2018-2250: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-11-06 17:03)
- Neues Advisory
Betroffene Software
Systemsoftware
Betroffene Plattformen
Google
Linux
Beschreibung:
Mehrere Schwachstellen in Google Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 und 9 vor Patch Level 2018-11-05 ermöglichen einem entfernten, nicht authentifizierten Angreifer die Eskalation von Privilegien, die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste wie dem Media Framework, die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und das Ausspähen sensitiver Informationen mit Hilfe speziell präparierter Anwendungen. Solche Anwendungen müssen zur Ausnutzung der Schwachstellen lokal installiert und ausgeführt werden. Zwei Schwachstellen in einer WLAN-Komponente können vermutlich aus dem benachbarten Netzwerk ohne Authentisierung ausgenutzt werden, die Ausnutzung mindestens einer der Schwachstellen erfordert möglicherweise physischen Zugriff auf betroffene Geräte.
Insgesamt sieben der neuen Schwachstellen werden als kritisch eingestuft. Zwei der aufgeführten Schwachstellen wurden bereits mit vorangegangenen Sicherheitsupdates adressiert und erhalten diesen Monat ein zusätzliches Update. Eine Vielzahl der referenzierten Schwachstellen besteht in der relativ neuen Bibliothek Libxaac, die in Google Android zur Komprimierung und Dekodierung von Mediendateien eingesetzt wird. Google hat diese Bibliothek im Zuge der Veröffentlichung der Sicherheitsupdates als 'experimentell' eingestuft und setzt diese in eigener Software nicht mehr ein.
Google stellt die Patch Level 2018-11-01 und 2018-11-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch Level 2018-11-01 behebt dabei allgemeine Schwachstellen im Google Android Betriebssystem und dort eingesetzten Bibliotheken und Frameworks. Der Patch Level 2018-07-05 behebt im Wesentlichen hardwarespezifische Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener Komponenten und Schwachstellen im Kernel des Systems.
Google kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Für Schwachstellen, welche ausschließlich Google-Geräte betreffen, veröffentlicht der Hersteller eine zusätzliche Sicherheitsmeldung (siehe Pixel / Nexus Security Bulletin des Herstellers). Hier werden weitere Schwachstellen in verschiedenen Systemkomponenten aufgeführt. Der Hersteller weist darauf hin, dass Google Nexus-Geräte diesen Monat letztmalig ein Sicherheitsupdate erhalten.
Samsung und LG veröffentlichen für einige Geräte Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Die Hersteller beheben zusätzlich Schwachstellen für Geräte aus eigener Produktion. Als Patch-Level wird jeweils '2018-11-01' angegeben.
Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.
Schwachstellen:
CVE-2016-10502 CVE-2017-18315 CVE-2017-18316 CVE-2017-18318
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2017-14888
Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-AngriffCVE-2017-15818
Schwachstelle in Qualcomm EcoSystem ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-15835
Schwachstelle in Qualcomm WLAN Host ermöglicht u. a. Denial-of-Service-AngriffCVE-2017-18317 CVE-2018-5912 CVE-2018-11264
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2018-11905
Schwachstelle in Qualcomm DSP_Services ermöglicht nicht spezifizierte AngriffeCVE-2018-11995
Schwachstelle in Qualcomm Bootloader ermöglicht nicht spezifizierte AngriffeCVE-2018-5870 CVE-2018-5877 CVE-2018-5916 CVE-2018-5917 CVE-2018-11269 CVE-2018-11994 CVE-2018-11996
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2018-9347
Schwachstelle in Media Framework ermöglicht Denial-of-Service-AngriffCVE-2018-9457
Schwachstelle in System ermöglicht Ausspähen von InformationenCVE-2018-9521 CVE-2018-9527 CVE-2018-9531
Schwachstellen in Media Framework ermöglichen Ausführung beliebigen ProgrammcodesCVE-2018-9522 CVE-2018-9524 CVE-2018-9525
Schwachstellen in Framework ermöglichen PrivilegieneskalationCVE-2018-9523
Schwachstelle in Framework ermöglicht PrivilegieneskalationCVE-2018-9526
Schwachstelle in Framework ermöglicht Ausspähen von InformationenCVE-2018-9528 CVE-2018-9529 CVE-2018-9530 CVE-2018-9531 CVE-2018-9532 CVE-2018-9533 CVE-2018-9534 CVE-2018-9535 CVE-2018-9569
Schwachstellen in Libxaac ermöglichen nicht spezifizierte AngriffeCVE-2018-9536 CVE-2018-9537 CVE-2018-9539
Schwachstellen in Media Framework ermöglichen PrivilegieneskalationCVE-2018-9540 CVE-2018-9541 CVE-2018-9542 CVE-2018-9543 CVE-2018-9544 CVE-2018-9545
Schwachstellen in System ermöglichen Ausspähen von InformationenCVE-2018-9570 CVE-2018-9571 CVE-2018-9572 CVE-2018-9573 CVE-2018-9574 CVE-2018-9575 CVE-2018-9576 CVE-2018-9577 CVE-2018-9578
Schwachstellen in Libxaac ermöglichen nicht spezifizierte AngriffeCVE-2018-9580
Schwachstelle in HTC Bootloader ermöglicht Privilegieneskalation
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.