2019-2095: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-10-08 16:16): Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Mehrere Schwachstellen in Google Android 7.1.1, 7.1.2, 8.0, 8.1, 9 und 10 vor Patch-Level 2019-10-05 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen und dadurch die Eskalation von Privilegien, die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste und das Ausspähen sensibler Informationen mit Hilfe speziell präparierter Dateien, auf die das System oder installierte Anwendungen zugreifen, oder über speziell präparierte Anwendungen selbst. Solche Anwendungen müssen zur Ausnutzung der Schwachstellen lokal installiert und ausgeführt werden. Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, die nicht spezifizierte Angriffe ermöglichen. Die Schwachstelle CVE-2019-2271 wird dabei sowohl als kritische, als auch als schwerwiegende Schwachstelle geführt. Insgesamt werden elf der Schwachstellen von Google oder Qualcomm als kritisch eingestuft.

Google stellt die Patch-Level 2019-10-01 und 2019-10-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2019-10-01 behebt dabei Schwachstellen im Google Android Framework und Media Framework. Der Patch-Level 2019-10-05 behebt im Wesentlichen hardwarespezifische Schwachstellen und eine Schwachstelle im Kernel des Systems.

Google kündigt für Google Pixel Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Der Hersteller nennt diesen Monat mehrere zusätzliche Schwachstellen, die speziell nur die Google-Geräte der Produktserie Pixel betreffen. Google weist darauf hin, dass CVE-2019-2215 nur die Modelle Pixel 1 und Pixel 2 betrifft. Diese Schwachstelle wird über das reguläre Oktober-Update behoben.

Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Die Hersteller beheben zusätzlich Schwachstellen für Geräte aus eigener Produktion. Die Patch-Level der veröffentlichten Sicherheitsupdates werden mit 'SMR October-2019 Release 1' für Samsung-Geräte und '2019-10-01' für LG angegeben.

Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2018-11902 CVE-2019-2268 CVE-2019-10535

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2018-13916 CVE-2019-2251 CVE-2019-2271 CVE-2019-2289 CVE-2019-2315 CVE-2019-2329 CVE-2019-2336 CVE-2019-2339

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2018-19824

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-2110

Schwachstelle in Media Framework ermöglicht Ausspähen von Informationen

CVE-2019-2114

Schwachstelle in System ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-2173

Schwachstelle in Framework ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-2183

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2019-2184 CVE-2019-2185 CVE-2019-2186

Schwachstellen in Media Framework ermöglichen Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2019-2187

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2019-2271 CVE-2019-2303 CVE-2019-2318 CVE-2019-2335 CVE-2019-10490 CVE-2019-2295 CVE-2019-10513