Polaris Viewer seit fast einem Jahr angreifbar
Eine lange ungepatchte Lücke sorgt dafür, dass viele Android-Geräte von Samsung durch präparierte DOCX-Dateien angreifbar sind. Der verwundbare Polaris Viewer ist auf vielen Galaxy-Geräten vorinstalliert.
- Fabian A. Scherschel
Eine fast ein Jahr alte Sicherheitslücke in der Viewer-Komponente von Polaris Office erlaubt es, eine Reihe von Samsung-Smartphones zum Ausführen von Schadcode zu bewegen. Auf Samsung-Geräten wie dem Galaxy S3 und S4, wo der Polaris Viewer vorinstalliert ist, führt das Öffnen eines speziell präparierten DOCX-Dokumentes zu einem Pufferüberlauf, den ein Angreifer dazu nutzen kann, dem Programm seinen Schadcode unterzuschieben.
MWR Labs hatte das Problem am 19. September 2012 im Rahmen des Mobile-Pwn2Own-Wettbewerbes demonstriert und die Details für den Exploit an die Zero Day Initiative (ZDI) gemeldet. ZDI wiederum kontaktierte am nächsten Tag Samsung. Das Hin und Her über die Details der Lücke versandete aber im Oktober 2012. Im März 2013 verstrich dann die übliche Deadline für die Veröffentlichung der Zero-Day-Lücke und ZDI hakte noch ein Mal nach, erhielt aber keine Antwort von Samsung. Im August erinnerten ZDI-Vertreter einen Vertreter von Samsung noch einmal persönlich im Rahmen der Defcon-Konferenz an den Polaris Zero-Day, aber auch nach dieser persönlichen Auffrischung war bei Samsung kein sonderliches Bemühen feststellbar, die Lücke zeitnah zu flicken.
Nach wie vor ist kein Patch verfügbar, der das Problem behebt. Die ZDI empfiehlt, momentan auf Samsung Galaxy S3 und S4 Geräten grundsätzlich keine Dokumente zu öffnen. Benutzer können den Polaris Viewer allerdings auch im Programm-Manager ihres Samsung-Gerätes deaktivieren. Ganz deinstallieren lässt sich die App zwar nicht, aber auf diese Weise verhindert man wenigstens, dass der Viewer automatisch DOCX-Dateien mit Schadcode öffnet. (fab)
