DFN-CERT

Advisory-Archiv

2019-0454: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-03-05 14:59)
Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Google
Linux

Beschreibung:

Mehrere Schwachstellen in Google Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 und 9 vor Patch-Level 2019-03-05 ermöglichen einem entfernten, nicht authentifizierten Angreifer die Eskalation von Privilegien, die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste und das Ausspähen sensibler Informationen mit Hilfe speziell präparierter Anwendungen. Solche Anwendungen müssen zur Ausnutzung der Schwachstellen lokal installiert und ausgeführt werden. Die Auswirkungen zusätzlicher Schwachstellen in verschiedenen Qualcomm-Komponenten werden von Google nicht spezifiziert. Insgesamt elf der Schwachstellen werden als kritisch eingestuft.

Google stellt die Patch-Level 2019-03-01 und 2019-03-05 als Sicherheitsupdates zur Behebung der Schwachstellen in Google Android bereit. Der Patch-Level 2019-03-01 behebt Schwachstellen in den von Google Android eingesetzten Komponenten Framework (Sammlung von Programmschnittstellen), Media Framework und System (grundlegende Systemanwendungen). Der Patch-Level 2019-03-05 adressiert Schwachstellen in System und Kernel-Komponenten und hardwarespezifische Schwachstellen in Chipsätzen und Treibern von Qualcomm.

Google kündigt für Google-Geräte (Nexus, Pixel) mit Android 9 Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Der Sicherheitshinweis für diese Geräte enthält in diesem Monat keine zusätzlichen Schwachstellen.

Der Hersteller Samsung veröffentlicht die Version 'SMR Mar-2019 Release 1' als Sicherheitsupdate, mit dem einige der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise bereits mit früheren Android Security Bulletins adressiert wurden. Diese Version beinhaltet zusätzliche Patches für Schwachstellen in Geräten aus eigener Herstellung.

Der Hersteller LG veröffentlicht ein Sicherheitsupdate, mit dem einige der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise bereits mit früheren Android Security Bulletins adressiert wurden. Zusätzlich werden Schwachstellen für Geräte aus eigener Produktion behoben. LG stellt dafür Patch-Level '2019-03-01' bereit.

Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2017-8252

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten Angriff

CVE-2018-10883

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2018-11817

Schwachstelle in Qualcomm-Komponente ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-11958

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2018-11966 CVE-2018-11970 CVE-2018-11971 CVE-2018-13918

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2018-13899

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten Angriff

CVE-2018-13917

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2018-20346

Schwachstelle in SQLite ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2018-9561 CVE-2018-9563 CVE-2018-9564

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2019-1985 CVE-2019-2003 CVE-2019-2005

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2019-1989 CVE-2019-1990

Schwachstellen in Media Framework ermöglichen Ausführung beliebigen Programmcodes

CVE-2019-2004

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2019-2006 CVE-2019-2007 CVE-2019-2008

Schwachstellen in Media Framework ermöglichen Privilegieneskalation

CVE-2019-2009

Schwachstelle in System ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-2010 CVE-2019-2011 CVE-2019-2012 CVE-2019-2013 CVE-2019-2014

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2019-2015 CVE-2019-2016 CVE-2019-2017 CVE-2019-2018

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2019-2019 CVE-2019-2020 CVE-2019-2021 CVE-2019-2022

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2019-2023

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2019-2024

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2019-2025

Schwachstelle in Kernel ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.