Wer dachte, dass die Stagefright-Lücke bei Android schon die Spitze des Eisbergs war, lag leider falsch. Nun veröffentlichten Sicherheitsforscher, dass es weitere Lücken in Stagefright gibt, welche nun unter der Version 2.0 zusammengefasst sind.
Die neue Version der Stagefright-Lücke betrifft laut Joshua Drake alle Android-Geräte. Drake selbst ist aktueller Vizepräsident von Zimperium, welche auch schon die erste Stagefright-Lücke entdeckten.
Die Lücke mit der Kennung CVE-2015-6602 soll Drake zu Folge schon seit der ersten Version an Bord von Android sein. Demzufolge sind nach ersten Erkenntnissen auch alle Version betroffen und lassen sich somit über die Systembibliothek libutils angreifen. Die neue Lücke habe aktuell noch keine CVE-Kennung erhalten, klaffe aber in der Bibliothek libstagefright. Hier sind vor allem Geräte ab Android 5.0 Lollipop betroffen.
Google selbst wolle diese Lücke bei den eigenen Geräten im Zuge des Patchdays kommende Woche zum Glück schon schließen. Ob und wann hier allerdings OEM-Hersteller reagieren werden, bleibt fraglich. Für viele dieser Geräte gibt es ja noch nicht einmal für die erste Version der Sicherheitslücke einen Patch.
via: Heise