2017-1378: Google Android Operating System: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-08-08 13:22)

Neues Advisory

Version 2 (2017-08-09 13:38)

Google hat den Sicherheitshinweis um Links für Quellcode-Updates für das Android Open Source Project (AOSP) ergänzt. Mittlerweile stellt auch LG Informationen zu dem aktuellen Sicherheits-Patch-Level "2017-08-01" bereit. LG adressiert damit insgesamt sechzig Android Schwachstellen und eine LG-spezifische Sicherheitsanfälligkeit. Die Android Schwachstellen sind teilweise schon länger bekannt, da sie bereits mittels früherer Sicherheitsupdates von Google adressiert wurden. Im August Sicherheitsupdate inkludiert sind allerdings alle aktuellen Schwachstellen, die als kritisch eingestuft wurden.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Mehrere Schwachstellen in Google Android 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 und 7.1.2 vor Version 2017-08-05 ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste wie dem Mediaserver, die Erweiterung von Privilegien installierter Anwendungen, die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und das Ausspähen sensitiver Informationen.

Google stellt mit dem August Sicherheitshinweis die Patch Level 2017-08-01 und 2017-08-05 bereit, mit denen die Schwachstellen behoben werden. Der Patch Level 2017-08-01 behebt dabei allgemeine Schwachstellen im Google Android Betriebssystem, der Patch Level 2017-08-05 behebt hauptsächlich hardwarespezifische Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener Komponenten.

Google stellt für Google Geräte Sicherheitsupdates durch ein Over-the-air-Update (OTA) bereit und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Andere Hersteller (Partner) wurden mindestens einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert. Google adressiert mit seinen Geräte-spezifischen Firmware-Images zudem die Schwachstellen CVE-2017-0744, CVE-2017-0748, CVE-2017-0751, CVE-2017-9679 bis CVE-2017-9681 sowie CVE-2017-9692 bis CVE-2017-9694.

Samsung veröffentlicht für einige Geräte ein Sicherheitsupdate, das eine Teilmenge der hier referenzierten Schwachstellen behebt und adressiert mit diesem Sicherheitsupdate zusätzlich Samsung-spezifische Schwachstellen und Verwundbarkeiten (SVE), von denen acht explizit genannt werden. Samsung teilt hierzu mit, dass einige SVE's, die mit dem aktuellen Sicherheitsupdate behoben werden, zum jetzigen Zeitpunkt noch nicht öffentlich bekannt gegeben werden können. Samsung stellt keine Informationen zum verwendeten Patch Level zur Verfügung.

Schwachstellen:

CVE-2017-0712

Schwachstelle in Framework ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-0713

Schwachstelle in Libraries ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-0714 CVE-2017-0715 CVE-2017-0716 CVE-2017-0718 CVE-2017-0719

Schwachstellen in Media Framework ermöglichen Ausführung beliebigen Programmcodes

CVE-2017-0720 CVE-2017-0721 CVE-2017-0722 CVE-2017-0723 CVE-2017-0745

Schwachstellen in Media Framework ermöglichen Ausführung beliebigen Programmcodes

CVE-2017-0724 CVE-2017-0725 CVE-2017-0726 CVE-2017-0728 CVE-2017-0730 CVE-2017-0733 CVE-2017-0734 CVE-2017-0735 CVE-2017-0736

Schwachstellen in Media Framework ermöglichen Denial-of-Service-Angriffe

CVE-2017-0727 CVE-2017-0729 CVE-2017-0731 CVE-2017-0732 CVE-2017-0737

Schwachstellen in Media Framework ermöglichen Privilegieneskalation

CVE-2017-0738 CVE-2017-0739

Schwachstellen in Media Framework ermöglichen Ausspähen von Informationen

CVE-2017-0740

Schwachstelle in Broadcom Komponente ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-0741

Schwachstelle in MediaTek Komponente ermöglicht Privilegieneskalation

CVE-2017-0742

Schwachstelle in MediaTek Komponente ermöglicht Privilegieneskalation

CVE-2017-0744 CVE-2017-0751

Schwachstellen in Android Komponenten für Google Geräte ermöglichen Privilegieneskalation

CVE-2017-0746 CVE-2017-0747 CVE-2017-9678 CVE-2017-9684 CVE-2017-9691

Schwachstellen in Qualcomm Komponenten ermöglichen Privilegieneskalation

CVE-2017-0748 CVE-2017-9679 CVE-2017-9680 CVE-2017-9681 CVE-2017-9693 CVE-2017-9694

Schwachstellen in Android Komponenten für Google Geräte ermöglichen Ausspähen von Informationen

CVE-2017-0749

Schwachstelle in Kernel ermöglicht Privilegieneskalation

CVE-2017-0750 CVE-2017-10661 CVE-2017-10662 CVE-2017-10663

Schwachstellen in Kernel ermöglichen Privilegieneskalation

CVE-2017-9682

Schwachstelle in Qualcomm Komponente ermöglicht Ausspähen von Informationen

CVE-2017-9692

Schwachstelle in Android Komponente für Google Geräte ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.