Security-Tipp

Löchriger Käse

,
Laufend werden neue Sicherheitslücken publik. Doch so gescheppert wie auf der diesjährigen Black Hat hat es selten. Im Fokus der Security-Experten standen vor allem das mobile Betriebssystem Android sowie der Windows Server Update Service – WSUS. In beiden fanden und finden sich noch immer gravierende Lücken, die Angreifern das Leben leicht machen.
Die Datenberge in Unternehmen wachsen rasant. Umso wichtiger ist das richtige Storage-Management für Admins. In der November-Ausgabe betrachtet ... (mehr)

Die Sicherheitslücke, die im Rahmen der diesjährigen Black Hat wohl die meiste Aufmerksamkeit erfahren hat, betrifft Stagefright (zu Deutsch: Lampenfieber). Das in Android seit der Version 2.3 als Standard-Medienbibliothek verwendete Stagefright-Framework stand nach der Veröffentlichung mehrerer kritischer Sicherheitslücken Anfang August im weltweiten Rampenlicht. Dem Sicherheitsforscher Joshua Drake von Zimperium gelang es bereits nach einigen wenigen Tests, durch ein per MMS gesendetes MP4-Video ein mobiles Endgerät zum Absturz zu bringen [1]. Zu beachten ist, dass das bloße Versenden bereits genügen kann, falls die übertragene Datei bei Default-Einstellung automatisch im Hintergrund verarbeitet wird.

Ein entsprechend manipuliertes Video erlaubt einem Angreifer dabei sogar das Ausführen von beliebigem Code mit den erhöhten Rechten des Android-Mediaservers. Das Problem: Bei mehr als der Hälfte der über 950 Millionen anfälligen Geräte läuft der Prozess mit Systemrechten. Der Exploit geschieht dabei über einen einfachen Integer Overflow. Selbst der von Google bereits veröffentlichte Patch schaffte keine Abhilfe, da bei dessen Entwicklung einige Eigenschaften der Programmiersprache C nicht bedacht wurden, die den Sicherheitspatch wiederum aushebeln. Neben dem Angriff via MMS stellte Drake während seines Vortrags insgesamt zehn weitere Angriffsvektoren vor, von denen er nach eigener Aussage einige selbst kaum auf Sicherheitslücken untersucht habe.

Begrenzte Schutzmöglichkeiten

Auch wenn sich die Schwachstelle durch einen geeigneten Patch schließen lässt, so ist es aktuell an den Herstellern, eben diesen möglichst schnell bereitzustellen. Google hat bereits weitere Updates geliefert, die das automatische Laden von Videonachrichten im Hintergrund deaktivieren. Google empfiehlt jedem Endnutzer außerdem, manuell in seinen Einstellungen das automatische Herunterladen von

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Setup eines Kubernetes-Clusters mit Kops

Vor allem für Testinstallationen von Kubernetes gibt es einige Lösungen wie Kubeadm und Minikube. Für das Setup eines Kubernetes-Clusters in Cloud-Umgebungen hat sich Kops als Mittel der Wahl bewährt. Wir beschreiben seine Fähigkeiten und geben eine Anleitung für den praktischen Einsatz. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite