2020-1449: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste
Historie:
- Version 1 (2020-07-07 17:07)
- Neues Advisory
- Version 2 (2020-07-07 17:37)
- Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzlich Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR July-2020 Release 1' für Samsung-Geräte angegeben.
- Version 3 (2020-07-09 10:15)
- Google aktualisiert den Sicherheitshinweis für Google Android und veröffentlicht die zu den einzelnen Schwachstellen korrespondierenden Android Open Source Project (AOSP)-Links.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Hardware
Google
Linux
Beschreibung:
Mehrere Schwachstellen in Google Android 8.0, 8.1, 9 und 10 vor Patch-Level 2020-07-05 ermöglichen einem Angreifer das Ausführen beliebigen Programmcodes unter anderem mit den Rechten privilegierter Dienste, die Eskalation von Privilegien, verschiedene Denial-of-Service (DoS)-Angriffe und das Ausspähen sensibler Informationen. Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, die nicht spezifizierte Angriffe ermöglichen.
Insgesamt werden sieben der Schwachstellen von Google oder Qualcomm als kritisch eingestuft. Die Schwachstellen lassen sich zumeist über speziell präparierte Anwendungen oder Dateien ausnutzen, die lokal installiert oder verarbeitet werden müssen.
Die schwerwiegendsten Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes mit den Rechten eines privilegierten Dienstes und können mit Hilfe speziell präparierter Dateien aus der Ferne ausgenutzt werden.
Google stellt die Patch-Level 2020-07-01 und 2020-07-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2020-07-01 behebt dabei Schwachstellen im Google Android Framework, Media Framework und im Grundsystem. Der Patch-Level 2020-07-05 behebt im Wesentlichen hardwarespezifische Schwachstellen und Schwachstellen im Kernel des Systems.
Google kündigt für Google Pixel Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.
Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.
Schwachstellen:
CVE-2018-20669
Schwachstelle in Linux-Kernel ermöglicht u. a. PrivilegieneskalationCVE-2019-10580 CVE-2020-3698 CVE-2020-3699 CVE-2020-3700
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2019-14037 CVE-2019-14093 CVE-2019-14100
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2019-14101
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2019-14123 CVE-2019-14124 CVE-2019-14130 CVE-2020-3688 CVE-2020-3701
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2019-18282
Schwachstelle in Linux-Kernel ermöglicht Ausspähen von InformationenCVE-2019-20636
Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen ProgrammcodesCVE-2019-9501 CVE-2019-9502
Schwachstellen in Broadcom Wi-Fi-Treiber ermöglichen u. a. Ausführen beliebigen Programmcodes mit den Rechten des DienstesCVE-2020-0107 CVE-2020-0224 CVE-2020-0225
Schwachstellen in System ermöglichen u. a. Ausführung beliebigen Programmcodes mit den Rechten des DienstesCVE-2020-0122 CVE-2020-0227
Schwachstellen in Framework ermöglichen PrivilegieneskalationCVE-2020-0226 CVE-2020-9589
Schwachstellen in Media Framework ermöglichen u. a. Ausführung beliebigen Programmcodes mit den Rechten des DienstesCVE-2020-0228 CVE-2020-0230 CVE-2020-0231
Schwachstellen in MediaTek ermöglichen u. a. Privilegieneskalationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.