2019-2545: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste

Historie:

Version 1 (2019-12-03 15:13)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Mehrere Schwachstellen in Google Android 8.0, 8.1, 9 und 10 vor Patch-Level 2019-12-05 ermöglichen einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service (DoS)-Angriff, die Eskalation von Privilegien, die Ausführung beliebigen Programmcodes mit den Rechten privilegierter und unprivilegierter Dienste, das Ausspähen sensibler Informationen mit Hilfe speziell präparierter Dateien, auf die das System oder installierte Anwendungen zugreifen, oder über speziell präparierte Anwendungen selbst. Solche Anwendungen müssen zur Ausnutzung der Schwachstellen lokal installiert und ausgeführt werden. Mindestens eine der Schwachstellen erfordert privilegierten Zugriff auf betroffene Geräte. Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, die Denial-of-Service (DoS)- und weitere nicht spezifizierte Angriffe ermöglichen. Insgesamt werden sieben der Schwachstellen von Google oder Qualcomm als kritisch eingestuft.

Google stellt die Patch-Level 2019-12-01 und 2019-12-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2019-12-01 behebt dabei Schwachstellen im Google Android Framework, im Media Framework und im Grundsystem. Der Patch-Level 2019-12-05 behebt im Wesentlichen hardwarespezifische Schwachstellen und Schwachstellen im Kernel des Systems. Die Schwachstellen CVE-2019-2222 und CVE-2019-2223 betreffen Codecs für Mediendateien und werden auch über Google-Play-System-Updates adressiert.

Google kündigt für Google Pixel Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Der Hersteller nennt diesen Monat mehrere zusätzliche Schwachstellen, die speziell nur die Google-Geräte der Produktserie Pixel betreffen.

Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Die Hersteller beheben zusätzlich Schwachstellen für Geräte aus eigener Produktion. Die Patch-Level der veröffentlichten Sicherheitsupdates werden mit 'SMR December-2019 Release 1' für Samsung-Geräte und '2019-12-01' für LG angegeben.

Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2017-18379

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2017-18595

Schwachstelle in Linux-Kernel ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2018-11980 CVE-2019-10480 CVE-2019-10481 CVE-2019-10536 CVE-2019-10537

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2018-20961

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2019-10482 CVE-2019-10487 CVE-2019-10513 CVE-2019-10516 CVE-2019-10517 CVE-2019-10600 CVE-2019-2274

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-10500 CVE-2019-10525 CVE-2019-2242

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2019-10557 CVE-2019-10595 CVE-2019-10598 CVE-2019-10601 CVE-2019-10605 CVE-2019-2304

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2019-10607

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2019-15220

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2019-15239

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-2217 CVE-2019-2218 CVE-2019-2221 CVE-2019-9464

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2019-2219

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2019-2220

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2019-2222 CVE-2019-2223

Schwachstellen in Media Framework ermöglichen Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2019-2224

Schwachstelle in System ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-2225

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2019-2226 CVE-2019-2227 CVE-2019-2228 CVE-2019-2229 CVE-2019-2230

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2019-2231

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2019-2232

Schwachstelle in Framework ermöglicht Denial-of-Service-Angriff

CVE-2019-9465

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2019-9468

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2019-9469 CVE-2019-9470 CVE-2019-9471

Schwachstellen in Kernel ermöglichen Privilegieneskalation

CVE-2019-9472

Schwachstelle in Kernel ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.