Patchday: Das Öffnen von PNG-Bildern kann Android-Geräte kompromittieren
Es gibt wichtige Sicherheitsupdates für verschiedene Android-Smartphones. Einige der Lücken gelten als kritisch.
Am Patchday schließt Google bei seinen noch im Support befindlichen Android-Geräten vorwiegend Sicherheitslücken, die mit dem Bedrohungsgrad "hoch" eingestuft sind. Es gibt aber auch elf kritische Schwachstellen, die Geräte besonders gefährden.
Besitzer von Nexus- und Pixel-Smartphones sollten das Update-Paket zügig installieren. Das aktuelle Patchlevel ist mit "2019-02-05" ausgezeichnet. Google versichert in einer Warnmeldung, dass sie bislang keine Angriffe auf die nun geschlossenen Lücken beobachtet haben.
Böses PNG-Bild
Die kritischste Lücke findet sich im Framework von Android. Für einen erfolgreichen Angriff soll es ausreichen, wenn ein Opfer ein präpariertes PNG-Bild öffnet. Anschließend soll ein Angreifer Schadcode mit den Rechten des Nutzers ausführen können – in so einem Fall gilt ein Smartphone in der Regel als komplett übernommen. Weitere Details zum Angriffsszenario teilt Google derzeit nicht mit.
Des Weiteren haben die Android-Entwickler noch Schwachstellen im der Android-Bibliothek, Kernel-Komponenten und dem System geschlossen. Auch hier könnten Angreifer aus der Ferne Schadcode ausführen. Außerdem sind noch verschiedene Nvidia- und Qualcomm-Komponenten durch kritische Sicherheitslücken gefährdet.
An diesem Patchday gibt es keine speziellen Sicherheitsupdates für Geräte der Pixel-Serie. Neben Google haben noch andere Hersteller von Android-Smartphones (siehe Kasten rechts) monatliche Patchdays. Das ist vorbildlich, schließlich behandeln viele Hersteller Android-Sicherheitsupdates sehr stiefmütterlich und ein Großteil der Geräte bekommt nie Patches zu Gesicht. Doch auch Google, Samsung & Co. versorgen mit ihren Sammelupdates längst nicht alle Geräte im eigenen Portfolio. (des)
