2019-2290: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste

Historie:

Version 1 (2019-11-05 17:08)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Mehrere Schwachstellen in Google Android 8.0, 8.1, 9 und 10 vor Patch-Level 2019-11-05 ermöglichen einem entfernten, nicht authentifizierten Angreifer die Eskalation von Privilegien, die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste und das Ausspähen sensibler Informationen mit Hilfe speziell präparierter Dateien, auf die das System oder installierte Anwendungen zugreifen, oder über speziell präparierte Anwendungen selbst. Solche Anwendungen müssen zur Ausnutzung der Schwachstellen lokal installiert und ausgeführt werden. Einige der Schwachstellen erfordern physischen Zugriff auf betroffene Geräte, beispielsweise während des Boot-Vorgangs. Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, die Denial-of-Service (DoS) und weitere nicht spezifizierte Angriffe ermöglichen. Insgesamt werden acht der Schwachstellen von Google oder Qualcomm als kritisch eingestuft.

Google stellt die Patch-Level 2019-11-01 und 2019-11-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2019-11-01 behebt dabei Schwachstellen im Google Android Framework, in der Komponente Library, im Media Framework und im Grundsystem. Der Patch-Level 2019-11-05 behebt im Wesentlichen hardwarespezifische Schwachstellen und Schwachstellen im Kernel des Systems.

Google kündigt für Google Pixel Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Der Hersteller nennt diesen Monat mehrere zusätzliche Schwachstellen, die speziell nur die Google-Geräte der Produktserie Pixel betreffen.

Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Die Hersteller beheben zusätzlich Schwachstellen für Geräte aus eigener Produktion. Die Patch-Level der veröffentlichten Sicherheitsupdates werden mit 'SMR November-2019 Release 1' für Samsung-Geräte und '2019-11-01' für LG angegeben.

Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2017-11078

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2017-15828

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2018-1108

Schwachstelle in Linux-Kernel ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-11266

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2018-11274

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2018-11852

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-11863

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2018-11883

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2018-11886

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2018-11903

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2018-5856

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2018-5911

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2018-5918

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-10484 CVE-2019-10485 CVE-2019-10559 CVE-2019-2319 CVE-2019-2337 CVE-2019-2338

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-10493 CVE-2019-10511 CVE-2019-2288 CVE-2019-2320 CVE-2019-2321

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-10520

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2019-10530

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-10545

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-10555

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-10571

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-11833

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2019-15917

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2019-2036

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2019-2192 CVE-2019-2193 CVE-2019-2195 CVE-2019-2199

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2019-2196 CVE-2019-2198

Schwachstellen in Framework ermöglichen Ausspähen von Informationen

CVE-2019-2197 CVE-2019-2211

Schwachstellen in Framework ermöglichen Ausspähen von Informationen

CVE-2019-2201

Schwachstelle in libjpeg-turbo ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-2202 CVE-2019-2203

Schwachstellen in Media Framework ermöglichen Privilegieneskalation

CVE-2019-2204 CVE-2019-2205 CVE-2019-2206

Schwachstellen in System ermöglichen Ausführen beliebigen Programmcodes mit Rechten privilegierter Dienste

CVE-2019-2207 CVE-2019-2233

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2019-2208 CVE-2019-2209 CVE-2019-2212

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2019-2210

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2019-2213

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2019-2214

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2019-2215

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2019-2310

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-9466

Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-9467

Schwachstelle in LG-Komponente Bootloader ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.