2018-1794: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-09-05 18:22)
- Neues Advisory
Betroffene Software
Systemsoftware
Betroffene Plattformen
Google
Linux
Beschreibung:
Mehrere Schwachstellen in Google Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 und 9 vor Patch-Level 2018-09-05 ermöglichen einem entfernten, nicht authentifizierten Angreifer die Eskalation von Privilegien, die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste wie dem Media Framework, die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und das Ausspähen sensitiver Informationen mit Hilfe speziell präparierter Anwendungen. Solche Anwendungen müssen zur Ausnutzung der Schwachstellen lokal installiert und ausgeführt werden. Zusätzlich wird die Schwachstelle CVE-2017-5754 behoben, die auch unter dem Namen 'Meltdown' bekannt ist. Insgesamt elf der Schwachstellen werden als kritisch eingestuft.
Google stellt die Patch-Level 2018-09-01 und 2018-09-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2018-09-01 behebt dabei allgemeine Schwachstellen im Google Android Betriebssystem und dort eingesetzten Bibliotheken und Frameworks. Der Patch-Level 2018-09-05 behebt im Wesentlichen hardwarespezifische Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener Komponenten und Schwachstellen im Kernel des Systems.
Google kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Für Schwachstellen, welche ausschließlich Google-Geräte betreffen, veröffentlicht der Hersteller eine zusätzliche Sicherheitsmeldung (siehe Pixel / Nexus Security Bulletin des Herstellers). Hier werden weitere Schwachstellen in verschiedenen Systemkomponenten aufgeführt.
Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Die Hersteller beheben zusätzlich Schwachstellen für Geräte aus eigener Produktion. Die Version 'SMR Sep-2018 Release 1' für Samsung-Geräte beinhaltet alle Patches von Samsung und Google. LG gibt als Patch-Level '2018-09-01' an.
Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.
Schwachstellen:
CVE-2016-10394 CVE-2017-18314 CVE-2017-18311 CVE-2018-11950 CVE-2018-5866 CVE-2018-11824
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2016-10408 CVE-2017-18124 CVE-2017-18312 CVE-2017-18313 CVE-2018-11285 CVE-2018-11287 CVE-2018-11288
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2017-15825
Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-AngriffCVE-2017-5754
Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von InformationenCVE-2018-11265 CVE-2018-11273 CVE-2018-11276 CVE-2018-11281
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2018-11270
Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-AngriffCVE-2018-11290 CVE-2018-11292 CVE-2018-11846 CVE-2018-11855 CVE-2018-11857 CVE-2018-11858 CVE-2018-11865
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2018-11293 CVE-2018-11295 CVE-2018-11296 CVE-2018-11297 CVE-2018-11298 CVE-2018-11300 CVE-2018-11301
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2018-11816 CVE-2018-11261
Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2018-11836 CVE-2018-11842 CVE-2018-11898
Schwachstellen in Qualcomm-Komponente ermöglichen Denial-of-Service-AngriffeCVE-2018-11866 CVE-2018-11951 CVE-2018-11952 CVE-2018-3588 CVE-2018-5871 CVE-2018-5914
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2018-9411
Schwachstelle in Media Framework ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-9427
Schwachstelle in Media Framework ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-9440
Schwachstelle in Media Framework ermöglicht Denial-of-Service-AngriffCVE-2018-9456 CVE-2018-9487
Schwachstellen in System ermöglichen Denial-of-Service-AngriffeCVE-2018-9466
Schwachstelle in Android Runtime ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-9467
Schwachstelle in Android Runtime ermöglicht PrivilegieneskalationCVE-2018-9468
Schwachstelle in Android Framework ermöglicht Ausspähen von InformationenCVE-2018-9469 CVE-2018-9470 CVE-2018-9471
Schwachstellen in Android Framework ermöglichen PrivilegieneskalationCVE-2018-9472
Schwachstelle in Android Library ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-9474
Schwachstelle in Media Framework ermöglicht PrivilegieneskalationCVE-2018-9475 CVE-2018-9478 CVE-2018-9479
Schwachstellen in System ermöglichen PrivilegieneskalationCVE-2018-9477 CVE-2018-9488
Schwachstellen in System ermöglichen PrivilegieneskalationCVE-2018-9480 CVE-2018-9481 CVE-2018-9482 CVE-2018-9483 CVE-2018-9484 CVE-2018-9485 CVE-2018-9486
Schwachstellen in System ermöglichen Ausspähen von InformationenCVE-2018-9516
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2018-9517
Schwachstelle in Linux-Kernel ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-9518
Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-9519
Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.