Nexus-Serie: Google fixt abermals Mediaserver von Android

Den ersten Patchday in diesem Jahr nutzt Google, um zwölf Schwachstellen in seinen Android-Geräten der Nexus-Reihe zu stopfen. Davon sind fünf als kritisch, zwei mit hoch und die restlichen fünf mit moderat eingestuft.

Eine kritische Lücke (CVE-2015-6636) klafft im Mediaserver. Im vergangenen Jahr sorgten in diesem Bereich die Stagefright-Lücken für Schlagzeilen. Diese Bezeichnung findet sich in Googles aktuellem Securtiy Bulletin nicht, dass Angriffsszenario ist aber nahezu identisch.

Dabei können Angreifer mittels präparierter Medien-Dateien Speicherfehler provozieren und so eigenen Code aus der Ferne ausführen. Das soll wie bei Stagefright über MMS-Nachrichten und die Medienwiedergabe im Webbrowser möglich sein. Verschafft sich ein Angreifer so Zugang zu einem Android-Gerät, hat er etwa Zugriff auf Audio- und Videofunktionen, warnt Google.

Weitere Lücken

Über die vier weiteren als kritisch eingestuften Schwachstellen können sich Angreifer höhere Nutzerrechte erschleichen und im schlimmsten Falle die Kontrolle über ein Gerät erlangen. Dafür muss ein Nutzer Google zufolge aber eine bösartige App auf dem Smarthpone oder Tablet installieren.

Über eine als hoch eingestufte Lücke sollen Angreifer in der Lage sein, Kontaktdaten via Bluetooth auszulesen. Die zweite mit hoch bewertete Schwachstelle könnten Angreifer dafür ausnutzen, um bösartigen Apps mehr Rechte zu verschaffen.

Für die Ausnutzung der als moderat eingestuften Sicherheitslücken muss der Angreifer in der Regel Zugriff auf das Gerät haben. Dann kann er etwa Nutzer- und WLAN-Informationen auslesen und einen Reboot-Loop provozieren.

Wer sichergehen will, dass alle Patches eingespielt wurden, sollte in den Geräteinformationen überprüfen, ob Build LMY49F oder später, beziehungsweise Android 6.0 Security Patch Level of January 1, 2016 installiert ist. (des)