2020-1969: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-09-10 16:37)

Neues Advisory

Version 2 (2020-09-22 14:44)

LG hat mittlerweile auch einen Sicherheitshinweis zum Update im September veröffentlicht. Der Hersteller behebt zusätzlich Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit '2020-09-01' angegeben. Google aktualisiert darüber hinaus den Sicherheitshinweis für Google Android und veröffentlicht die zu den einzelnen Schwachstellen korrespondierenden Android Open Source Project (AOSP)-Links.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Mehrere Schwachstellen in Google Android 8.0, 8.1, 9 und 10 vor Patch-Level 2020-09-05 ermöglichen einem lokalen Angreifer mit üblichen Benutzerrechten und einem entfernten Angreifer das Ausführen beliebigen Programmcodes, die Eskalation von Privilegien, das Ausspähen sensibler Informationen und Denial-of-Service (DoS)-Angriffe. Ein Angreifer im benachbarten Netzwerk kann beliebigen Programmcode ausführen und einen Denial-of-Service (DoS)-Zustand bewirken. Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm und MediaTek, die nicht spezifizierte Angriffe ermöglichen.

Insgesamt werden fünf der Schwachstellen von Qualcomm als kritisch eingestuft. Die Schwachstellen lassen sich vermutlich über speziell präparierte Anwendungen oder Dateien ausnutzen, die lokal installiert oder verarbeitet werden müssen.

Die schwerwiegendste Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes im Kontext eines privilegierten Prozesses und kann mit Hilfe speziell präparierter Daten aus der Ferne ausgenutzt werden.

Google stellt die Patch-Level 2020-09-01 und 2020-09-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2020-09-01 behebt dabei Schwachstellen im Google Android Framework, Media Framework und im Grundsystem. Der Patch-Level 2020-09-05 behebt im Wesentlichen hardwarespezifische Schwachstellen und Schwachstellen im Kernel des Systems.

Google kündigt für Google Pixel Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzlich Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR September-2020 Release 1' für Samsung-Geräte angegeben.

Schwachstellen:

CVE-2019-10498 CVE-2019-10518 CVE-2020-3679

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-10527

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-10596 CVE-2019-13992 CVE-2019-13995 CVE-2019-14074

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2019-10628 CVE-2019-10629 CVE-2019-13994 CVE-2020-3621 CVE-2020-3634

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2019-14117

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2019-14895

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-14896

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-14901

Schwachstelle in Linux-Kernel ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2019-2284 CVE-2019-2290 CVE-2019-14099 CVE-2019-10519 CVE-2019-10521 CVE-2019-10564 CVE-2020-3674

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2019-5489

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2020-0074 CVE-2020-0388 CVE-2020-0391 CVE-2020-0401

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2020-0123 CVE-2020-0229 CVE-2020-0278 CVE-2020-0342

Schwachstellen in MediaTek-Komponenten ermöglichen nicht spezifizierte Angiffe

CVE-2020-0245

Schwachstelle in Media Framework ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-0379

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2020-0380

Schwachstelle in System ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-0381 CVE-2020-0383 CVE-2020-0384 CVE-2020-0385 CVE-2020-0393

Schwachstellen in Media Framework ermöglichen Ausspähen von Informationen

CVE-2020-0382 CVE-2020-0389 CVE-2020-0390 CVE-2020-0395 CVE-2020-0397 CVE-2020-0399

Schwachstellen in Framework ermöglichen Ausspähen von Informationen

CVE-2020-0386 CVE-2020-0394

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2020-0387

Schwachstelle in SmartSpace ermöglicht Privilegieneskalation

CVE-2020-0392

Schwachstelle in Media Framework ermöglicht Privilegieneskalation

CVE-2020-0396

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2020-0402

Schwachstelle in Kernel-Komponente ermöglicht Privilegieneskalation

CVE-2020-0403

Schwachstelle in Fingerprint ermöglicht Privilegieneskalation

CVE-2020-0404

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2020-0407

Schwachstelle in Kernel-Komponente ermöglicht Ausspähen von Informationen

CVE-2020-0427

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2020-0428

Schwachstelle in Camera ermöglicht Privilegieneskalation

CVE-2020-0429

Schwachstelle in pppol2tp ermöglicht Privilegieneskalation

CVE-2020-0430

Schwachstelle in BPF / Linux-Kernel ermöglicht Privilegieneskalation

CVE-2020-0431

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2020-0432

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2020-0433

Schwachstelle in Block Multiqueue ermöglicht Privilegieneskalation

CVE-2020-0434

Schwachstelle in Catpipe ermöglicht Privilegieneskalation

CVE-2020-0435

Schwachstelle in Kernel ermöglicht Privilegieneskalation

CVE-2020-11124

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2020-11609

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2020-12114

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2020-12826

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2020-3613

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2020-3617 CVE-2020-3620 CVE-2020-3622 CVE-2020-3629 CVE-2020-3671 CVE-2020-11129 CVE-2020-11133 CVE-2020-11135

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2020-3656

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2020-7053

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-8649

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.