Google und CyanogenMod stopfen Stagefright-2.0-Lücke
Google stellt für seine Nexus-Geräte Updates gegen die neuen Stagefright-Lücken bereit. Wer ein Android-Gerät eines anderen Herstellers besitzt, kann bei CyanogenMod Schutz finden.
Google hat für seine Nexus-Geräte ein Update veröffentlicht, das laut Googles Nexus Security Bulletin die kürzlich entdeckten Stagefright-2.0-Lücken stopfen soll. Über die Schwachstellen können Angreifer mittels speziell präparierter MP3- und MP4-Dateien eigenen Code ausführen und so beispielsweise Smartphones in Wanzen verwandeln. Dabei gibt es zahlreiche Wege, die präparierten Multimedia-Dateien auf das Gerät zu bringen – MMS sind nur eine davon.
Die Korrekturen für die Nexus-Geräte werden über den normalen Update-Mechanismus ausgeliefert. Auf Googles Entwickler-Site stehen zudem aktualisierte Images zum Download bereit. Versionen von Android 5.1.1 ab Build LMY48T sind laut Google korrigiert. Auch in den gestern veröffentlichten ersten Images von Android M Marshmallow sollen die Lücken gestopft sein.
Die Entwickler des populären Custom ROM CyanogenMod haben die Korrekturen bereits in ihre Code-Basis integriert. In ihrem Android Security Bulletin schreiben sie, dass die Stagefright-2.0-Lücken in Nightly Builds ab dem 5. Oktober gestopft sein sollen. Noch diese Woche wollen die CM-Macher ein Update für die stabile CM-Version veröffentlichen, das über den CyanogenMod-Updater angeboten wird.
Wann die anderen Hersteller von Android-Smartphones die Patches in ihre Android-Versionen integrieren und Updates bereitstellen, ist nicht bekannt. Bislang haben viele Geräte nicht mal Hersteller-Updates mit Patches für die alten Stagefright-Lücken erhalten.
Siehe dazu auch:
- Rooten gefährdet Ihre Gesundheit?, Editorial c't 19/15
(odi)
