Prekäre Stagefright-Lücke entdeckt - schon wieder!

Joshua Drake, der Vizepräsident des Unternehmens Zimperium, hat auf der Website des Unternehmens vor weiteren, äusserst heiklen Sicherheitslücken bei Android gewarnt. Betroffen von dieser Lücke seien alle Android-Versionen - also seit 1.0. hnlich wie bei der ersten Lcke, genannt CVE-2015-6602, kann mittels verseuchter MP3- und MP4-Files spezieller Code auf die Geräte geladen und ausgeführt werden. So kann das Gerät beispielsweise verwanzt werden. Die bereits bekannte Lücke, welche noch immer nicht von allen Herstellern behoben wurde, befindet sich in der Systembibliothek «libutils». Dies ist deshalb besonders kritisch, weil viele Bereiche und Prozesse der Android-Geräte auf diese zugreifen. So können Folgeprobleme auftauchen. Die neu entdeckte Schwachstelle findet sich in der Bibliothek «libstagefright» und betrifft somit den Code innerhalb des Media-Servers von Android. Durch diese Lücke können Angreifer auch Geräte attackieren, welche bereits unter «Marshmallow» laufen. Hilfe kommt in den kommenden Wochen - vielleicht Laut Zimperium hat Google Patches für die beiden Lücken versprochen. Dies tat Google aber bereits früher, worauf man zu teilen immer noch wartet. Telkos wie Sunrise oder Swisscom haben bereits vor den Problemen gewarnt, können aber auch keine Lösung bieten. Selbst wenn Google ein Patch liefert, ist es immer noch unklar, wann die einzelnen Hersteller reagieren.