2020-0020: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2020-01-07 17:53)
- Neues Advisory
- Version 2 (2020-01-08 11:45)
- Der Hersteller LG hat nun ebenfalls ein Sicherheitsupdate veröffentlicht, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit '2020-01-01' angegeben.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Hardware
Google
Linux
Beschreibung:
Mehrere Schwachstellen in Google Android 8.0, 8.1, 9 und 10 vor Patch-Level 2020-01-05 ermöglichen einem meist entfernten, nicht authentifizierten Angreifer das Ausführen beliebigen Programmcodes mit den Rechten des betroffenen Dienstes, Denial-of-Service (DoS)-Angriffe, das Eskalieren von Privilegien und das Ausspähen sensibler Informationen. Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, die nicht spezifizierte Angriffe ermöglichen. Insgesamt werden zwei der Schwachstellen von Google als kritisch eingestuft.
Google stellt die Patch-Level 2020-01-01 und 2020-01-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2020-01-01 behebt dabei Schwachstellen im Google Android Framework, im Media Framework und im Grundsystem. Der Patch-Level 2020-01-05 behebt im Wesentlichen hardwarespezifische Schwachstellen und Schwachstellen im Kernel des Systems. Die Schwachstelle CVE-2020-0002 betrifft Codecs für Mediendateien und wird auch über Google-Play-System-Updates adressiert.
Google kündigt für Google Pixel Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Der Hersteller nennt diesen Monat mehrere zusätzliche Schwachstellen, die speziell nur die Google-Geräte der Produktserie Pixel betreffen.
Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzlich Schwachstellen für Geräte aus eigener Produktion. Das Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR January-2020 Release 1' angegeben.
Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.
Schwachstellen:
CVE-2018-11843
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2018-20856
Schwachstelle in Linux-Kernel ermöglicht Ausführung beliebigen ProgrammcodesCVE-2019-10558 CVE-2019-10581 CVE-2019-10585 CVE-2019-10602 CVE-2019-10606 CVE-2019-14010 CVE-2019-14023 CVE-2019-14024
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht näher spezifizierte AngriffeCVE-2019-14002 CVE-2019-14003 CVE-2019-14004 CVE-2019-14005 CVE-2019-14006
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht näher spezifizierte AngriffeCVE-2019-14008 CVE-2019-14013 CVE-2019-14014 CVE-2019-14016 CVE-2019-14017
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2019-15214
Schwachstelle in Linux-Kernel ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2019-17666
Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2019-2267 CVE-2019-10532 CVE-2019-10548 CVE-2019-10578 CVE-2019-10579 CVE-2019-10582 CVE-2019-10583 CVE-2019-10611
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2019-2293 CVE-2019-10486 CVE-2019-10494 CVE-2019-10503 CVE-2019-14034 CVE-2019-14036
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2020-0001 CVE-2020-0003
Schwachstellen in Framework ermöglichen PrivilegieneskalationCVE-2020-0002
Schwachstelle in Media Framework ermöglicht Ausführung beliebigen Programmcodes mit den Rechten des DienstesCVE-2020-0004
Schwachstelle in Framework ermöglicht Denial-of-Service-AngriffCVE-2020-0006 CVE-2020-0007 CVE-2020-0008
Schwachstellen in System ermöglichen Ausspähen von InformationenCVE-2020-0009
Schwachstelle in Kernel ermöglicht Privilegieneskalation
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.