Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 24.06.2026 · 3 min Lesezeit

Samsung KNOX: Acht Jahre alte Kernel-Lücke CVE-2026-20971 betrifft Galaxy S9 bis S25

Die KNOX-Sicherheitsplattform von Samsung wies über acht Jahre eine Kernel-Schwachstelle auf. Die Lücke betraf Galaxy-Geräte von S9 bis S25 und konnte zur vollen Systemkontrolle missbraucht werden.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Samsung KNOX Sicherheitswarnung mit der Kernel-Schwachstelle CVE-2026-20971. Mehrere Galaxy Smartphones von S9 bis S25 zeigen eine kritische Sicherheitslücke im Android Kernel, dargestellt durch ein beschädigtes Schutzschild und Cybersecurity Warnmeldunge

Forscher von LucidBit Labs haben eine acht Jahre alte Sicherheitslücke in der KNOX-Sicherheitsplattform von Samsung entdeckt. Die Schwachstelle CVE-2026-20971 (CVSS 7.8) betrifft nahezu alle Samsung Galaxy-Geräte vom S9 bis zum aktuellen S25. Sie ermöglicht eine Privilegien Ausweitung bis in den Kernel und damit die vollständige Kontrolle über das Gerät.

Meldung und aktuelle Lage

Die Sicherheitslücke wurde von den Forschern der LucidBit Labs entdeckt und an Samsung gemeldet. Samsung hat die Lücke inzwischen geschlossen und ein Sicherheitsupdate für die betroffenen Geräte bereitgestellt. Die Schwachstelle war seit der Einführung des Galaxy S9 im Jahr 2018 in der KNOX-Plattform vorhanden – insgesamt über acht Jahre.

Die Lücke befindet sich im Zusammenspiel zwischen PROCA (Process Authenticator) und FIVE (File Integrity Verification Environment), zwei zentralen Komponenten der KNOX-Sicherheitsarchitektur. PROCA ist ein proprietäres Subsystem im Samsung-Kernel, das unbefugte Prozesse daran hindert, ausgeführt zu werden. FIVE ist das Kernel-seitige Integritäts-Subsystem, das auf dem Linux-Integrity-Messurement-Modell basiert und von Samsung erweitert wurde.

Technische Details für Admins

Die Schwachstelle ist eine klassische Use-after-Free (UAF)-Lücke, die durch eine Race-Condition im präemptiven Android-Kernel ausgelöst wird. Der Angriffsablauf im Detail:

  1. Ein Prozess führt execve() aus, um ein Kindprozess zu starten.
  2. Dabei wird task_integrity_put(old_tint) aufgerufen, das die ursprüngliche Integrity-Struktur freigibt.
  3. Gleichzeitig versucht proc_integrity_value_read(), auf diese bereits freigegebene Struktur zuzugreifen.
  4. Durch den präemptiven Kernel kann ein Thread zwischen dem Lesen des Pointers und seiner Verwendung unterbrochen werden.
  5. Ein Angreifer kann den freigegebenen Speicher kontrolliert neu belegen und so die Kernel-Kontrolle übernehmen.

Die Forscher fanden einen Weg, die UAF auszunutzen, indem sie den Prozess zwangen, eine nicht ausführbare Datei (Non-ELF) zu laden. Dadurch wurde die refcount-Sperre umgangen und der freigegebene Speicher konnte kontrolliert neu belegt werden.

Die integrierte Kernel Control Flow Integrity (KCFI) erschwerte die Ausnutzung, machte sie aber nicht unmöglich. Die Forscher demonstrierten einen funktionierenden Exploit, der die KCFI umgeht.

Betroffene Geräte

GeräteserieBetroffenPatch verfügbar
Galaxy S9 bis S9+JaJa (Sicherheitsupdate Juni 2026)
Galaxy S10 bis S10+JaJa
Galaxy S20 bis S20 UltraJaJa
Galaxy S21 bis S21 UltraJaJa
Galaxy S22 bis S22 UltraJaJa
Galaxy S23 bis S23 UltraJaJa
Galaxy S24 bis S24 UltraJaJa
Galaxy S25 bis S25 UltraJaJa
Galaxy Note-Reihe (ab Note 9)JaJa
Galaxy Z Fold/Flip (ab Fold 1)JaJa

Risiko für KMU und Betrieb

Für Unternehmen, die Samsung Galaxy-Geräte im Einsatz haben, ist diese Lücke relevant:

  1. Die Lücke ermöglicht eine vollständige Kernel-Kompromittierung. Ein Angreifer mit lokalem Zugriff kann das Gerät vollständig kontrollieren.
  2. Mobile Device Management (MDM)-Systeme können die Lücke nicht schließen – nur das Samsung-Sicherheitsupdate hilft.
  3. Die Lücke war acht Jahre lang vorhanden. Geräte, die keine Updates mehr erhalten (z. B. Galaxy S9), bleiben dauerhaft verwundbar.
  4. Für BYOD-Umgebungen (Bring Your Own Device) ist die Lücke besonders kritisch, da private Geräte oft nicht aktualisiert werden.

Was Admins jetzt prüfen sollten

  1. Sicherheitsupdate prüfen: Samsung hat das Update im Juni 2026 bereitgestellt. Geräte sollten auf den aktuellen Sicherheitspatch-Stand gebracht werden.
  2. MDM-Richtlinien aktualisieren: In MDM-Systemen sollte der Sicherheitspatch-Level als Compliance-Kriterium definiert werden.
  3. Bestand an Samsung-Geräten erfassen: Welche Galaxy-Modelle sind im Einsatz? Welche erhalten noch Updates?
  4. Geräte ohne Update-Unterstützung austauschen: Galaxy S9 und ältere Modelle erhalten keine Sicherheitsupdates mehr und sollten ausgetauscht werden.
  5. BYOD-Richtlinien verschärfen: Für private Geräte sollte ein Mindest-Sicherheitspatch-Level vorgeschrieben werden.

Admin-Einschätzung

Eine acht Jahre alte Kernel-Lücke in der KNOX-Plattform ist ein bemerkenswerter Fund. KNOX gilt als eine der sichersten Android-Plattformen und wird von Samsung als Enterprise-Feature vermarktet. Dass eine so grundlegende Schwachstelle so lange unentdeckt blieb, wirft Fragen zur Qualität der internen Sicherheitsprüfungen auf.

Für Admins ist die wichtigste Erkenntnis: Selbst vertrauenswürdige Sicherheitsplattformen können über Jahre hinweg kritische Lücken enthalten. Regelmäßige Updates und ein konseqüntes Patch-Management sind der einzige Schutz – auch bei vermeintlich sicheren Systemen.

Passende Anleitungen auf S-EDV

  1. Fortinet Juni 2026: Kritische RCE-Patches – Vergleichbare Kernel-Lücken in Enterprise-Hardware.
  2. LiteLLM CVE-2026-42271: RCE in KI-Gateway – Aktuelle Schwachstellen im Juni 2026 im Vergleich.

Quellen

  1. Security Week: Eight-Year-Old Samsung KNOX Flaw Exposed Millions of Galaxy Devices to Kernel Attacks
  2. BleepingComputer (Hinweis auf Berichterstattung)
Verwandt

Weiter lesen

Alle Artikel →
LastPass Sicherheitsvorfall nach Klue Supply Chain Angriff: Symbolische Darstellung eines Cyberangriffs auf einen Passwortmanager mit Server-System, abgeflossenen Kundendaten, digitalem Datenverkehr, Sicherheitswarnung und moderner Cybersecurity News Opti
24.06.2026 ·3 min

LastPass: Erneute Datenpanne nach Klue-Supply-Chain-Angriff – Kundendaten abgeflossen

LastPass meldet eine weitere Datenpanne. Diesmal traf es Kundendaten aus dem Salesforce-System des Unternehmens – ausgelöst durch einen Supply-Chain-Angriff auf den Marktintelligenz-Dienst Klue.
Cisco Unified CM Sicherheitslücke CVE 2026 20230 mit aktiv ausgenutzter SSRF Schwachstelle, VoIP Server und IP Telefone unter Cyberangriff in moderner IT News Darstellung.
24.06.2026 ·4 min

Cisco Unified CM: Kritische SSRF-Lücke CVE-2026-20230 jetzt aktiv ausgenutzt

Cisco Unified CM ist weltweit in Unternehmen im Einsatz. Jetzt wird eine SSRF-Lücke aktiv angegriffen, die Angreifern Root-Zugriff ermöglicht. Betroffene Admins müssen sofort handeln.
Nächtlich stehender ICE auf Bahnstrecke mit Warnsignal, Deutschlandkarte und GSM-R-Ausfall Symbol für bundesweite Störung im Zugverkehr der Deutschen Bahn.
24.06.2026 ·6 min

Deutsche Bahn: GSM-R-Ausfall legt bundesweiten Zugverkehr in der Nacht still

In der Nacht zum 23. Juni 2026 hat ein IT-Ausfall im digitalen Zugfunksystem GSM-R den deutschen Schienenverkehr lahmgelegt. Alle Züge standen still. Dieser Vorfall macht die massive Abhängigkeit kritischer Infrastrukturen von digitaler Kommunikationstechnik deutlich.