2020-0710: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. eine Privilegieneskalation

Historie:

Version 1 (2020-04-07 20:01)

Neues Advisory

Version 2 (2020-04-09 10:40)

Google aktualisiert die Sicherheitshinweise für Google Android und Pixel und veröffentlicht die zu den einzelnen Schwachstellen korrespondierenden Android Open Source Project (AOSP)-Links.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Mehrere Schwachstellen in Google Android 8.0, 8.1, 9 und 10 vor Patch-Level 2020-04-05 ermöglichen einem Angreifer das Eskalieren von Privilegien, das Ausführen beliebigen Programmcodes mit den Rechten privilegierter Dienste, verschiedene Denial-of-Service (DoS)-Angriffe und das Ausspähen sensibler Informationen. Weitere Schwachstellen in Komponenten von FPC ermöglichen ebenfalls die Eskalation von Privilegien und das Ausspähen von Informationen. Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, die nicht spezifizierte Angriffe ermöglichen. Insgesamt werden 13 der Schwachstellen von Google oder Qualcomm als kritisch eingestuft. Die Schwachstellen lassen sich zumeist über speziell präparierte Anwendungen oder Dateien ausnutzen, die lokal installiert oder verarbeitet werden müssen. Mehrere der Schwachstellen können auch über WLAN aus dem benachbarten Netzwerk ausgenutzt werden.

Google stellt die Patch-Level 2020-04-01 und 2020-04-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2020-04-01 behebt dabei Schwachstellen im Google Android Framework, Media Framework, im Grundsystem und im Google Play System. Der Patch-Level 2020-04-05 behebt im Wesentlichen hardwarespezifische Schwachstellen und Schwachstellen im Kernel des Systems.

Google kündigt für Google Pixel Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.

Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Die Hersteller beheben zusätzlich Schwachstellen für Geräte aus eigener Produktion. Die Patch-Level der veröffentlichten Sicherheitsupdates werden mit 'SMR April-2020 Release 1' für Samsung-Geräte und '2020-04-01' für LG angegeben.

Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2019-10483 CVE-2019-10551 CVE-2019-10589 CVE-2019-10608 CVE-2019-10610 CVE-2019-14001 CVE-2019-14007 CVE-2019-14009

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-10523 CVE-2019-10574

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-10547

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-10556 CVE-2019-10620

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-10575 CVE-2019-10588 CVE-2019-10609 CVE-2019-14110 CVE-2019-14111 CVE-2019-14112 CVE-2019-14113 CVE-2019-14114

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-10621

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-10622

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-10624

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-10625

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-14011 CVE-2019-14012 CVE-2019-14018 CVE-2019-14019 CVE-2019-14020 CVE-2019-14021 CVE-2019-14022

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-14033 CVE-2019-14075 CVE-2019-14105 CVE-2019-14127 CVE-2019-14134 CVE-2019-14135 CVE-2020-3651

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-14040

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2019-14041

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-14070

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-14104

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-14122

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-14131

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-14132

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-19524

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2019-19532

Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-19807

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2019-2056

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2019-5018

Schwachstelle in SQLite ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-8457

Schwachstelle in Berkeley DB / SQLite ermöglicht u. a. Ausspähen von Informationen

CVE-2019-9936

Schwachstelle in SQLite ermöglicht Ausspähen von Informationen

CVE-2020-0067

Schwachstelle in Kernel ermöglicht Ausspähen von Informationen

CVE-2020-0068

Schwachstelle in Kernel ermöglicht Ausspähen von Informationen

CVE-2020-0070 CVE-2020-0071 CVE-2020-0072 CVE-2020-0073

Schwachstellen in System ermöglichen Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2020-0075 CVE-2020-0077

Schwachstellen in FPC Iris TZ ermöglichen Ausspähen von Informationen

CVE-2020-0076

Schwachstelle in FPC Iris TZ ermöglicht Privilegieneskalation

CVE-2020-0078 CVE-2020-0079

Schwachstellen in Media Framework ermöglichen Privilegieneskalation

CVE-2020-0080 CVE-2020-0082

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2020-0081

Schwachstelle in Framework ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.