2017-1570: BlackBerry powered by Android: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-09-07 15:59)

Neues Advisory

Version 2 (2017-09-18 14:16)

BlackBerry informiert über das Ergebnis seiner Untersuchungen bezüglich des Einflusses einer Auswahl verschiedener Schwachstellen, die unter dem Begriff BlueBorne bekannt geworden sind, auf BlackBerry Produkte. Diese Schwachstellen existieren in der Implemetierung von Bluetooth auf einer Vielzahl diskreter Plattformen und stellen kein Design-Problem im Bluetooth-Protokoll selbst dar. Von den in der Untersuchung betrachteten Schwachstellen CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785, CVE-2017-8628, CVE-2017-14315, CVE-2017-1000250 und CVE-2017-1000251 betreffen die vier zuerst genannten auch 'BlackBerry powered by Android' Smartphones und wurden im Kontext des Android Security Bulletins September 2017 behoben, wenngleich bei der Erstveröffentlichung zunächst nicht genannt, sondern erst später publik gemacht. Das BlackBerry Security Bulletin 000045672 wurde nun entsprechend aktualisiert.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Google
Linux

Beschreibung:

Mehrere Schwachstellen im Android Betriebssystem sowie in Treibern von Drittanbieterkomponenten ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes im Kontext privilegierter Dienste, die Ausweitung von Privilegien installierter Anwendungen, das Ausspähen von Informationen und die Durchführung von Denial-of-Service (DoS)-Angriffen.

Im Kontext der Veröffentlichung des Google Android Security Bulletins September 2017 stellt BlackBerry ein Sicherheitsupdate für Smartphones mit dem Betriebssystem 'BlackBerry powered by Android' bereit. Mit dem Sicherheitsupdate werden insgesamt 52 Schwachstellen behoben. BlackBerry empfiehlt ein Update auf die Betriebssystemversion 'Patch Level September 5, 2017' oder später, um vor Angriffen über die Ausnutzung der aufgelisteten Schwachstellen geschützt zu sein. Die Verfügbarkeit des Updates kann von Zwischenhändlern und regionalen Netzbetreibern abhängen.

Schwachstellen:

CVE-2017-0752

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2017-0755

Schwachstelle in Bibliothek ermöglicht Privilegieneskalation

CVE-2017-0756 CVE-2017-0757 CVE-2017-0758 CVE-2017-0759 CVE-2017-0760

Schwachstellen in Media Framework ermöglichen Ausführung beliebigen Programmcodes

CVE-2017-0761 CVE-2017-0762 CVE-2017-0763 CVE-2017-0764 CVE-2017-0765

Schwachstellen in Media Framework ermöglichen Ausführung beliebigen Programmcodes

CVE-2017-0766

Schwachstelle in Media Framework ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-0767 CVE-2017-0768 CVE-2017-0770

Schwachstellen in Media Framework ermöglichen Privilegieneskalation

CVE-2017-0772 CVE-2017-0773 CVE-2017-0774 CVE-2017-0775

Schwachstellen in Media Framework ermöglichen Denial-of-Service-Angriffe

CVE-2017-0776 CVE-2017-0777 CVE-2017-0778

Schwachstellen in Media Framework ermöglichen Denial-of-Service-Angriffe und Ausspähen von Informationen

CVE-2017-0779

Schwachstelle in Media Framework ermöglicht Ausspähen von Informationen

CVE-2017-0781 CVE-2017-0782

Schwachstellen in Systemkomponente ermöglichen Ausführung beliebigen Programmcodes

CVE-2017-0783 CVE-2017-0785

Schwachstellen in Systemkomponente ermöglichen Ausspähen von Informationen

CVE-2017-0784

Schwachstelle in Systemkomponente ermöglicht Privilegieneskalation

CVE-2017-0786

Schwachstelle in Broadcom-Komponente ermöglicht Privilegieneskalation

CVE-2017-0787 CVE-2017-0789 CVE-2017-0790 CVE-2017-0791

Schwachstellen in Broadcom-Komponente ermöglichen Privilegieneskalation

CVE-2017-0792

Schwachstelle in Broadcom-Komponente ermöglicht Ausspähen von Informationen

CVE-2017-0794

Schwachstelle in SCSI-Treiber ermöglicht Privilegieneskalation

CVE-2017-5897

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen und Denial-of-Service-Angriff

CVE-2017-6214

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2017-6346

Schwachstelle in Linux-Kernel ermöglicht Übernahme des System

CVE-2017-7487

Schwachstelle in Linux-Kernel ermöglicht u.a. Denial-of-Service-Angriff

CVE-2017-7495

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2017-7616

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2017-8247 CVE-2017-8250 CVE-2017-8251 CVE-2017-8277 CVE-2017-8280

Schwachstellen in Qualcomm-Komponenten ermöglichen Privilegieneskalation

CVE-2017-8281 CVE-2017-9676

Schwachstellen in Qualcomm-Komponenten ermöglichen Ausspähen von Informationen

CVE-2017-8890

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2017-9076

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2017-9150

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2017-9677 CVE-2017-9720

Schwachstellen in Qualcomm-Komponenten ermöglichen Privilegieneskalation

CVE-2017-9724 CVE-2017-9725

Schwachstellen in Qualcomm-Komponenten ermöglichen Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.