2017-1556: Google Android Operating System: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-09-06 16:34)

Neues Advisory

Version 2 (2017-09-11 12:00)

Die Hersteller Samsung und LG stellen nun auch Sicherheitsupdates für die Android Betriebssysteme ihrer eigenen Geräte bereit. LG stellt mit dem SMR-SEP-2017 Sicherheitsupdate den Google Patch-Level 2017-09-01 eigenen Angaben zufolge 'beinahe' (almost) zur Verfügung und behebt mit dem Sicherheitsupdate insgesamt 47 Schwachstellen. Samsung stellt keine Informationen zu dem Patch-Level bereit, macht jedoch Angaben darüber, welche der von Google mit dem September-Sicherheitsupdate veröffentlichten Schwachstellen bereits durch zuvor bereitgestellte Sicherheitsupdates behoben wurden oder Samsung-Geräte nicht betreffen. Samsung adressiert insgesamt 46 Schwachstellen. Zudem werden 12 Samsung-spezifische Schwachstellen und Verwundbarkeiten (SVE) adressiert, von denen drei explizit genannt werden. Samsung teilt hierzu mit, dass einige SVE's, die mit dem aktuellen SMR-SEP-2017 Sicherheitsupdate behoben werden, zum jetzigen Zeitpunkt noch nicht öffentlich bekannt gegeben werden können.

Version 3 (2017-09-14 15:25)

Google hat den Sicherheitshinweis um Details zu den Schwachstellen CVE-2017-0781, CVE-2017-0782, CVE-2017-0783 und CVE-2017-0785 (als Teil einer mit der Industrie koordinierten Veröffentlichung) sowie um Links für Quellcode-Updates für das Android Open Source Project (AOSP) ergänzt.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Mehrere Schwachstellen in Google Android 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 und 8.0 vor Version 2017-09-05 ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste wie des Mediaservers sowie weniger privilegierter Dienste, die Erweiterung von Privilegien installierter Anwendungen, die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und das Ausspähen sensitiver Informationen.

Google stellt die beiden Patch Level 2017-09-01 und 2017-09-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch Level 2017-09-01 behebt dabei allgemeine Schwachstellen im Google Android Betriebssystem und dort eingesetzten Bibliotheken und Frameworks, der Patch Level 2017-09-05 behebt hauptsächlich hardwarespezifische Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener Komponenten sowie Schwachstellen im Kernel des Systems.

Google stellt für Google Geräte Sicherheitsupdates durch ein Over-the-air-Update (OTA) bereit und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Die Geräte Pixel, Pixel XL und Pixel C sowie Nexus 5X, Nexus 6, Nexus 6P, Nexus 9 und Nexus Player sollen so das Patch Level 2017-09-05 erhalten. Für Pixel, Pixel XL, Pixel C, Nexus Player, Nexus 5X und Nexus 6P wird dieses Patch Level mit einem Upgrade auf Android 8.0 (Oreo) zur Verfügung gestellt.

Andere Hersteller (Partner) wurden mindestens einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert. Informationen zu deren Sicherheitsupdates stehen allerdings zum gegenwärtigen Zeitpunkt noch aus.

Schwachstellen:

CVE-2017-0752

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2017-0753

Schwachstelle in Bibliothek ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-0755

Schwachstelle in Bibliothek ermöglicht Privilegieneskalation

CVE-2017-0756 CVE-2017-0757 CVE-2017-0758 CVE-2017-0759 CVE-2017-0760

Schwachstellen in Media Framework ermöglichen Ausführung beliebigen Programmcodes

CVE-2017-0761 CVE-2017-0762 CVE-2017-0763 CVE-2017-0764 CVE-2017-0765

Schwachstellen in Media Framework ermöglichen Ausführung beliebigen Programmcodes

CVE-2017-0766

Schwachstelle in Media Framework ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-0767 CVE-2017-0768 CVE-2017-0769 CVE-2017-0770

Schwachstellen in Media Framework ermöglichen Privilegieneskalation

CVE-2017-0771 CVE-2017-0772 CVE-2017-0773 CVE-2017-0774 CVE-2017-0775

Schwachstellen in Media Framework ermöglichen Denial-of-Service-Angriffe

CVE-2017-0776 CVE-2017-0777 CVE-2017-0778

Schwachstellen in Media Framework ermöglichen Denial-of-Service-Angriffe und Ausspähen von Informationen

CVE-2017-0779

Schwachstelle in Media Framework ermöglicht Ausspähen von Informationen

CVE-2017-0780

Schwachstelle in Runtime ermöglicht Denial-of-Service-Angriff

CVE-2017-0781 CVE-2017-0782

Schwachstellen in Systemkomponente ermöglichen Ausführung beliebigen Programmcodes

CVE-2017-0783 CVE-2017-0785

Schwachstellen in Systemkomponente ermöglichen Ausspähen von Informationen

CVE-2017-0784

Schwachstelle in Systemkomponente ermöglicht Privilegieneskalation

CVE-2017-0786

Schwachstelle in Broadcom-Komponente ermöglicht Privilegieneskalation

CVE-2017-0787 CVE-2017-0788 CVE-2017-0789 CVE-2017-0790 CVE-2017-0791

Schwachstellen in Broadcom-Komponente ermöglichen Privilegieneskalation

CVE-2017-0792

Schwachstelle in Broadcom-Komponente ermöglicht Ausspähen von Informationen

CVE-2017-0793

Schwachstelle in Imgtk-Komponente ermöglicht Ausspähen von Informationen

CVE-2017-0794

Schwachstelle in SCSI-Treiber ermöglicht Privilegieneskalation

CVE-2017-0795 CVE-2017-0796 CVE-2017-0797 CVE-2017-0798 CVE-2017-0799 CVE-2017-0800 CVE-2017-0801

Schwachstellen in MediaTek-Komponenten ermöglichen Privilegieneskalation

CVE-2017-0802 CVE-2017-0803 CVE-2017-0804

Schwachstellen in MediaTek-Komponenten ermöglichen Privilegieneskalation

CVE-2017-10996

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2017-11041

Schwachstelle in LibOmxVenc ermöglicht Ausführen beliebigen Programmcodes

CVE-2017-12146

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2017-5897

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen und Denial-of-Service-Angriff

CVE-2017-6214

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2017-6346

Schwachstelle in Linux-Kernel ermöglicht Übernahme des System

CVE-2017-6983

Schwachstelle in SQLite ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-7065

Schwachstelle in Broadcom-Komponente ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-7487

Schwachstelle in Linux-Kernel ermöglicht u.a. Denial-of-Service-Angriff

CVE-2017-7495

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2017-7616

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2017-8247 CVE-2017-8250 CVE-2017-8251 CVE-2017-8277 CVE-2017-8280

Schwachstellen in Qualcomm-Komponenten ermöglichen Privilegieneskalation

CVE-2017-8278 CVE-2017-9724 CVE-2017-9725

Schwachstellen in Qualcomm-Komponenten ermöglichen Privilegieneskalation

CVE-2017-8281 CVE-2017-9676 CVE-2017-11001 CVE-2017-11002 CVE-2017-11040

Schwachstellen in Qualcomm-Komponenten ermöglichen Ausspähen von Informationen

CVE-2017-8890

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2017-9076

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2017-9150

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2017-9677 CVE-2017-9720 CVE-2017-10997 CVE-2017-10998 CVE-2017-10999 CVE-2017-11000

Schwachstellen in Qualcomm-Komponenten ermöglichen Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.