2019-0651: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2019-04-02 16:44)
- Neues Advisory
Betroffene Software
Systemsoftware
Betroffene Plattformen
Google
Linux
Beschreibung:
Mehrere Schwachstellen in Google Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 und 9 vor Patch-Level 2019-04-05 ermöglichen einem zumeist entfernten, nicht authentifizierten Angreifer die Eskalation von Privilegien, die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste und das Ausspähen sensibler Informationen mit Hilfe speziell präparierter Anwendungen. Solche Anwendungen müssen zur Ausnutzung der Schwachstellen lokal installiert und ausgeführt werden. Die Auswirkungen zusätzlicher Schwachstellen in verschiedenen Qualcomm-Komponenten werden von Google nicht spezifiziert. Insgesamt zehn der Schwachstellen werden als kritisch eingestuft.
Google stellt die Patch-Level 2019-04-01 und 2019-04-05 als Sicherheitsupdates zur Behebung der Schwachstellen in Google Android bereit. Der Patch-Level 2019-04-01 behebt Schwachstellen in den von Google Android eingesetzten Komponenten Framework (Sammlung von Programmschnittstellen), Media Framework und System (grundlegende Systemanwendungen). Der Patch-Level 2019-04-05 adressiert Schwachstellen in System und hardwarespezifische Schwachstellen in Chipsätzen und Treibern von Qualcomm.
Google kündigt für Google-Geräte (Nexus, Pixel) mit Android 9 Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Der Sicherheitshinweis für diese Geräte enthält in diesem Monat keine zusätzlichen Schwachstellen.
Der Hersteller Samsung veröffentlicht die Version 'SMR Apr-2019 Release 1' als Sicherheitsupdate, mit dem einige der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise bereits mit früheren Android Security Bulletins adressiert wurden. Diese Version beinhaltet zusätzliche Patches für Schwachstellen in Geräten aus eigener Herstellung.
Der Hersteller LG veröffentlicht ein Sicherheitsupdate, mit dem einige der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise bereits mit früheren Android Security Bulletins adressiert wurden. Zusätzlich werden Schwachstellen für Geräte aus eigener Produktion behoben. LG stellt dafür Patch-Level '2019-04-01' bereit.
Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.
Schwachstellen:
CVE-2017-17772 CVE-2018-11294 CVE-2018-11299 CVE-2018-11826 CVE-2018-11827 CVE-2018-11840 CVE-2018-11851
Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2018-11271 CVE-2018-11976 CVE-2018-12004 CVE-2018-13886 CVE-2018-13887 CVE-2019-2250
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2018-11291 CVE-2018-11821 CVE-2018-11822 CVE-2018-11828 CVE-2018-11849 CVE-2018-11850 CVE-2018-11853
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2018-11854 CVE-2018-11856 CVE-2018-11859 CVE-2018-11861 CVE-2018-11862 CVE-2018-11867 CVE-2018-11870
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2018-11860 CVE-2018-11868 CVE-2018-11869 CVE-2018-11878 CVE-2018-11889 CVE-2018-11891 CVE-2018-11894
Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2018-11871 CVE-2018-11872 CVE-2018-11873 CVE-2018-11874 CVE-2018-11875 CVE-2018-11876 CVE-2018-11877
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2018-11879 CVE-2018-11880 CVE-2018-11882 CVE-2018-11884 CVE-2018-11928 CVE-2018-11936 CVE-2018-11967
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2018-11895 CVE-2018-11897 CVE-2018-11902 CVE-2018-11904 CVE-2018-11905 CVE-2018-11923 CVE-2018-11924
Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2018-11925 CVE-2018-11927 CVE-2018-11930 CVE-2018-11937 CVE-2018-11949 CVE-2018-11953 CVE-2018-5855
Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2018-11940
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2018-11968 CVE-2018-12005 CVE-2018-12012 CVE-2018-12013 CVE-2018-13885 CVE-2018-13895 CVE-2018-13925
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2018-13920
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2019-2026
Schwachstelle in Framework ermöglicht PrivilegieneskalationCVE-2019-2027 CVE-2019-2028
Schwachstellen in Media Framework ermöglichen Ausführung beliebigen ProgrammcodesCVE-2019-2029
Schwachstelle in System ermöglicht Ausführung beliebigen ProgrammcodesCVE-2019-2030 CVE-2019-2031 CVE-2019-2033 CVE-2019-2034 CVE-2019-2035
Schwachstellen in System ermöglichen PrivilegieneskalationCVE-2019-2032 CVE-2019-2041
Schwachstellen in System ermöglichen PrivilegieneskalationCVE-2019-2037
Schwachstelle in System ermöglicht Ausspähen von InformationenCVE-2019-2038 CVE-2019-2039 CVE-2019-2040
Schwachstellen in System ermöglichen Ausspähen von InformationenCVE-2019-2244 CVE-2019-2245
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.