2019-0030: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-01-08 14:00)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Eine vom Hersteller als kritisch bewertete Schwachstelle in Google Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 und 9 vor Patch-Level 2019-01-01 ermöglicht einem entfernten, nicht authentisierten Angreifer beliebigen Programmcode zur Ausführung zu bringen. Mehrere weitere Schwachstellen, deren Schweregrad als 'high' eingestuft wird, ermöglichen einem entfernten Angreifer mittels speziell manipulierter, lokal installierter Anwendungen die Eskalation von Privilegien und das Ausspähen von Informationen. Die Auswirkungen zusätzlicher Schwachstellen in verschiedenen Qualcomm-Komponenten werden von Google nicht spezifiziert. Der Schweregrad der Schwachstellen in den Qualcomm-Komponenten wird mit einer Ausnahme als 'high' bewertet. Die Ausnahme wird von der zweiten kritischen Schwachstelle gebildet, die mit diesem Sicherheitsupdate behoben wird.

Google stellt die Patch-Level 2019-01-01 und 2019-01-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2019-01-01 behebt Schwachstellen in den von Google Android eingesetzten Komponenten Framework und System. Der Patch-Level 2019-01-05 adressiert Schwachstellen in Kernel-Komponenten und hardwarespezifische Schwachstellen in Chipsätzen und Treibern von NVIDIA und Qualcomm.

Google kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Für Schwachstellen, welche ausschließlich Google-Geräte betreffen, veröffentlicht der Hersteller eine zusätzliche Sicherheitsmeldung (siehe Pixel / Nexus Security Bulletin des Herstellers). Hier werden zwei als 'moderate' eingestufte Schwachstellen aufgeführt, die das Ausspähen von Informationen ermöglichen.

Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit denen einige der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Beide Hersteller beheben zusätzlich Schwachstellen für Geräte aus eigener Produktion. Die Version 'SMR Jan-2019 Release 1' steht für Samsung-Geräte zur Verfügung und beinhaltet alle Patches von Samsung und Google. LG stellt den Patch-Level '2019-01-01' bereit.

Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2018-10876

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2018-10877

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2018-10880

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2018-10882

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2018-11847

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2018-11888 CVE-2018-13888

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2018-11962 CVE-2018-12014 CVE-2018-13889

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2018-13098

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2018-13099

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2018-13405

Schwachstelle in Linux-Kernel ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-17182

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2018-18281

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2018-6241

Schwachstelle in NVIDIA-Komponente ermöglicht Privilegieneskalation

CVE-2018-9582

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2018-9583

Schwachstelle in System ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-9584 CVE-2018-9585 CVE-2018-9586 CVE-2018-9587

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2018-9588 CVE-2018-9589 CVE-2018-9590 CVE-2018-9591 CVE-2018-9592 CVE-2018-9593 CVE-2018-9594

Schwachstellen in System ermöglichen Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.