2020-0937: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. eine Privilegieneskalation
Historie:
- Version 1 (2020-05-05 17:59)
- Neues Advisory
- Version 2 (2020-05-06 11:10)
- Der Hersteller Samsung veröffentlicht Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzlich Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level der veröffentlichten Sicherheitsupdates wird mit 'SMR May-2020 Release 1' für Samsung-Geräte angegeben.
- Version 3 (2020-05-08 11:48)
- Google aktualisiert die Sicherheitshinweise für Google Android und Pixel und veröffentlicht die zu den einzelnen Schwachstellen korrespondierenden Android Open Source Project (AOSP)-Links.
- Version 4 (2020-05-08 13:40)
- Der Hersteller LG veröffentlicht Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzlich Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level der veröffentlichten Sicherheitsupdates wird mit '2020-05-01' für LG-Geräte angegeben.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Hardware
Google
Linux
Beschreibung:
Mehrere Schwachstellen in Google Android 8.0, 8.1, 9 und 10 vor Patch-Level 2020-05-05 ermöglichen einem Angreifer das Eskalieren von Privilegien, das Ausführen beliebigen Programmcodes mit den Rechten privilegierter Dienste, verschiedene Denial-of-Service (DoS)-Angriffe und das Ausspähen sensibler Informationen. Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, die nicht spezifizierte Angriffe ermöglichen. Insgesamt werden drei der Schwachstellen von Google oder Qualcomm als kritisch eingestuft. Die Schwachstellen lassen sich zumeist über speziell präparierte Anwendungen oder Dateien ausnutzen, die lokal installiert oder verarbeitet werden müssen.
Google stellt die Patch-Level 2020-05-01 und 2020-05-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2020-05-01 behebt dabei Schwachstellen im Google Android Framework, Media Framework und im Grundsystem. Der Patch-Level 2020-05-05 behebt im Wesentlichen hardwarespezifische Schwachstellen und Schwachstellen im Kernel des Systems.
Google kündigt für Google Pixel Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.
Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.
Schwachstellen:
CVE-2019-14038 CVE-2019-14039
Schwachstellen in Qualcomm-Komponente ermöglichen u. a. Denial-of-Service-AngriffCVE-2019-14042 CVE-2019-14043
Schwachstellen in Qualcomm-Komponente ermöglichen nicht näher spezifizierte AngriffeCVE-2019-14053 CVE-2019-14087 CVE-2020-3610 CVE-2020-3615 CVE-2020-3623 CVE-2020-3625 CVE-2020-3630 CVE-2020-3680
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2019-14054
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2019-14066 CVE-2019-14067 CVE-2019-14077 CVE-2019-14078 CVE-2020-3616 CVE-2020-3618 CVE-2020-3633 CVE-2020-3645
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2019-19536
Schwachstelle in Linux-Kernel ermöglicht Ausspähen von InformationenCVE-2019-3900
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2020-0024 CVE-2020-0092 CVE-2020-0102 CVE-2020-0103 CVE-2020-0104 CVE-2020-0105 CVE-2020-0106 CVE-2020-0109
Schwachstellen in System ermöglichen u. a. Ausführung beliebigen Programmcodes mit den Rechten des DienstesCVE-2020-0064 CVE-2020-0065 CVE-2020-0090 CVE-2020-0091
Schwachstellen in MediaTek ermöglichen Ausspähen von InformationenCVE-2020-0093 CVE-2020-0094 CVE-2020-0100 CVE-2020-0101
Schwachstellen in Media Framework ermöglichen u. a. PrivilegieneskalationCVE-2020-0096 CVE-2020-0097 CVE-2020-0098
Schwachstellen in Framework ermöglichen PrivilegieneskalationCVE-2020-0110
Schwachstelle in Kernel ermöglicht u. a. PrivilegieneskalationCVE-2020-0220 CVE-2020-0221
Schwachstellen in Kernel ermöglichen PrivilegieneskalationCVE-2020-3641
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.