2018-1985: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-10-02 17:28)
- Neues Advisory
Betroffene Software
Systemsoftware
Betroffene Plattformen
Google
Linux
Beschreibung:
Mehrere Schwachstellen in Google Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 und 9 vor Patch-Level 2018-10-05 ermöglichen einem entfernten, nicht authentifizierten Angreifer die Eskalation von Privilegien, die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste wie dem Media Framework, die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und das Ausspähen sensitiver Informationen mit Hilfe speziell präparierter Anwendungen. Solche Anwendungen müssen zur Ausnutzung der Schwachstellen lokal installiert und ausgeführt werden. Insgesamt acht der aktuell behobenen Schwachstellen werden als kritisch eingestuft.
Google stellt die Patch-Level 2018-10-01 und 2018-10-05 als Sicherheitsupdates bereit und kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Für Schwachstellen, welche ausschließlich Google-Geräte betreffen, veröffentlicht der Hersteller eine zusätzliche Sicherheitsmeldung (siehe Pixel / Nexus Security Bulletin des Herstellers). Hier werden aktuell allerdings keine weiteren konkreten Schwachstellen aufgeführt.
Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Die Hersteller beheben zusätzlich Schwachstellen für Geräte aus eigener Produktion. Die Version 'SMR Oct-2018 Release 1' für Samsung-Geräte beinhaltet alle Patches von Samsung und den Google 2018-10-01 Patch-Level. LG gibt als Patch-Level '2018-10-01' an.
Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.
Schwachstellen:
CVE-2017-13283
Schwachstelle in System ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-9452
Schwachstelle in Android Framework ermöglicht Denial-of-Service-AngriffCVE-2018-9473 CVE-2018-9496 CVE-2018-9497 CVE-2018-9498
Schwachstellen in Media Framework ermöglichen Ausführung beliebigen ProgrammcodesCVE-2018-9476
Schwachstelle in System ermöglicht PrivilegieneskalationCVE-2018-9490 CVE-2018-9492
Schwachstellen in Android Framework ermöglichen PrivilegieneskalationCVE-2018-9491
Schwachstelle in Android Framework ermöglicht Ausführen beliebigen ProgrammcodesCVE-2018-9493
Schwachstelle in Android Framework ermöglicht Ausspähen von InformationenCVE-2018-9499
Schwachstelle in Media Framework ermöglicht Ausspähen von InformationenCVE-2018-9501
Schwachstelle in System ermöglicht PrivilegieneskalationCVE-2018-9502 CVE-2018-9503 CVE-2018-9505 CVE-2018-9506 CVE-2018-9507 CVE-2018-9508 CVE-2018-9509 CVE-2018-9510
Schwachstellen in System ermöglichen Ausspähen von InformationenCVE-2018-9504
Schwachstelle in System ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-9511
Schwachstelle in System ermöglicht Denial-of-Service-AngriffCVE-2018-9513 CVE-2018-9514 CVE-2018-9515
Schwachstellen in Linux-Kernel ermöglichen Privilegieneskalation
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.