2018-1549: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-08-07 18:25): Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Mehrere Schwachstellen in Google Android 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 und 8.1 vor Patch-Level 2018-08-05 ermöglichen einem entfernten, nicht authentifizierten Angreifer die Eskalation von Privilegien, die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste wie dem Media Framework, die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und das Ausspähen sensitiver Informationen mit Hilfe speziell präparierter Anwendungen. Solche Anwendungen müssen zur Ausnutzung der Schwachstellen lokal installiert und ausgeführt werden. Insgesamt sieben der Schwachstellen werden als kritisch eingestuft.

Google stellt die Patch-Level 2018-08-01 und 2018-08-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2018-08-01 behebt dabei allgemeine Schwachstellen im Google Android Betriebssystem und dort eingesetzten Bibliotheken und Frameworks. Der Patch-Level 2018-08-05 behebt im Wesentlichen hardwarespezifische Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener Komponenten und Schwachstellen im Kernel des Systems.

Google kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Für Schwachstellen, welche ausschließlich Google-Geräte betreffen, veröffentlicht der Hersteller eine zusätzliche Sicherheitsmeldung (siehe Pixel / Nexus Security Bulletin des Herstellers). Hier werden weitere Schwachstellen in verschiedenen Systemkomponenten aufgeführt.

Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Die Hersteller beheben zusätzlich Schwachstellen für Geräte aus eigener Produktion. Die Version 'SMR Aug-2018 Release 1' für Samsung-Geräte beinhaltet alle Patches von Samsung und Google. LG gibt als Patch-Level '2018-08-01' an.

Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2017-1000100

Schwachstelle in cURL und libcurl ermöglicht Denial-of-Service-Angriff und Ausspähen von Informationen

CVE-2017-13077

Schwachstelle in WPA2-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-13242

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2017-13295

Schwachstelle in Framework ermöglicht Denial-of-Service-Angriff

CVE-2017-13322 CVE-2018-9447

Schwachstellen in System ermöglichen Denial-of-Service-Angriffe

CVE-2017-15817

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2017-18249

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2017-18280 CVE-2017-18282 CVE-2017-18283

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2017-18281

Schwachstelle in Qualcomm-Komponente ermöglicht Ausspähen von Informationen

CVE-2017-18292 CVE-2017-18293 CVE-2017-18294 CVE-2017-18295 CVE-2017-18296 CVE-2017-18297 CVE-2017-18298

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2017-18299 CVE-2017-18300 CVE-2017-18301 CVE-2017-18302 CVE-2017-18303 CVE-2017-18304 CVE-2017-18305

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2017-18305

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2017-18306 CVE-2017-18307

Schwachstellen in Qualcomm-Komponenten ermöglichen Ausspähen von Informationen