2017-2196: Google Android Operating System: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2017-12-05 17:28)
- Neues Advisory
- Version 2 (2017-12-07 12:31)
- Google hat seinen Sicherheitshinweis aktualisiert und Links für Quellcode-Updates für das Android Open Source Project (AOSP) ergänzt.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Hardware
Google
Linux
Beschreibung:
Mehrere Schwachstellen in Google Android 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 und 8.0 vor Patch Level 2017-12-05 ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste, die Erweiterung von Privilegien installierter Anwendungen, die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe, das Umgehen von Sicherheitsvorkehrungen, die eigentlich die Interaktion von Benutzern voraussetzen und das Ausspähen sensitiver Informationen. Eine kritische Schwachstelle in einer nicht näher spezifizierten Systemkomponente ermöglicht einem Angreifer in der Nähe des Geräts die Ausführung beliebigen Programmcodes mit den erweiterten Privilegien eines Dienstes. Die noch nicht näher beschriebene kritische Schwachstelle besteht also möglicherweise in der WLAN-, Bluetooth- oder einer anderen Nahfeldkommunikationskomponente.
Google stellt die zwei Patch Level 2017-12-01 und 2017-12-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch Level 2017-12-01 behebt dabei allgemeine Schwachstellen im Google Android Betriebssystem und dort eingesetzten Bibliotheken und Frameworks, der Patch Level 2017-12-05 behebt im Wesentlichen hardwarespezifische Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener Komponenten und Schwachstellen im Kernel des Systems.
Google kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite ab dem 05.12.2017 zum Download zur Verfügung. Für Schwachstellen, welche ausschließlich Google-Geräte betreffen, veröffentlicht der Hersteller eine zusätzliche Sicherheitsmeldung (siehe Pixel / Nexus Security Bulletin des Herstellers).
Samsung veröffentlicht für einige Geräte Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletin adressiert wurden. Zusätzlich werden zehn Samsung-spezifische Schwachstellen und Verwundbarkeiten (SVEs) adressiert. Samsung teilt hierzu mit, dass einige SVEs, die mit dem aktuellen Sicherheitsupdate behoben werden, zum jetzigen Zeitpunkt noch nicht öffentlich bekannt gegeben werden können. Samsung stellt keine Informationen zum verwendeten Patch Level zur Verfügung.
LG veröffentlicht für die unterstützten Geräte ein Sicherheitsupdate auf den von Google vorgegebenen Patch-Level 2017-12-01 und behebt damit ebenfalls eine Teilmenge der dort genannten Schwachstellen sowie eine weitere Schwachstelle, die nur Geräte von LG selbst betrifft.
Andere Hersteller (Partner) wurden mindestens einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert. Informationen zu deren Sicherheitsupdates stehen zum gegenwärtigen Zeitpunkt noch aus.
Schwachstellen:
CVE-2016-3706
Schwachstelle in GNU Lib C ermöglicht Denial-of-Service-AngriffCVE-2016-4429
Schwachstelle in GNU Lib C ermöglicht Denial-of-Service-AngriffCVE-2016-5341
Schwachstelle in Qualcomm GPS-Komponente ermöglicht Denial-of-Service-AngriffCVE-2017-0564
Schwachstelle in Kernel ION-Subsystem ermöglicht komplette SystemübernahmeCVE-2017-0807 CVE-2017-0870 CVE-2017-0871
Schwachstellen in Framework ermöglichen PrivilegieneskalationCVE-2017-0837 CVE-2017-13153
Schwachstellen in Media Framework ermöglichen PrivilegieneskalationCVE-2017-0872 CVE-2017-0876 CVE-2017-0877 CVE-2017-0878 CVE-2017-13151
Schwachstellen in Media Framework ermöglichen Ausführen beliebigen ProgrammcodesCVE-2017-0873 CVE-2017-0874 CVE-2017-0880 CVE-2017-13148
Schwachstellen in Media Framework ermöglichen Denial-of-Service-AngriffeCVE-2017-1000380
Schwachstelle in Linux-Kernel ermöglicht Ausspähen von InformationenCVE-2017-11030 CVE-2017-9722 CVE-2017-11049 CVE-2017-11047 CVE-2017-11019
Schwachstellen in Qualcomm-Komponente Display ermöglichen PrivilegieneskalationCVE-2017-11031
Schwachstelle in Qualcomm-Komponente Display ermöglicht Ausspähen von InformationenCVE-2017-11042
Schwachstelle in Qualcomm-Komponente Binder ermöglicht PrivilegieneskalationCVE-2017-11043
Schwachstelle in Qualcomm-Komponente WLAN ermöglicht Ausführen beliebigen ProgrammcodesCVE-2017-11045
Schwachstelle in Qualcomm-Komponente Camera ermöglicht PrivilegieneskalationCVE-2017-13149 CVE-2017-13150 CVE-2017-0879
Schwachstellen in Media Framework ermöglichen Ausspähen von Informationen oder Denial-of-Service-AngriffeCVE-2017-13152
Schwachstelle in Media Framework ermöglicht Ausspähen von InformationenCVE-2017-13154
Schwachstelle in Media Framework ermöglicht PrivilegieneskalationCVE-2017-13156
Schwachstelle in Media Framework ermöglicht PrivilegieneskalationCVE-2017-13157 CVE-2017-13158 CVE-2017-13159
Schwachstellen in Android System ermöglichen Ausspähen von InformationenCVE-2017-13160
Schwachstelle in Systemkomponente ermöglicht Ausführen beliebigen ProgrammcodesCVE-2017-13161
Schwachstelle in Broadcom-Komponenten ermöglicht PrivilegieneskalationCVE-2017-13162
Schwachstelle in Kernel-Komponente ermöglicht PrivilegieneskalationCVE-2017-13163 CVE-2017-13165 CVE-2017-13166 CVE-2017-13167 CVE-2017-13168
Schwachstellen in Kernel-Komponenten ermöglichen PrivilegieneskalationCVE-2017-13164 CVE-2017-13169
Schwachstellen in Kernel-Komponenten ermöglichen Ausspähen von InformationenCVE-2017-13170 CVE-2017-13171 CVE-2017-13173
Schwachstellen in MediaTek-Komponente ermöglichen PrivilegieneskalationCVE-2017-13172
Schwachstelle in MediaTek-Komponente ermöglicht PrivilegieneskalationCVE-2017-13174
Schwachstelle in Kernel-Komponente ermöglicht PrivilegieneskalationCVE-2017-13175 CVE-2017-6280
Schwachstellen in NVIDIA-Komponenten ermöglichen Ausspähen von InformationenCVE-2017-14896
Schwachstelle in Qualcomm-Komponente GUD Mobicore Driver ermöglicht PrivilegieneskalationCVE-2017-14901 CVE-2017-14898 CVE-2017-14899 CVE-2017-14900
Schwachstellen in Qualcomm-Komponente WLAN ermöglichen PrivilegieneskalationCVE-2017-14903
Schwachstelle in Qualcomm-Komponente WLAN ermöglicht Ausspähen von InformationenCVE-2017-14905
Schwachstelle in Qualcomm-Komponente Wireless Networking ermöglicht Ausspähen von InformationenCVE-2017-14907
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2017-14908 CVE-2017-14909 CVE-2017-14914 CVE-2017-14916 CVE-2017-14917 CVE-2017-14918 CVE-2017-11005 CVE-2017-11006
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2017-15868
Schwachstelle in Kernel-Komponente ermöglicht PrivilegieneskalationCVE-2017-6211
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2017-6262 CVE-2017-6263 CVE-2017-6276
Schwachstellen in NVIDIA-Komponenten ermöglichen PrivilegieneskalationCVE-2017-7533
Schwachstelle in Linux-Kernel ermöglicht SystemübernahmeCVE-2017-8244
Schwachstelle in Qualcomm-Komponente Debugfs Driver ermöglicht PrivilegieneskalationCVE-2017-8281
Schwachstelle in Qualcomm-Komponenten ermöglicht Ausspähen von InformationenCVE-2017-9698 CVE-2017-11044
Schwachstellen in Qualcomm-Komponente Graphics ermöglichen PrivilegieneskalationCVE-2017-9700 CVE-2017-11016
Schwachstellen in Qualcomm-Komponente Audio ermöglichen PrivilegieneskalationCVE-2017-9703
Schwachstelle in Qualcomm-Komponente Video Driver ermöglicht PrivilegieneskalationCVE-2017-9708 CVE-2017-9718 CVE-2017-11033
Schwachstellen in Qualcomm-Komponente Kernel ermöglichen PrivilegieneskalationCVE-2017-9709 CVE-2017-15813
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2017-9710
Schwachstelle in Qualcomm-Komponente Data HLOS ermöglicht PrivilegieneskalationCVE-2017-9716 CVE-2017-11007 CVE-2017-14895 CVE-2017-14897 CVE-2017-14902 CVE-2017-14904
Schwachstellen in Qualcomm-Komponenten ermöglichen Privilegieneskalation
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.