2020-0429: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste

Historie:

Version 1 (2020-03-03 18:19)

Neues Advisory

Version 2 (2020-03-04 10:06)

Google aktualisiert die Sicherheitshinweise für Google Android und Pixel und veröffentlicht die zu den einzelnen Schwachstellen korrespondierenden Android Open Source Project (AOSP)-Links.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Mehrere Schwachstellen in Google Android 8.0, 8.1, 9 und 10 vor Patch-Level 2020-03-05 ermöglichen einem Angreifer das Ausführen beliebigen Programmcodes mit den Rechten privilegierter Dienste, verschiedene Denial-of-Service (DoS)-Angriffe, die Eskalation von Privilegien und das Ausspähen sensibler Informationen. Weitere Schwachstellen in Komponenten von MediaTek und FPC ermöglichen ebenfalls das Ausspähen von Informationen und die Eskalation von Privilegien. Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, die nicht spezifizierte Angriffe ermöglichen. Insgesamt werden 17 der Schwachstellen von Google oder Qualcomm als kritisch eingestuft. Die Schwachstellen lassen sich zumeist über speziell präparierte Anwendungen oder Dateien ausnutzen, die lokal installiert oder verarbeitet werden müssen. Mehrere der Schwachstellen können auch über WLAN aus dem benachbarten Netzwerk ausgenutzt werden.

Google stellt die Patch-Level 2020-03-01 und 2020-03-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2020-03-01 behebt dabei Schwachstellen im Google Android Framework, Media Framework, im Grundsystem und im Google Play System. Der Patch-Level 2020-03-05 behebt im Wesentlichen hardwarespezifische Schwachstellen und Schwachstellen im Kernel des Systems.

Google kündigt für Google Pixel Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.

Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Die Hersteller beheben zusätzlich Schwachstellen für Geräte aus eigener Produktion. Die Patch-Level der veröffentlichten Sicherheitsupdates werden mit 'SMR March-2020 Release 1' für Samsung-Geräte und '2020-03-01' für LG angegeben.

Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2018-11838

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2018-11970 CVE-2019-10549 CVE-2019-10550 CVE-2019-10552 CVE-2019-10553 CVE-2019-10554 CVE-2019-10577 CVE-2019-10591

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-10126

Schwachstelle in Linux-Kernel ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2019-10526

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-10544

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-10546 CVE-2019-10586 CVE-2019-10587 CVE-2019-10593 CVE-2019-10594 CVE-2019-10612 CVE-2019-14030 CVE-2019-14031

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-10561 CVE-2019-10592

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-10569 CVE-2019-14032 CVE-2019-14068

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2019-10584

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-10603 CVE-2019-10604 CVE-2019-10616 CVE-2019-14000 CVE-2019-14015 CVE-2019-14026 CVE-2019-14027 CVE-2019-14028

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-10623

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-10638

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2019-11477

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2019-11478

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2019-11479

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2019-13272

Schwachstelle in Linux-Kernel ermöglicht u. a. Erlangen von Administratorrechten

CVE-2019-13631

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2019-14029 CVE-2019-14072

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2019-14045 CVE-2019-14071 CVE-2019-14083 CVE-2019-14086 CVE-2019-14095 CVE-2019-14097 CVE-2019-14098 CVE-2019-2317

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-14048 CVE-2019-14050 CVE-2019-14061 CVE-2019-14081 CVE-2019-14082 CVE-2019-14085 CVE-2019-2300 CVE-2019-2311

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-14079

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-14283

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-14815

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-14821

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-15090

Schwachstelle in Linux-Kernel ermöglicht u. a. Ausspähen von Informationen

CVE-2019-15117

Schwachstelle in Linux-Kernel ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-15211

Schwachstelle in Linux-Kernel ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2019-15212

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-15213

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2019-15215

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-15505

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-15666

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-15926

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-17052

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2019-17133

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-19525

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2019-19527

Schwachstelle in Linux-Kernel ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-19537

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2019-2194

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2019-2264

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-3846

Schwachstelle in Linux-Kernel ermöglicht u. a. Privilegieneskalation

CVE-2020-0010 CVE-2020-0011 CVE-2020-0012

Schwachstellen in FPC Fingerprint TEE ermöglichen Privilegieneskalation

CVE-2020-0029 CVE-2020-0035 CVE-2020-0037 CVE-2020-0038 CVE-2020-0039

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2020-0031

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2020-0032

Schwachstelle in Media Framework ermöglicht Ausführung beliebigen Programmcodes mit Rechten des Dienstes

CVE-2020-0033

Schwachstelle in Media Framework ermöglicht Privilegieneskalation

CVE-2020-0034

Schwachstelle in Libvpx ermöglicht Ausspähen von Informationen

CVE-2020-0036

Schwachstelle in System ermöglicht Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2020-0040

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2020-0041

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2020-0042 CVE-2020-0043 CVE-2020-0044

Schwachstellen in FPC Fingerprint TEE ermöglichen Ausspähen von Informationen

CVE-2020-0045 CVE-2020-0084

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2020-0046 CVE-2020-0047

Schwachstellen in Media Framework ermöglichen Privilegieneskalation

CVE-2020-0048 CVE-2020-0049

Schwachstellen in Media Framework ermöglichen Ausspähen von Informationen

CVE-2020-0050 CVE-2020-0051 CVE-2020-0052 CVE-2020-0053 CVE-2020-0054 CVE-2020-0063 CVE-2020-0085

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2020-0055 CVE-2020-0056 CVE-2020-0057 CVE-2020-0058 CVE-2020-0059 CVE-2020-0060 CVE-2020-0061 CVE-2020-0062

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2020-0066

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2020-0069

Schwachstelle in MediaTek-Komponente ermöglicht Privilegieneskalation

CVE-2020-0083

Schwachstelle in System ermöglicht Denial-of-Service-Angriff

CVE-2020-0087

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.