2020-1689: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-08-04 18:29)

Neues Advisory

Version 2 (2020-08-05 12:35)

Google aktualisiert den Sicherheitshinweis für Google Android und veröffentlicht die zu den einzelnen Schwachstellen korrespondierenden Android Open Source Project (AOSP)-Links.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Mehrere Schwachstellen in Google Android 8.0, 8.1, 9 und 10 vor Patch-Level 2020-08-05 ermöglichen einem lokalen Angreifer mit üblichen Benutzerrechten und einem entfernten Angreifer das Durchführen eines Denial-of-Service (DoS)-Angriffs, das Ausführen beliebigen Programmcodes, die Eskalation von Privilegien und das Ausspähen sensibler Informationen. Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, die nicht spezifizierte Angriffe ermöglichen. Ein Angreifer im benachbarten Netzwerk in Bluetooth-Reichweite kann zudem einen Denial-of-Service (DoS)-Angriff und möglicherweise weitere Angriffe durchführen.

Insgesamt werden sechs der Schwachstellen von Qualcomm als kritisch eingestuft. Die Schwachstellen lassen sich vermutlich über speziell präparierte Anwendungen oder Dateien ausnutzen, die lokal installiert oder verarbeitet werden müssen.

Die schwerwiegendste Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes im Kontext eines unprivilegierten Prozesses und kann mit Hilfe speziell präparierter Dateien aus der Ferne ausgenutzt werden.

Google stellt die Patch-Level 2020-08-01 und 2020-08-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2020-08-01 behebt dabei Schwachstellen im Google Android Framework, Media Framework und im Grundsystem. Der Patch-Level 2020-08-05 behebt im Wesentlichen hardwarespezifische Schwachstellen und Schwachstellen im Kernel des Systems.

Google kündigt für Google Pixel Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzlich Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR August-2020 Release 1' für Samsung-Geräte angegeben.

Schwachstellen:

CVE-2018-5886 CVE-2018-13903 CVE-2019-13999 CVE-2019-14025 CVE-2019-14052 CVE-2019-14056 CVE-2019-14065 CVE-2019-14089

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2019-10562 CVE-2019-10615 CVE-2019-13998 CVE-2020-3619 CVE-2020-3667

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-14115 CVE-2019-14119 CVE-2020-3611 CVE-2020-3624 CVE-2020-3636 CVE-2020-3640 CVE-2020-3643 CVE-2020-3644

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2019-16746

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-0108 CVE-2020-0256

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2020-0238 CVE-2020-0257

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2020-0239 CVE-2020-0249 CVE-2020-0258

Schwachstellen in Framework ermöglichen Ausspähen von Informationen

CVE-2020-0240

Schwachstelle in Framework ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-0241 CVE-2020-0242 CVE-2020-0243

Schwachstellen in Media Framework ermöglichen Privilegieneskalation

CVE-2020-0247

Schwachstelle in Framework ermöglicht Denial-of-Service-Angriff

CVE-2020-0248 CVE-2020-0250

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2020-0251 CVE-2020-0252CVE-2020-0253 CVE-2020-0254 CVE-2020-0260

Schwachstellen in MediaTek-Komponente ermöglichen u. a. Privilegieneskalation

CVE-2020-0255 CVE-2020-12464

Schwachstellen in Kernel-Komponenten ermöglichen Privilegieneskalation

CVE-2020-0259

Schwachstelle in AMLogic-Komponente ermöglicht u. a. das Ausführen beliebigen Programmcodes

CVE-2020-0261

Schwachstelle in Kernel-Komponente ermöglicht Privilegieneskalation

CVE-2020-11115 CVE-2020-11116 CVE-2020-11118 CVE-2020-11120

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2020-3646

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2020-3647

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2020-3666 CVE-2020-3668 CVE-2020-3669 CVE-2020-3675 CVE-2020-11122 CVE-2020-11128

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.