2019-1121: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2019-06-04 14:35)
- Neues Advisory
Betroffene Software
Systemsoftware
Betroffene Plattformen
Google
Linux
Beschreibung:
Mehrere Schwachstellen in Google Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 und 9 vor Patch-Level 2019-06-05 ermöglichen einem entfernten, nicht authentifizierten Angreifer die Eskalation von Privilegien, die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste und das Ausspähen sensibler Informationen mit Hilfe speziell präparierter Dateien, auf die das System oder installierte Anwendungen zugreifen, oder über speziell präparierte Anwendungen. Solche Anwendungen müssen zur Ausnutzung der Schwachstellen lokal installiert und ausgeführt werden. Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, die nicht spezifizierte Angriffe ermöglichen. Insgesamt werden acht der Schwachstellen von Google oder Qualcomm als kritisch eingestuft.
Google stellt die Patch-Level 2019-06-01 und 2019-06-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2019-06-01 behebt dabei allgemeine Schwachstellen im Google Android Betriebssystem und dort eingesetzten Frameworks. Der Patch-Level 2019-06-05 behebt im Wesentlichen hardwarespezifische Schwachstellen und je eine Schwachstelle im Kernel des Systems und im Media Framework.
Google kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Der Hersteller nennt diesen Monat an üblicher Stelle keine zusätzlichen Schwachstellen, die speziell nur die Google-Geräte der Produktserien Pixel und Nexus betreffen.
Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Die Hersteller beheben zusätzlich Schwachstellen für Geräte aus eigener Produktion. Die Patch-Level der veröffentlichten Sicherheitsupdates werden mit 'SMR June-2019 Release 1' für Samsung-Geräte und '2019-06-01' für LG angegeben.
Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.
Schwachstellen:
CVE-2018-13896 CVE-2018-13924 CVE-2018-13927 CVE-2019-2243 CVE-2019-2261
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2018-9526
Schwachstelle in Framework ermöglicht Ausspähen von InformationenCVE-2019-2090 CVE-2019-2091 CVE-2019-2092
Schwachstellen in Framework ermöglichen PrivilegieneskalationCVE-2019-2093 CVE-2019-2094 CVE-2019-2095
Schwachstellen in Media Framework ermöglichen Ausführung beliebigen ProgrammcodesCVE-2019-2096
Schwachstelle in Media Framework ermöglicht PrivilegieneskalationCVE-2019-2097
Schwachstelle in System ermöglicht Ausführung beliebigen ProgrammcodesCVE-2019-2101
Schwachstelle in Linux-Kernel ermöglicht Ausspähen von InformationenCVE-2019-2102 CVE-2019-2098 CVE-2019-2099
Schwachstellen in System ermöglichen PrivilegieneskalationCVE-2019-2260
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2019-2269
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2019-2287
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2019-2292
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.