2018-0237: Google Android Operating System: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste

Historie:

Version 1 (2018-02-06 17:18)

Neues Advisory

Version 2 (2018-02-08 18:51)

Google aktualisiert den referenzierten Sicherheitshinweis und ergänzt die Links für Quellcode-Updates für das Android Open Source Project (AOSP). LG veröffentlicht jetzt ebenfalls Sicherheitsupdates und behebt damit insgesamt 27 Schwachstellen, von denen zwei LG-spezifisch sind. Der verfügbare Patch Level ist '2018-02-01'.

Version 3 (2018-02-09 13:35)

Samsung aktualisiert seinen Sicherheitshinweis für Android von Februar 2018 und weist darauf hin, dass dem zugehörigen SMR-Paket 250 gerätespezifische Schwachstellenbezeichner (CVEs) aus dem Backlog hinzugefügt wurden.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Mehrere Schwachstellen in Google Android 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 und 8.1 vor Patch Level 2018-02-05 ermöglichen auch einem entfernten, nicht authentifizierten Angreifer die Eskalation von Privilegien, die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste wie dem Media Framework, die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und das Ausspähen sensitiver Informationen. Mehrere der Schwachstellen werden vom Hersteller als 'kritisch' eingestuft.

Google stellt die zwei Patch Level 2018-02-01 und 2018-02-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch Level 2018-01-01 behebt dabei allgemeine Schwachstellen im Google Android Betriebssystem und dort eingesetzten Bibliotheken und Frameworks, der Patch Level 2018-01-05 behebt im Wesentlichen hardwarespezifische Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener Komponenten und Schwachstellen im Kernel des Systems. Hier werden neben Kernel und Media Framework Komponenten der Hersteller HTC, NVIDIA und Qualcomm mit jeweils mindestens einer Schwachstelle genannt.

Google kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und wird die Firmware-Images über die Entwicklerseite zum Download zur Verfügung stellen. Für Schwachstellen, welche ausschließlich Google-Geräte betreffen, veröffentlicht der Hersteller eine zusätzliche Sicherheitsmeldung (siehe Pixel / Nexus Security Bulletin des Herstellers). Hier werden weitere Schwachstellen in verschiedenen Systemkomponenten (unter anderem Kernel, Media Framework und System) und Komponenten des Herstellers Qualcomm (unter anderem Camera, Power und WiFi) aufgeführt.

Samsung veröffentlicht für einige Geräte Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Zusätzlich werden 16 neue Samsung-spezifische Schwachstellen und Verwundbarkeiten (SVEs) adressiert. Samsung referenziert den Android Security Patch Level (SPL) February 1, 2018

Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2015-9016

Schwachstelle in Multi-queue block IO ermöglicht Privilegieneskalation

CVE-2017-1000405

Schwachstelle in Linux-Kernel ermöglicht u. a. Beeinträchtigung der Systemintegrität

CVE-2017-11041

Schwachstelle in LibOmxVenc ermöglicht Ausführen beliebigen Programmcodes

CVE-2017-13228

Schwachstelle in Media Framework ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-13229

Schwachstelle in Media Framework ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-13230

Schwachstelle in Media Framework ermöglicht u.a. Ausführung beliebigen Programmcodes

CVE-2017-13231

Schwachstelle in Media Framework ermöglicht Privilegieneskalation

CVE-2017-13232

Schwachstelle in Media Framework ermöglicht Ausspähen von Informationen

CVE-2017-13233 CVE-2017-13234

Schwachstellen in Media Framework ermöglichen Denial-of-Service-Angriffe

CVE-2017-13235

Schwachstelle in Media Framework ermöglicht Denial-of-Service-Angriff

CVE-2017-13236

Schwachstelle in Android 'System' ermöglicht Privilegieneskalation

CVE-2017-13238

Schwachstelle in HTC Bootloader ermöglicht Ausspähen von Informationen

CVE-2017-13239 CVE-2017-13240

Schwachstellen in Framework ermöglichen Ausspähen von Informationen

CVE-2017-13241

Schwachstelle in Media Framework ermöglicht Ausspähen von Informationen

CVE-2017-13242 CVE-2017-13243

Schwachstellen in Android 'System' ermöglichen Ausspähen von Informationen

CVE-2017-13244 CVE-2017-13245

Schwachstellen in Kernel-Komponenten Easel / Audio Driver ermöglichen Privilegieneskalation

CVE-2017-13246

Schwachstelle in Kernel-Komponente Network Driver ermöglicht Ausspähen von Informationen

CVE-2017-13247

Schwachstelle in HTC Bootloader ermöglicht Privilegieneskalation

CVE-2017-14881 CVE-2017-14877 CVE-2017-15826 CVE-2017-14876 CVE-2017-14892 CVE-2017-17766

Schwachstellen in Qualcomm-Komponenten ermöglichen Privilegieneskalation

CVE-2017-14884 CVE-2017-17761 CVE-2017-17762 CVE-2017-17764 CVE-2017-17765

Schwachstellen in Qualcomm WLan ermöglichen Privilegieneskalation

CVE-2017-14910

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2017-15265

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2017-15817 CVE-2017-17760

Schwachstellen in Qualcomm WLan ermöglichen Ausführung beliebigen Programmcodes

CVE-2017-15820 CVE-2017-15829

Schwachstellen in Qualcomm Graphics_Linux ermöglichen Privilegieneskalation

CVE-2017-15823 CVE-2017-15852 CVE-2017-15846 CVE-2017-14883 CVE-2017-11043 CVE-2017-17771

Schwachstellen in Qualcomm-Komponenten ermöglichen Privilegieneskalation

CVE-2017-15859 CVE-2017-17769 CVE-2017-14875 CVE-2017-14891 CVE-2017-11087

Schwachstellen in Qualcomm-Komponenten ermöglichen Ausspähen von Informationen

CVE-2017-17767

Schwachstelle in Media Framework ermöglicht Privilegieneskalation

CVE-2017-17770

Schwachstelle in Qualcomm Binder ermöglicht Privilegieneskalation

CVE-2017-6258 CVE-2017-6279

Schwachstellen in NVIDIA-Komponente ermöglichen Privilegieneskalation

CVE-2017-9723

Schwachstelle in Qualcomm-Komponente ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.