripts Flash-all.bat. Wer die von Google veröffentlichten Systemabbilder verwendet, erhält übrigens auch künftig OTA-Updates auf neue Versionen.

Unklar ist wie immer, wann auch andere Hersteller ihre Geräte aktualisieren werden. Neben Google haben sich auch LG und Samsung verpflichtet, einmal im Monat Sicherheitsupdates bereitzustellen. Samsung beschränkt sich dabei allerdings auf wenige Flaggschiff-Modelle. Zudem weist es darauf hin, dass es je nach Modell und Region zu Verzögerungen kommen kann. Derzeit steht zumindest laut Samsung-Website sogar noch das März-Sicherheitsupdate aus.

Für die neuen Flaggschiff-Modelle hat Samsung allerdings ein Enterprise Device Program gestartet, in dessen Rahmen es Unternehmen ab sofort eine zweijährige Warenverfügbarkeit sowie üblicherweise monatliche Sicherheitsupdates garantiert. Dieses Programm soll auch auf zukünftige Business-Smartphones ausgedehnt werden.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de