Kritischer Android-Fehler führt zu ‘permanentem DoS’

Das Sicherheitsupdate vom Dezember hat kritische Denial-of-Service (DoS)- und Remote-Code-Ausführungs-Schwachstellen im Betriebssystem Android beseitigt.

Google hat ein Update veröffentlicht, das drei kritische Sicherheitslücken im Android-Betriebssystem schließt - eine davon könnte bei Ausnutzung zu einer "permanenten Dienstverweigerung" auf den betroffenen mobilen Geräten führen.

Die Sicherheitslücken sind Teil des Android Security Bulletin von Google vom Dezember 2019, das Fixes für kritische, hohe und mittlere Schwachstellen in insgesamt 15 CVEs bereitstellt. Qualcomm, dessen Chips in Android-Geräten verwendet werden, hat außerdem 22 kritische und hochgradige Schwachstellen gepatcht.

"Das gravierendste dieser Probleme ist eine kritische Sicherheitslücke in der Framework-Komponente, die es einem entfernten Angreifer, der eine speziell gestaltete Nachricht verwendet, ermöglichen könnte, einen permanenten Denial-of-Service zu verursachen", so das Google-Update vom Montag. Diese DoS-Schwachstelle, CVE-2019-2232, wurde für Geräte, die auf den Versionen 8.0, 8.1, 9 und 10 des Betriebssystems Android laufen, behoben, so Google.

Die beiden anderen kritischen Fehler (CVE-2019-2222 und CVE-2019-2223) existieren im Android Media-Framework. Dieses Framework umfasst die Unterstützung für die Wiedergabe einer Vielzahl gängiger Medientypen, so dass die Nutzer Audio, Video und Bilder problemlos nutzen können. Android-Geräte, die auf den Betriebssystemversionen 8.0, 8.1,9 und 10 laufen, wurden auf diese beiden Fehler hin untersucht, die es einem entfernten Angreifer ermöglichen könnten, mit Hilfe einer präparierten Datei Code im Rahmen eines privilegierten Prozesses auszuführen.

Ebenfalls behoben wurden drei hochgradige Fehler bei der Erhöhung von Privilegien (CVE-2019-9464, CVE-2019-2217 und CVE-2019-2218) sowie ein hochgradige Fehler bei der Offenlegung von Informationen (CVE-2019-2220) im Android-Framework. Und im Betriebssystem Android wurden sieben schwerwiegende Fehler entdeckt, darunter Schwachstellen bei der Remote-Code-Ausführung, der Erhöhung von Privilegien und der Offenlegung von Informationen.

Inzwischen wurden auch 22 CVEs - darunter drei kritische Pufferüberlauffehler - gepatcht, die mit Qualcomm-Komponenten mit geschlossenem Quellcode zusammenhängen, die in Android-Geräten verwendet werden. Die Fehler mit kritischem Schweregrad bestehen bei verschiedenen Qualcomm-Technologien, einschließlich des Multi-Mode-Callprozessors (CVE-2019-10500), der Breitband-Codemultiplexing-Mehrfachzugriffs, einer von Qualcomm entwickelten Alternative zur 2G/3G-Technologie, (CVE-2019-10525) und eines Modems (CVE-2019-2242). Schließlich hat Google Korrekturen fÃ?r verschiedene andere Komponenten von Drittanbietern in seinem Android-Ã-kosystem herausgegeben, einschließlich einer Schwachstelle mit hoher PrioritÃ?tserhöhung (CVE-2018-20961) im USB-MIDI-Klassenfunktionstreiber, der in der Android-Kernkomponente verwendet wird.

Hersteller von Android-Geräten veröffentlichen in der Regel ihre eigenen Patches, um Aktualisierungen zusammen mit oder nach dem Google Security Bulletin durchzuführen.

Samsung sagte in einer Sicherheitswartungsveröffentlichung vom Dezember, dass es mehrere der Patches für das Android-Sicherheitsbulletin veröffentlicht, einschließlich der Patches zur Behebung kritischer Fehler, CVE-2019-2232, CVE-2019-2222 und CVE-2019-2223, für die wichtigsten Samsung-Modelle. In der Zwischenzeit hat LG auch Patches für das Sicherheitsbulletin vom Dezember herausgebracht (die ebenfalls die drei kritischen Android-Fehler beheben).

Einem Bulletin zufolge ist ein Sicherheitsupdate für Pixel-Geräte, die auf Googles Android-Betriebssystem laufen, "in Kürze" geplant. Threatpost hat sich an Google gewandt, um weitere Einzelheiten zu dieser Zeitachse zu erfahren.

Das Google-Update kommt, da veraltete Android-Geräte weiterhin mit Bedrohungen konfrontiert sind, darunter eine neue Android-Schwachstelle, die diese Woche bekannt wurde, namens "StrandHogg", die es Malware ermöglichen könnte, sich als beliebte Apps auszugeben und um verschiedene Berechtigungen zu bitten, so dass Hacker möglicherweise die Nutzer belauschen, Fotos machen, SMS-Nachrichten lesen und versenden können.

In einem Sicherheitshinweis forderte das Multi-State Information Sharing and Analysis Center Android-Benutzer auf, "sofort nach entsprechenden Tests geeignete Updates von Google Android oder Mobilfunkanbietern auf anfällige Systeme anzuwenden", wie es im Security Update Bulletin heißt.