2020-1151: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste

Historie:

Version 1 (2020-06-02 17:28)

Neues Advisory

Version 2 (2020-06-03 16:15)

Google aktualisiert die Sicherheitshinweise für Google Android und Pixel und veröffentlicht die zu den einzelnen Schwachstellen korrespondierenden Android Open Source Project (AOSP)-Links.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Mehrere Schwachstellen in Google Android 8.0, 8.1, 9 und 10 vor Patch-Level 2020-06-05 ermöglichen einem Angreifer die Eskalation von Privilegien, das Ausführen beliebigen Programmcodes unter anderem mit den Rechten privilegierter Dienste, verschiedene Denial-of-Service (DoS)-Angriffe und das Ausspähen sensibler Informationen. Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, die nicht spezifizierte Angriffe ermöglichen.

Insgesamt werden vier der Schwachstellen von Google oder Qualcomm als kritisch eingestuft. Die Schwachstellen lassen sich zumeist über speziell präparierte Anwendungen oder Dateien ausnutzen, die lokal installiert oder verarbeitet werden müssen.

Die schwerwiegendste der Schwachstellen ermöglicht die Ausführung beliebigen Programmcodes mit den Rechten eines privilegierten Dienstes und kann über eine speziell präparierte Datenübertragung (Transmission) aus der Ferne ausgenutzt werden.

Google stellt die Patch-Level 2020-06-01 und 2020-06-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2020-06-01 behebt dabei Schwachstellen im Google Android Framework, Media Framework und im Grundsystem. Der Patch-Level 2020-06-05 behebt im Wesentlichen hardwarespezifische Schwachstellen und Schwachstellen im Kernel des Systems.

Google kündigt für Google Pixel Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert. Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzlich Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR June-2020 Release 1' für Samsung-Geräte angegeben.

Schwachstellen:

CVE-2017-9704 CVE-2019-9460 CVE-2019-14047 CVE-2020-3665

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-10501 CVE-2019-10626 CVE-2019-14091

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-10597 CVE-2019-14062 CVE-2019-14076 CVE-2020-3614 CVE-2020-3626 CVE-2020-3628 CVE-2020-3635

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-13135

Schwachstelle in ImageMagick ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-13136

Schwachstelle in ImageMagick ermöglicht Denial-of-Service-Angriff

CVE-2019-14073 CVE-2019-14080

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-14092 CVE-2019-14094

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-16275

Schwachstelle in hostapd und wpa_supplicant ermöglicht Denial-of-Service-Angriff

CVE-2019-17666

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-18683

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2019-18786

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2019-19071

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2019-19526

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2019-19529

Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-19543

Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-19767

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2019-2219

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2020-0095 CVE-2020-0120 CVE-2020-0126 CVE-2020-0179 CVE-2020-0218

Schwachstellen in Media Framework ermöglichen Privilegieneskalation

CVE-2020-0113 CVE-2020-0118

Schwachstellen in Media Framework ermöglichen u. a. Privilegieneskalation

CVE-2020-0114 CVE-2020-0115 CVE-2020-0121

Schwachstellen in Framework ermöglichen u. a. Privilegieneskalation

CVE-2020-0116 CVE-2020-0117 CVE-2020-0119

Schwachstellen in System ermöglichen u. a. Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2020-0124 CVE-2020-0203 CVE-2020-0208 CVE-2020-0209 CVE-2020-0210

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2020-0125 CVE-2020-0127 CVE-2020-0128 CVE-2020-0132 CVE-2020-0134 CVE-2020-0141 CVE-2020-0151

Schwachstellen in Media Framework ermöglichen Ausspähen von Informationen

CVE-2020-0129 CVE-2020-0133 CVE-2020-0136 CVE-2020-0137 CVE-2020-0150 CVE-2020-0153 CVE-2020-0155 CVE-2020-0165 CVE-2020-0177

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2020-0131 CVE-2020-0168 CVE-2020-0190 CVE-2020-0194 CVE-2020-0213

Schwachstellen in Media Framework ermöglichen Ausführung beliebigen Programmcodes

CVE-2020-0135 CVE-2020-0167

Schwachstellen in Framework ermöglichen Ausspähen von Informationen

CVE-2020-0138 CVE-2020-0217

Schwachstellen in System ermöglichen Ausführung beliebigen Programmcodes

CVE-2020-0139 CVE-2020-0140 CVE-2020-0142 CVE-2020-0143 CVE-2020-0144 CVE-2020-0145 CVE-2020-0146

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2020-0147 CVE-2020-0148 CVE-2020-0149 CVE-2020-0154 CVE-2020-0156 CVE-2020-0157 CVE-2020-0158

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2020-0152 CVE-2020-0180 CVE-2020-0182 CVE-2020-0191 CVE-2020-0192 CVE-2020-0193 CVE-2020-0195

Schwachstellen in Media Framework ermöglichen Ausspähen von Informationen

CVE-2020-0159 CVE-2020-0164 CVE-2020-0176 CVE-2020-0178 CVE-2020-0185 CVE-2020-0214

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2020-0160 CVE-2020-0161 CVE-2020-0162 CVE-2020-0163 CVE-2020-0169 CVE-2020-0170 CVE-2020-0171 CVE-2020-0172

Schwachstellen in Media Framework ermöglichen Denial-of-Service-Angriff

CVE-2020-0166

Schwachstelle in Android Runtime ermöglicht Privilegieneskalation

CVE-2020-0173 CVE-2020-0174 CVE-2020-0175 CVE-2020-0181 CVE-2020-0184 CVE-2020-0189 CVE-2020-0198

Schwachstellen in Media Framework ermöglichen Denial-of-Service-Angriff

CVE-2020-0183 CVE-2020-0186 CVE-2020-0188 CVE-2020-0201 CVE-2020-0202 CVE-2020-0204 CVE-2020-0215 CVE-2020-0216 CVE-2020-0219

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2020-0187

Schwachstelle in Android Runtime ermöglicht Ausspähen von Informationen

CVE-2020-0196 CVE-2020-0206

Schwachstellen in System ermöglichen Denial-of-Service-Angriff

CVE-2020-0197 CVE-2020-0199 CVE-2020-0200 CVE-2020-0205 CVE-2020-0207 CVE-2020-0211 CVE-2020-0212

Schwachstellen in Media Framework ermöglichen Ausspähen von Informationen

CVE-2020-0223 CVE-2020-0232 CVE-2020-0234 CVE-2020-0235

Schwachstellen in Kernel-Komponenten ermöglichen Privilegieneskalation

CVE-2020-0233

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2020-3642 CVE-2020-3658 CVE-2020-3660 CVE-2020-3661 CVE-2020-3662 CVE-2020-3663 CVE-2020-3676

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2020-8428

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-8597

Schwachstelle in ppp ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-8647

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-8648

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.