Android-Patches reparieren Drammer RAM-Angriff, aber nicht Dirty Cow Exploit

Android-Patches reparieren Drammer RAM-Angriff, aber nicht Dirty Cow Exploit

Google veröffentlicht eine neue monatliche Charge von Sicherheits-Patches für Android und fixiert ein Dutzend kritische Sicherheitslücken, die es Angreifern ermöglichen könnten, Geräte zu gefährden. Eines der gemilderten Probleme ist ein Bit-Flipping-Angriff gegen Speicherchips, der zu einer Privileg-Eskalation führen könnte, aber eine weit verbreitete Verwurzelungs-Anfälligkeit im Linux-Kernel bleibt ungepatcht.

Während Google am ersten Montag eines Monats Firmware-Updates für seine Nexus- und Pixel-Geräte freigibt, werden die Sicherheitspatches einen Monat im Voraus mit Geräten von Drittanbietern geteilt und werden später auch zu Android Open hinzugefügt Source-Projekt, um das gesamte Ökosystem zu nutzen.

Wie es in den letzten Monaten geschehen ist, hat Google die Sicherheitslücken dieses Monats in mehrere „Sicherheits-Patch-Levels“ aufgeteilt, um es Herstellern einfacher zu machen, nur Fixes für bestimmte Geräte bereitzustellen. Die Sicherheitspatch-Ebene ist eine Datumszeile, die in den Android-Einstellungen unter „Über das Telefon“ angezeigt wird, und zeigt an, dass die Firmware alle Android-Sicherheits-Patches bis zu diesem Datum enthält.

[Beste Bluetooth-Lautsprecher: Wir helfen Ihnen, die besten drahtlosen Lautsprecher für das Pairing mit Ihrem Smartphone oder Tablet zu finden – was auch immer Ihr Budget und was Musik Ihr Boot schwimmt Neue Patch-Ebene 2016-11-01 enthält Korrekturen für Fehler in Android eigenen Komponenten. Es behandelt zwei kritische Schwachstellen, 16 Hochrisiko-Fehler und 10 Mittel-Risiken.

Einer der kritischen Fehler liegt in der Mediaserver-Komponente, die im letzten Jahr eine der Hauptursachen für schwere Android-Schwachstellen war. Der Fehler kann ausgenutzt werden, indem Benutzer zum Herunterladen oder Öffnen einer speziell gestalteten Mediendatei ausgelöst werden.

Der zweite kritische Fehler befindet sich in der libzipfile-Bibliothek und könnte schädliche Anwendungen zum Ausführen von Code im Rahmen eines privilegierten Prozesses ermöglichen. Dies kann zu einem kompletten Kompromitt führen, der das Reflashing des Betriebssystems erforderlich macht.

Die zweite Patch-Ebene ist 2016-11-05 und beinhaltet in erster Linie Fixes für Schwachstellen in Kernel-Treibern für verschiedene Hardware-Komponenten. Diese Stufe umfasst 21 kritische Schwachstellen, 23 risikobehaftete und 10 mit moderater Auswirkung. Die kritischen Fehler befinden sich im Kernel-Dateisystem, im SCSI-Treiber, im Medientreiber, im USB-Treiber, im ION-Subsystem, im Netzwerksubsystem und im Sound-Subsystem sowie im Nvidia-GPU-Treiber und im Qualcomm-Kryptotreiber, dem Bootloader Und andere Komponenten.

Einer der Patches für den ION-Speicherzuweiser soll einen physischen Angriff gegen DRAM-Chips (Dynamic Random Access Memory) verhindern, die von Anwendungen genutzt werden könnten, um auf einem Gerät Root-Zugriff zu erhalten. Der Angriff wird als Drammer bezeichnet und wurde von Forschern der Vrije Universiteit Amsterdam in den Niederlanden, der Technischen Universität Graz in Österreich und der Universität von Kalifornien in Santa Barbara entwickelt.

Die dritte Patch-Ebene ist 2016-11-06 und deckt eine Privileg-Eskalations-Schwachstelle im Speichersubsystem des Linux-Kernels ab, die vor wenigen Wochen bekannt wurde. Der Fehler, den die Sicherheitsgemeinschaft Dirty COW (copy-on-write) in den vergangenen neun Jahren im Linux-Kernel geschrieben hat, wird bereits in der Wildnis ausgebeutet.

Google hat diese Sicherheitsanfälligkeit in seinen Nexus- und Pixel-Geräten noch nicht gepatcht und wird es wahrscheinlich nächsten Monat tun. Jedoch können Gerätehersteller den Fehler durch den Import des Upstream-Fixes beheben, der in den Linux-Kernelversionen 3.10 und 3.18 enthalten war. Der Fehler wurde offenbart, nachdem die Patch-Levels dieses Monats bereits definiert waren, weshalb Google sich auf das Patch-Level von 2016-11-06 als „ergänzend“ bezieht.

q , q

Zusammenhängende Posts:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.