Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (07.08.2015):
Nach wie vor sind nur wenig detaillierte Informationen zu der
Bereitstellung von Sicherheitsupdates von Seiten der Hersteller verfügbar.
Lediglich Google und Acer machen für August konkrete Ankündigungen (siehe
Information von Heise Security).
Statt der Hersteller reagieren die Mobilfunkanbieter. Die Deutsche Telekom
blockt für Ihre Mobilfunkkunden das automatische Empfangen von
Multimedia-Nachrichten und sendet statt dessen eine SMS, die über das
Vorhandensein einer MMS, die dann manuell heruntergeladen werden kann,
informiert. Die Telefonica verfolgt ein ähnliches Konzept und leitet alle
MMS, die Videos enthalten, auf ein spezielles Online-Portal um. Auch hier
wird der Benutzer über eine SMS darüber informiert. Bilder werden bei
Telefonica allerdings weiterhin direkt zugestellt.
Version 1 (28.07.2015):
Neues Advisory
Betroffene Software:
Google Android Operating System >= 2.2
Google Android Operating System < 4.1
Google Android Operating System <= 5.1
Betroffene Plattformen:
Google Android Operating System
Mehrere Schwachstellen in der Android Multimedia-Schnittstelle Stagefright
erlauben einem entfernten, nicht authentisierten Angreifer über das
Ausführen beliebigen Programmcodes mit den Rechten des Dienstes, das
Ausspähen von Informationen und in einigen Fällen sogar die Übernahme des
Systems.
Google hat die Schwachstellen bestätigt und Sicherheitsupdates erstellt,
diese müssen allerdings über die Firmeware-Hersteller zur Verfügung gestellt
werden und dies ist bisher nicht geschehen.
Die Schwachstellen existieren von Version 2.2 an bis in Android 5.1, sind
aber in Versionen vor 4.1 leichter ausnutzbar, da diese Versionen weniger
Schutzfunkionen implementiert haben als die neueren Android-Versionen.
Bisher stehen nur von der alternativen Android-Distribution CyanogenMod für
Version 12 Sicherheitsupdates zur Verfügung. Sicherheitsupdates für die
CyanogenMod Version 11 sind für Anfang August 2015 angekündigt.
Patch:
CyanogenMod Security Update
https://plus.google.com/+CyanogenMod/posts/7iuX21Tz7n8
CVE-2015-1538 CVE-2015-1539 CVE-2015-3824 CVE-2015-3826 CVE-2015-3827
CVE-2015-3828 CVE-2015-3829: Mehrere Schwachstellen in Android Stagefright
ermöglichen das Ausführen beliebigen Programmcodes
In der von Android genutzten Multimedia-Schnittstelle Stagefright existieren
mehrere auf Speicherfehlern beruhende Schwachstellen, die bei der
Verarbeitung von Videodateien der Formate MPEG4 und 3GPP auftreten.
Die Schwachstellen sind in den Android-Versionen 2.2 bis einschließlich 5.1
vorhanden, können aber insbesondere in Versionen, die älter als 4.1 sind,
einfach ausgenutzt werden.
Die von dem Sicherheitsforscher Joshua Drake entdeckten Schwachstellen
wurden von Google bestätigt und erlauben einem entfernten, nicht
authentisierten Angreifer in einigen Fällen, über das Senden einer
multimedialen Kurznachricht mit Schadcode, eine Übernahme des Systems. In
den meisten Fällen dürften die Auswirkungen geringer sein und ‘nur’ den
Zugriff auf die Mediengalerie und die Bluetooth-Schnittstelle oder das
Aufzeichnen von Audio-Mitschnitten und Videos ermöglichen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1149/
CyanogenMod Security Update :
https://plus.google.com/+CyanogenMod/posts/7iuX21Tz7n8
Heise Security: Android-Smartphones über Kurznachrichten angreifbar:
http://www.heise.de/security/meldung/Android-Smartphones-ueber-Kurznachrichten-angreifbar-2763764.html
Heise Security: Stagefright-Lücken in Android: Geräte-Hersteller lassen Nutzer
im Unklaren:
http://www.heise.de/security/meldung/Stagefright-Luecken-in-Android-Geraete-Hersteller-lassen-Nutzer-im-Unklaren-2774462.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
