2017-1162: Google Android Operating System: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme

Historie:

Version 1 (2017-07-06 15:50)

Neues Advisory

Version 2 (2017-07-07 11:04)

Google hat seinen Sicherheitshinweis aktualisiert und Links für Quellcode-Updates für das Android Open Source Project (AOSP) ergänzt.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Mehrere Schwachstellen in Google Android 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 und 7.1.2 vor Version 2017-07-05 ermöglichen zumeist einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes im Kontext des Kernels und damit die komplette Systemübernahme, die Ausführung beliebigen Programmcodes mit Rechten privilegierter Dienste wie dem Mediaserver, die Erweiterung von Privilegien installierter Anwendungen, den Zugriff auf Daten außerhalb der jeweiligen Berechtigungen von Benutzern oder Anwendungen, die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und das Ausspähen sensitiver Informationen.

Google stellt in seinem Juli-Sicherheitshinweis die Patch Level 2017-07-01 und 2017-07-05 bereit, mit denen die Schwachstellen behoben werden. Der Patch Level 2017-07-01 behebt dabei allgemeine Schwachstellen im Google Android Betriebssystem, der Patch Level 2017-07-05 behebt hauptsächlich hardwarespezifische Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener Komponenten.

Google stellt für Google-Geräte Sicherheitsupdates durch ein Over-the-air-Update (OTA) bereit und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Andere Hersteller (Partner) wurden mindestens einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Samsung veröffentlicht für einige Geräte ein Sicherheitsupdate, das eine Teilmenge der referenzierten Schwachstellen behebt und adressiert mit diesem Sicherheitsupdate zusätzlich insgesamt 16 Samsung-spezifische Schwachstellen und Verwundbarkeiten (SVE). Samsung stellt keine Informationen zum verwendeten Patch Level zur Verfügung. LG veröffentlicht ebenfalls Informationen zu dem verfügbaren Juli-Update (Patch Level [2017-07-01]) und behebt neben den von Google aufgeführten Schwachstellen zusätzlich eine kritische LG-spezifische Schwachstelle.

Schwachstellen:

CVE-2014-9411 CVE-2014-9973 CVE-2014-9974 CVE-2014-9975 CVE-2014-9977 CVE-2014-9978 CVE-2014-9979 CVE-2014-9980 CVE-2015-8595

Schwachstellen in Qualcomm Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2014-9731

Schwachstelle im Linux-Kernel erlaubt Ausspähen von Informationen

CVE-2014-9968 CVE-2015-0575 CVE-2015-9034 CVE-2015-9035 CVE-2015-9036 CVE-2015-9037 CVE-2015-9038 CVE-2015-9039 CVE-2015-9040

Schwachstellen in Qualcomm Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2015-5707

Integer-Überlauf im Linux-Kernel ermöglicht Privilegieneskalation

CVE-2015-8592 CVE-2015-9055 CVE-2016-10346 CVE-2016-10347

Schwachstellen in Qualcomm Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2015-8596 CVE-2015-9060 CVE-2015-9061 CVE-2015-9062 CVE-2015-9067 CVE-2015-9068 CVE-2015-9069 CVE-2015-9070 CVE-2015-9071

Schwachstellen in Qualcomm Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2015-9041 CVE-2015-9042 CVE-2015-9043 CVE-2015-9044 CVE-2015-9045 CVE-2015-9046 CVE-2015-9047 CVE-2015-9048 CVE-2015-9049

Schwachstellen in Qualcomm Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2015-9051 CVE-2015-9052 CVE-2015-9053 CVE-2015-9054 CVE-2016-10343 CVE-2016-10344

Schwachstellen in Qualcomm Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2015-9072 CVE-2015-9073 CVE-2016-10382 CVE-2016-10383 CVE-2016-10388 CVE-2016-5871 CVE-2016-5872

Schwachstellen in Qualcomm Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2016-10391

Schwachstelle in Qualcomm Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2016-2109

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2016-5863 CVE-2017-8243 CVE-2017-8246 CVE-2017-8256 CVE-2017-8257 CVE-2017-8259 CVE-2017-8260 CVE-2017-8261

Schwachstellen in Qualcomm Komponenten ermöglichen Privilegieneskalation

CVE-2017-0326

Schwachstelle in NVIDIA Komponente ermöglicht Ausspähen von Informationen

CVE-2017-0340

Schwachstelle in NVIDIA Komponente ermöglicht Privilegieneskalation

CVE-2017-0540

Schwachstelle in Mediaserver ermöglicht Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2017-0642

Schwachstelle in Medien-Framework ermöglicht Denial-of-Service-Angriff

CVE-2017-0664 CVE-2017-0665 CVE-2017-0666 CVE-2017-0667

Schwachstellen in Framework ermöglichen Ausführung beliebigen Programmcodes

CVE-2017-0668 CVE-2017-0669

Schwachstellen in Framework ermöglichen Ausspähen von Informationen

CVE-2017-0670

Schwachstelle in Framework ermöglicht Denial-of-Service-Angriff

CVE-2017-0671

Schwachstelle in Bibliothek ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-0672

Schwachstelle in Bibliothek ermöglicht Denial-of-Service-Angriff

CVE-2017-0673 CVE-2017-0674 CVE-2017-0675 CVE-2017-0676 CVE-2017-0677 CVE-2017-0678 CVE-2017-0679 CVE-2017-0680 CVE-2017-0681

Schwachstellen in Mediaserver ermöglichen Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2017-0682 CVE-2017-0683

Schwachstellen in Mediaserver ermöglichen Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2017-0684

Schwachstelle in Mediaserver ermöglicht Privilegieneskalation

CVE-2017-0685 CVE-2017-0686 CVE-2017-0688 CVE-2017-0689 CVE-2017-0690 CVE-2017-0691

Schwachstellen in Mediaserver ermöglichen Denial-of-Service-Angriff

CVE-2017-0692 CVE-2017-0693 CVE-2017-0694 CVE-2017-0695 CVE-2017-0696 CVE-2017-0697

Schwachstellen in Mediaserver ermöglichen Denial-of-Service-Angriff

CVE-2017-0698 CVE-2017-0699

Schwachstellen in Mediaserver ermöglichen Ausspähen von Informationen

CVE-2017-0700 CVE-2017-0701 CVE-2017-0702

Schwachstellen in System UI ermöglichen Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2017-0703

Schwachstelle in System UI ermöglicht Privilegieneskalation

CVE-2017-0704

Schwachstelle in System UI ermöglicht Privilegieneskalation

CVE-2017-0705 CVE-2017-0706

Schwachstellen in Broadcom Komponente ermöglichen Privilegieneskalation

CVE-2017-0707

Schwachstelle in HTC Komponente ermöglicht Privilegieneskalation

CVE-2017-0708

Schwachstelle in HTC Komponente ermöglicht Ausspähen von Informationen

CVE-2017-0709

Schwachstelle in HTC Komponente ermöglicht Ausspähen von Informationen

CVE-2017-0710

Schwachstelle in Kernel ermöglicht Privilegieneskalation

CVE-2017-0711

Schwachstelle in MediaTek Komponente ermöglicht Privilegieneskalation

CVE-2017-3544

Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Manipulation von Daten

CVE-2017-5970

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2017-6074

Schwachstelle in Linux-Kernel ermöglicht komplette Systemübernahme

CVE-2017-7308

Schwachstelle in Linux-Kernel ermöglicht Erlangen von Administratorrechten

CVE-2017-8254 CVE-2017-8258 CVE-2017-8269

Schwachstellen in Qualcomm Komponenten ermöglichen Ausspähen von Informationen

CVE-2017-8255 CVE-2016-10389 CVE-2017-8253 CVE-2017-8262 CVE-2017-8263 CVE-2017-8267 CVE-2017-8273

Schwachstellen in Qualcomm Komponenten ermöglichen Privilegieneskalation

CVE-2017-8264 CVE-2017-8265 CVE-2017-8266 CVE-2017-8268 CVE-2017-8270 CVE-2017-8271 CVE-2017-8272

Schwachstellen in Qualcomm Komponenten ermöglichen Privilegieneskalation

CVE-2017-9417

Schwachstelle in Broadcom Komponente ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.