2018-2465: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-12-04 15:24)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Mehrere Schwachstellen in Google Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 und 9 vor Patch-Level 2018-12-05 ermöglichen einem entfernten, nicht authentifizierten Angreifer die Eskalation von Privilegien, die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste wie dem Media Framework und das Ausspähen sensibler Informationen mit Hilfe speziell präparierter Anwendungen. Solche Anwendungen müssen zur Ausnutzung der Schwachstellen lokal installiert und ausgeführt werden. Insgesamt elf der Schwachstellen werden als kritisch eingestuft.

Google stellt die Patch-Level 2018-12-01 und 2018-12-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2018-12-01 behebt dabei allgemeine Schwachstellen im Google Android Betriebssystem und dort eingesetzten Frameworks. Der Patch-Level 2018-12-05 behebt im Wesentlichen hardwarespezifische Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener Komponenten und Schwachstellen im Kernel des Systems.

Google kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Für Schwachstellen, welche ausschließlich Google-Geräte betreffen, veröffentlicht der Hersteller eine zusätzliche Sicherheitsmeldung (siehe Pixel / Nexus Security Bulletin des Herstellers). Hier wird eine weitere Schwachstelle im Speichermanager ION aufgeführt.

Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Die Hersteller beheben zusätzlich Schwachstellen für Geräte aus eigener Produktion. Die Version 'SMR Dec-2018 Release 1' für Samsung-Geräte beinhaltet alle Patches von Samsung und Google. LG gibt als Patch-Level '2018-12-01' an.

Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2017-11004 CVE-2017-18141 CVE-2018-5913 CVE-2018-11279

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2017-18160 CVE-2017-18326 CVE-2017-8276 CVE-2017-18328 CVE-2017-18329 CVE-2017-18330 CVE-2018-3595 CVE-2017-18320

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2017-18319 CVE-2017-18321 CVE-2017-18322 CVE-2017-18323 CVE-2017-18324 CVE-2017-18327 CVE-2017-18331 CVE-2017-18332

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2017-8248

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-10840

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2018-11960

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2018-11961

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2018-11963

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2018-11987

Schwachstelle in Qualcomm-Komponenten ermöglicht Privilegieneskalation

CVE-2018-11999 CVE-2018-5867 CVE-2018-5868 CVE-2018-5869 CVE-2017-5754 CVE-2018-5915 CVE-2018-11267 CVE-2018-11922

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2018-9538

Schwachstelle in Media Framework ermöglicht Privilegieneskalation

CVE-2018-9547

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2018-9548

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2018-9549 CVE-2018-9550 CVE-2018-9551 CVE-2018-9553

Schwachstellen in Media Framework ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-9552 CVE-2018-9554

Schwachstellen in Media Framework ermöglichen Ausspähen von Informationen

CVE-2018-9555 CVE-2018-9556

Schwachstellen in System ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-9557 CVE-2018-9558 CVE-2018-9559 CVE-2018-9560

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2018-9562 CVE-2018-9566

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2018-9565

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2018-9567

Schwachstelle in HTC Bootloader ermöglicht Privilegieneskalation

CVE-2018-9568

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.