2018-0857: Google Android Operating System: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-05-08 17:30)

Neues Advisory

Version 2 (2018-05-14 11:56)

Google aktualisiert den referenzierten Sicherheitshinweis und ergänzt die Links für Quellcode-Updates für das Android Open Source Project (AOSP).

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Cisco
Google
Linux

Beschreibung:

Mehrere Schwachstellen in Google Android 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 und 8.1 vor Patch Level 2018-05-05 ermöglichen einem entfernten, nicht authentifizierten Angreifer die Eskalation von Privilegien, die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste wie dem Media Framework, die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und das Ausspähen sensitiver Informationen mit Hilfe speziell präparierter Anwendungen. Solche Anwendungen müssen zur Ausnutzung der Schwachstellen lokal installiert und ausgeführt werden. Zwei der Schwachstellen werden vom Hersteller als 'kritisch' eingestuft. Mehrere weitere Schwachstellen in der WLAN-Komponente von Google Android können von einem nicht authentisierten Angreifer im benachbarten Netzwerk über speziell präparierte WLAN Access Points oder als Man-in-the-Middle ausgenutzt werden, um gleichartige Angriffe durchzuführen.

Google stellt die Patch Level 2018-05-01 und 2018-05-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch Level 2018-05-01 behebt dabei allgemeine Schwachstellen im Google Android Betriebssystem und dort eingesetzten Bibliotheken und Frameworks.

Der Patch Level 2018-05-05 behebt im Wesentlichen hardwarespezifische Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener Komponenten und Schwachstellen im Kernel des Systems. Hier werden neben weiteren Schwachstellen im Kernel auch Komponenten der Hersteller NVIDIA und Qualcomm genannt. Mit diesem Patch-Level werden nicht näher beschriebene Mitigationen gegen die Schwachstelle Meltdown (CVE-2017-5754) eingeführt und erneut ein Qualcomm-spezifisches Problem im Kontext der WLAN-Schwachstelle CRACK (CVE-2017-13077) adressiert. Zusätzlich wird ein Patch gegen Spectre v2 (CVE-2017-5715) für die NVIDIA-Komponente Trusted Little Kernel (TLK) zur Verfügung gestellt.

Google kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Für Schwachstellen, welche ausschließlich Google-Geräte betreffen, veröffentlicht der Hersteller eine zusätzliche Sicherheitsmeldung (siehe Pixel / Nexus Security Bulletin des Herstellers). Hier werden weitere Schwachstellen in verschiedenen Systemkomponenten (unter anderem Kernel, Media Framework und System) und Komponenten der Hersteller NVIDIA und Qualcomm (unter anderem Audio, Camera, Modem und WLAN) aufgeführt.

Samsung und LG veröffentlichen für einige Geräte Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Beide Hersteller beheben zusätzlich Schwachstellen für Geräte aus eigener Produktion. Als Patch-Level geben die Hersteller '2018-05-01' an. Kürzlich ist allerdings bekannt geworden, dass LG in der Vergangenheit nicht alle in den jeweiligen Sicherheitshinweisen aufgeführten Schwachstellen behoben hat (siehe Referenz anbei).

Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2017-13077

Schwachstelle in WPA2-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-13309

Schwachstelle in Android Runtime ermöglicht Ausspähen von Informationen

CVE-2017-13310 CVE-2017-13311

Schwachstellen in Framework ermöglichen Umgehen von Sicherheitsvorkehrungen

CVE-2017-13312 CVE-2017-13313

Schwachstellen in Media Framework ermöglichen Umgehen von Sicherheitsvorkehrungen

CVE-2017-13314 CVE-2017-13315

Schwachstellen in System ermöglichen Umgehen von Sicherheitsvorkehrungen

CVE-2017-13316

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2017-13317 CVE-2017-13318 CVE-2017-13319 CVE-2017-13320

Schwachstellen in Media Framework ermöglichen Ausspähen von Informationen und Denial-of-Service-Angriffe

CVE-2017-13321

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2017-13322

Schwachstelle in System ermöglicht Denial-of-Service-Angriff

CVE-2017-13323

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2017-15129

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2017-15832 CVE-2017-15854 CVE-2017-18070 CVE-2018-3576 CVE-2018-3581 CVE-2018-3582 CVE-2018-5842 CVE-2018-5851

Schwachstellen in Qualcomm-Komponente ermöglichen Privilegieneskalation

CVE-2017-15842

Schwachstelle in Qualcomm-Komponente ermöglicht Privilegieneskalation

CVE-2017-15843

Schwachstelle in Qualcomm-Komponente ermöglicht Privilegieneskalation

CVE-2017-15857

Schwachstelle in Qualcomm-Komponente ermöglicht Privilegieneskalation

CVE-2017-16643

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2017-18153

Schwachstelle in Qualcomm-Komponente ermöglicht Privilegieneskalation

CVE-2017-18154

Schwachstelle in Qualcomm-Komponente ermöglicht Privilegieneskalation

CVE-2017-5715

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

CVE-2017-5754

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

CVE-2017-6289

Schwachstelle in NVIDIA-Komponente ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-6293

Schwachtelle in NVIDIA-Komponente ermöglicht Privilegieneskalation

CVE-2018-3562

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2018-3565

Schwachstelle in Qualcomm-Komponente ermöglicht Privilegieneskalation

CVE-2018-3571

Schwachstelle in Qualcomm-Komponente ermöglicht Privilegieneskalation

CVE-2018-3572

Schwachstelle in Qualcomm-Komponente ermöglicht Privilegieneskalation

CVE-2018-3578

Schwachstelle in Qualcomm-Komponente ermöglicht Privilegieneskalation

CVE-2018-3579

Schwachstelle in Qualcomm-Komponente ermöglicht Ausspähen von Informationen

CVE-2018-3580

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-5344

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2018-5840

Schwachstelle in Qualcomm-Komponente ermöglicht Privilegieneskalation

CVE-2018-5841

Schwachstelle in Qualcomm-Komponente ermöglicht Privilegieneskalation

CVE-2018-5843

Schwachstelle in Qualcomm-Komponente ermöglicht Privilegieneskalation

CVE-2018-5844

Schwachstelle in Qualcomm-Komponente ermöglicht Privilegieneskalation

CVE-2018-5845

Schwachstelle in Qualcomm-Komponente ermöglicht Privilegieneskalation

CVE-2018-5846

Schwachstelle in Qualcomm-Komponente ermöglicht Privilegieneskalation

CVE-2018-5847

Schwachstelle in Qualcomm-Komponente ermöglicht Privilegieneskalation

CVE-2018-5848

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2018-5849

Schwachstelle in Qualcomm-Komponente ermöglicht Privilegieneskalation

CVE-2018-5850

Schwachstelle in Qualcomm-Komponente ermöglicht Privilegieneskalation

CVE-2018-5852

Schwachstelle in Qualcomm-Komponente ermöglicht Ausspähen von Informationen

CVE-2018-5853

Schwachstelle in Qualcomm-Komponente ermöglicht Privilegieneskalation

CVE-2018-6246

Schwachstelle in NVIDIA-Komponente ermöglicht Ausspähen von Informationen

CVE-2018-6254

Schwachstelle in NVIDIA-Komponente ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.