2019-1587: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-08-06 13:14): Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Mehrere Schwachstellen in Google Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 und 9 vor Patch-Level 2019-08-05 ermöglichen einem zumeist entfernten, nicht authentifizierten Angreifer die Eskalation von Privilegien, die Ausführung beliebigen Programmcodes mit den Rechten privilegierter und unprivilegierter Prozesse, die Durchführung eines Denial-of-Service (DoS)-Angriffs und das Ausspähen sensibler Informationen mit Hilfe speziell präparierter Dateien, auf die das System oder installierte Anwendungen zugreifen. Solche Anwendungen müssen zur Ausnutzung der Schwachstellen lokal installiert und ausgeführt werden. Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, die nicht spezifizierte Angriffe ermöglichen. Eine weitere Schwachstelle existiert in der Bluetooth Komponente von Broadcom. Insgesamt werden fünf der Schwachstellen von Google, Broadcom oder Qualcomm als kritisch eingestuft.

Google stellt die Patch-Level 2019-08-01 und 2019-08-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2019-08-01 behebt dabei allgemeine Schwachstellen im Google Android Betriebssystem und dort eingesetzten Frameworks und Bibliotheken. Der Patch-Level 2019-08-05 behebt im Wesentlichen hardwarespezifische Schwachstellen sowie eine schwerwiegende Schwachstelle im Media Framework.

Google kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Für Schwachstellen, welche ausschließlich Google-Geräte betreffen, veröffentlicht der Hersteller eine zusätzliche Sicherheitsmeldung (siehe Pixel / Nexus Security Bulletin des Herstellers). Hier werden zwei als kritisch und eine als schwerwiegende eingestufte Schwachstelle aufgeführt.

Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Die Hersteller beheben zusätzlich Schwachstellen für Geräte aus eigener Produktion. Die Patch-Level der veröffentlichten Sicherheitsupdates werden mit 'SMR August-2019 Release 1' für Samsung-Geräte und '2019-08-01' für LG angegeben.

Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.