2016-0699: BlackBerry powered by Android: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2016-05-03 18:45)
- Neues Advisory
Betroffene Software
Systemsoftware
Betroffene Plattformen
Google
Linux
Beschreibung:
Mehrere Schwachstellen im Google Android Betriebssystem ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes im Kontext des Kernels und damit die komplette Systemübernahme oder die Ausführung beliebigen Programmcodes mit Rechten privilegierter Dienste wie dem Mediaserver, die Erweiterung von Privilegien installierter Anwendungen, das Ausspähen von Informationen und verschiedene Denial-of-Service-Angriffe. Ein nicht authentifizierter Angreifer im benachbarten Netzwerk kann darüber hinaus beliebigen Programmcode während der Initialisierung von Bluetooth-Verbindungen (Pairing) ausführen.
BlackBerry stellt als Antwort auf das Google Android Security Bulletin (Mai 2016) ein Sicherheitsupdate mit den für Smartphones mit dem Betriebssystem 'BlackBerry powered by Android' relevanten Korrekturen bereit. Zusätzlich werden die Schwachstellen CVE-2016-2433, durch die ein nicht authentifizierter Angreifer im benachbarten Netzwerk das System übernehmen kann, und CVE-2016-2455 behoben. Beide sind spezifisch für von BlackBerry verwendete Komponenten. Das Update ist sofort verfügbar und durch die Bezeichnung 'Build AAE570' identifizierbar. BlackBerry empfiehlt ein Update auf die neueste verfügbare Version des Betriebssystems.
Schwachstellen:
CVE-2016-0774
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2016-2060
Schwachstelle in Qualcomm Tethering-Controller ermöglicht u.a. Ausspähen von InformationenCVE-2016-2428 CVE-2016-2429
Schwachstellen in Android Mediaserver ermöglichen Ausführung beliebigen Programmcodes mit den Rechten des DienstesCVE-2016-2430
Schwachstelle in Debuggerd ermöglicht Ausführung beliebigen Programmcodes mit den Rechten des DienstesCVE-2016-2433
Schwachstelle im Broadcom WLAN-Treiber ermöglicht Ausführung beliebigen ProgrammcodesCVE-2016-2438
Schwachstelle im Audio-Subsystem ermöglicht Ausführung beliebigen ProgrammcodesCVE-2016-2439
Schwachstelle in Bluetooth ermöglicht Ausführung beliebigen ProgrammcodesCVE-2016-2440
Schwachstelle in Binder ermöglicht Ausführung beliebigen Programmcodes mit den Rechten eines anderen DienstesCVE-2016-2441 CVE-2016-2442
Schwachstellen im Qualcomm Buspm-Treiber ermöglichen Ausführung beliebigen ProgrammcodesCVE-2016-2447
Schwachstelle in WLAN-Komponente von Google Android ermöglicht Ausführung beliebigen ProgrammcodesCVE-2016-2448 CVE-2016-2449 CVE-2016-2450 CVE-2016-2451 CVE-2016-2452
Schwachstellen in Android Mediaserver ermöglichen Ausführung beliebigen ProgrammcodesCVE-2016-2455 CVE-2016-0705
Schwachstellen in OpenSSL und BoringSSL ermöglichen Ausspähen von InformationenCVE-2016-2457
Schwachstelle in Wi-Fi ermöglicht PrivilegieneskalationCVE-2016-2459 CVE-2016-2460
Schwachstellen in Android Mediaserver ermöglichen das Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.