Patchday: Das Öffnen von PNG-Bildern kann Android-Geräte kompromittieren

Es gibt wichtige Sicherheitsupdates für verschiedene Android-Smartphones. Einige der Lücken gelten als kritisch.

In Pocket speichern vorlesen Druckansicht 61 Kommentare lesen
Patchday: Das Öffnen von PNG-Bildern kann Android-Geräte kompromittieren
Lesezeit: 2 Min.

Am Patchday schließt Google bei seinen noch im Support befindlichen Android-Geräten vorwiegend Sicherheitslücken, die mit dem Bedrohungsgrad "hoch" eingestuft sind. Es gibt aber auch elf kritische Schwachstellen, die Geräte besonders gefährden.

Besitzer von Nexus- und Pixel-Smartphones sollten das Update-Paket zügig installieren. Das aktuelle Patchlevel ist mit "2019-02-05" ausgezeichnet. Google versichert in einer Warnmeldung, dass sie bislang keine Angriffe auf die nun geschlossenen Lücken beobachtet haben.

Die kritischste Lücke findet sich im Framework von Android. Für einen erfolgreichen Angriff soll es ausreichen, wenn ein Opfer ein präpariertes PNG-Bild öffnet. Anschließend soll ein Angreifer Schadcode mit den Rechten des Nutzers ausführen können – in so einem Fall gilt ein Smartphone in der Regel als komplett übernommen. Weitere Details zum Angriffsszenario teilt Google derzeit nicht mit.

Android-Patchday

Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches - aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.

Des Weiteren haben die Android-Entwickler noch Schwachstellen im der Android-Bibliothek, Kernel-Komponenten und dem System geschlossen. Auch hier könnten Angreifer aus der Ferne Schadcode ausführen. Außerdem sind noch verschiedene Nvidia- und Qualcomm-Komponenten durch kritische Sicherheitslücken gefährdet.

An diesem Patchday gibt es keine speziellen Sicherheitsupdates für Geräte der Pixel-Serie. Neben Google haben noch andere Hersteller von Android-Smartphones (siehe Kasten rechts) monatliche Patchdays. Das ist vorbildlich, schließlich behandeln viele Hersteller Android-Sicherheitsupdates sehr stiefmütterlich und ein Großteil der Geräte bekommt nie Patches zu Gesicht. Doch auch Google, Samsung & Co. versorgen mit ihren Sammelupdates längst nicht alle Geräte im eigenen Portfolio. (des)