2019-0908: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2019-05-07 17:22)
- Neues Advisory
Betroffene Software
Systemsoftware
Betroffene Plattformen
Google
Linux
Beschreibung:
Mehrere Schwachstellen in Google Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 und 9 vor Patch-Level 2019-05-05 ermöglichen einem entfernten, nicht authentifizierten Angreifer die Eskalation von Privilegien, die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste, Denial-of-Service (DoS)-Angriffe und das Ausspähen sensibler Informationen mit Hilfe speziell präparierter Anwendungen. Solche Anwendungen müssen zur Ausnutzung der Schwachstellen lokal installiert und ausgeführt werden. Mehrere weitere Schwachstellen in der Bluetooth- und WLAN-Funktionalität betroffener Geräte ermöglichen einem Angreifer im benachbarten Netzwerk weitere Denial-of-Service-Angriffe und das Ausspähen zusätzlicher Informationen. Es existieren zusätzliche Schwachstellen in nicht quelloffenen Komponenten von Qualcomm. Insgesamt werden acht der Schwachstellen als kritisch eingestuft.
Google stellt die Patch-Level 2019-05-01 und 2019-05-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2019-05-01 behebt dabei allgemeine Schwachstellen im Google Android Betriebssystem und dort eingesetzten Frameworks. Der Patch-Level 2019-05-05 behebt im Wesentlichen hardwarespezifische Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener Komponenten und Schwachstellen im Kernel des Systems.
Google kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Der Hersteller nennt diesen Monat an üblicher Stelle keine zusätzlichen Schwachstellen, die speziell nur die Google-Geräte der Produktserien Pixel und Nexus betreffen. Die Schwachstelle CVE-2018-6243 betrifft allerdings die NVIDIA-Komponente 'Pixel C TrustZone'.
Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Die Hersteller beheben zusätzlich Schwachstellen für Geräte aus eigener Produktion. Die Patch-Level der veröffentlichten Sicherheitsupdates werden mit 'SMR May-2019 Release 1' für Samsung-Geräte und '2019-05-01' für LG angegeben.
Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.
Schwachstellen:
CVE-2018-11955
Schwachstelle in Qualcomm WLAN-Treiber ermöglicht u. a. Ausspähen von InformationenCVE-2018-13901 CVE-2018-13902 CVE-2018-13906 CVE-2018-13907 CVE-2018-13908 CVE-2018-13909 CVE-2018-13910 CVE-2018-13911
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2018-13919
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2018-19860
Schwachstelle in Broadcom-Komponente ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-5912 CVE-2018-13898 CVE-2019-2255 CVE-2019-2256
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2018-5913 CVE-2019-2257 CVE-2019-2259
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2018-6243
Schwachstelle in NVIDIA-Komponente ermöglicht PrivilegieneskalationCVE-2019-2043
Schwachstelle in Framework ermöglicht PrivilegieneskalationCVE-2019-2044
Schwachstelle in Media Framework ermöglicht Ausführung beliebigen ProgrammcodesCVE-2019-2045
Schwachstelle in libpac ermöglicht Ausführung beliebigen ProgrammcodesCVE-2019-2046
Schwachstelle in libpac ermöglicht Ausführung beliebigen ProgrammcodesCVE-2019-2047
Schwachstelle in libpac ermöglicht Ausführung beliebigen ProgrammcodesCVE-2019-2049
Schwachstelle in System ermöglicht Denial-of-Service-AngriffCVE-2019-2050
Schwachstelle in System ermöglicht Denial-of-Service-AngriffCVE-2019-2051
Schwachstelle in libpac ermöglicht Ausspähen von InformationenCVE-2019-2052
Schwachstelle in libpac ermöglicht Ausspähen von InformationenCVE-2019-2053
Schwachstelle in wpa_supplicant ermöglicht Ausspähen von InformationenCVE-2019-2054
Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.