Android: Jänner-Update beseitigt seit Jahren bekannte, schwere Sicherheitslücke (06. Januar 2021/17:40) Gleich mehrere Lücken ausgeräumt, über die aus der Ferne Schadcode ausgeführt werden konnte - Bug in Libexif wurde bereits 2016 erstmals gemeldet Das Android-Jahr beginnt mit einem Schwall an Sicherheitsaktualisierungen: Mit dem Security Bulletin für Jänner 2021 räumt Google dieses Mal eine ungewöhnlich große Zahl an Lücken aus. Und eine davon kann durchaus Kopfzerbrechen bereiten, war sie doch seit Jahren öffentlich bekannt, wird aber erst jetzt offiziell ausgeräumt. Konkret geht es dabei um eine Sicherheitslücke im Media Framework von Android, über die sich von außen - etwa über eine manipulierte Webseite - Schadcode einschmuggeln und zur Ausführung bringen lässt. Theoretisch könnte ein Angreifer damit auch Informationen im Kontext eines mit hohen Rechten laufenden Prozesses erhalten. Google stuft das damit einhergehende Risiko als "hoch" ein. Was dabei schnell auffällt ist die sehr alte CVE-Nummer: Der Eintrag in die "Common Vulnerabilities and Exposures"-Liste, in der solche sicherheitsrelevanten Fehler erfasst werden, verweist nämlich zunächst auf das Jahr 2016 - konkret lautet die Bezeichnung hier CVE-2016-6328. Und tatsächlich findet sich in der Fehlerdatenbank von Linux-Distributor Red Hat ein entsprechender Eintrag aus dem August 2016. Es geht dabei um die Libexif, eine Bibliothek, die zur Verarbeitung der Metadaten von JPEG-Bildern genutzt wird.
|
https://ress.at/android-jaennerupdate-beseitigt-seit-jahren-bekannte-schwere-sicherheitsluecke-news06012021174024.html
© by RessServerWorks, 2024