2019-1322: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-07-02 14:23): Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Google
Linux

Beschreibung:

Mehrere Schwachstellen in Google Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 und 9 vor Patch-Level 2019-07-05 ermöglichen einem entfernten, nicht authentifizierten Angreifer die Eskalation von Privilegien, die Ausführung beliebigen Programmcodes mit den Rechten privilegierter und unprivilegierter Prozesse und das Ausspähen sensibler Informationen über speziell präparierte Anwendungen oder mit Hilfe speziell präparierter Dateien, auf die das System oder installierte Anwendungen zugreifen. Solche Anwendungen müssen zur Ausnutzung der Schwachstellen lokal installiert und ausgeführt werden. Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, die nicht spezifizierte Angriffe ermöglichen. Insgesamt werden neun der Schwachstellen von Google oder Qualcomm als kritisch eingestuft.

Google stellt die Patch-Level 2019-07-01 und 2019-07-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2019-07-01 behebt dabei allgemeine Schwachstellen im Google Android Betriebssystem und dort eingesetzten Frameworks und Bibliotheken. Der Patch-Level 2019-07-05 behebt hardwarespezifische Schwachstellen.

Google kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Der Hersteller nennt diesen Monat an üblicher Stelle keine zusätzlichen Schwachstellen, die speziell nur die Google-Geräte der Produktserien Pixel und Nexus betreffen.

Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Die Hersteller beheben zusätzlich Schwachstellen für Geräte aus eigener Produktion. Die Patch-Level der veröffentlichten Sicherheitsupdates werden mit 'SMR July-2019 Release 1' für Samsung-Geräte und '2019-07-01' für LG angegeben.

Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2019-2104

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2019-2105

Schwachstelle in Library ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-2106 CVE-2019-2107 CVE-2019-2109

Schwachstellen in Media Framework ermöglichen Ausführung beliebigen Programmcodes

CVE-2019-2111

Schwachstelle in System ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-2112 CVE-2019-2113

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2019-2116 CVE-2019-2117 CVE-2019-2118 CVE-2019-2119

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2019-2235 CVE-2019-2236 CVE-2019-2237 CVE-2019-2238 CVE-2019-2239 CVE-2019-2240 CVE-2019-2241

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-2253 CVE-2019-2334 CVE-2019-2346

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe