2020-2175: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien
Historie:
- Version 1 (2020-10-06 17:31)
- Neues Advisory
- Version 2 (2020-10-07 10:38)
- Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzlich Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR October-2020 Release 1' für Samsung-Geräte angegeben. Google aktualisiert darüber hinaus den Sicherheitshinweis für Google Android und veröffentlicht die zu den einzelnen Schwachstellen korrespondierenden Android Open Source Project (AOSP)-Links.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Google
Linux
Beschreibung:
Mehrere Schwachstellen in Google Android 8.0, 8.1, 9, 10 und 11 vor Patch-Level 2020-10-05 ermöglichen sowohl einem lokalen als auch einem entfernten Angreifer, der in den meisten Fällen über übliche Benutzerrechte verfügt, die Eskalation von Privilegien, das Ausspähen sensibler Informationen und das Durchführen nicht spezifizierter Angriffe. Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, die nicht spezifizierte Angriffe ermöglichen. Einige Angriffe erfordern die Interaktion eines Benutzers.
Insgesamt werden sechs der Schwachstellen von Qualcomm als kritisch eingestuft. Die Schwachstellen lassen sich vermutlich über speziell präparierte Anwendungen oder Dateien ausnutzen, die lokal installiert oder verarbeitet werden müssen.
Die beiden schwerwiegendsten Schwachstellen ermöglichen die Eskalation von Privilegien und können mit Hilfe speziell präparierter Übertragungen (Transmission) aus der Ferne ausgenutzt werden.
Google stellt die Patch-Level 2020-10-01 und 2020-10-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2020-10-01 behebt dabei Schwachstellen im Google Android Framework, Media Framework und im Grundsystem. Der Patch-Level 2020-10-05 behebt im Wesentlichen hardwarespezifische Schwachstellen und Schwachstellen im Kernel des Systems.
Google kündigt für Google Pixel Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.
Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.
Schwachstellen:
CVE-2019-2194
Schwachstelle in System ermöglicht PrivilegieneskalationCVE-2020-0213 CVE-2020-0411 CVE-2020-0414
Schwachstellen in Media Framework ermöglichen Ausspähen von InformationenCVE-2020-0215 CVE-2020-0416
Schwachstellen in System ermöglichen PrivilegieneskalationCVE-2020-0246 CVE-2020-0412 CVE-2020-0419
Schwachstellen in Framework ermöglichen Ausspähen von InformationenCVE-2020-0283 CVE-2020-0339 CVE-2020-0367 CVE-2020-0371 CVE-2020-0376
Schwachstellen in MediaTek-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2020-0377 CVE-2020-0378 CVE-2020-0398 CVE-2020-0400 CVE-2020-0410 CVE-2020-0413 CVE-2020-0415 CVE-2020-0422
Schwachstellen in System ermöglichen Ausspähen von InformationenCVE-2020-0408
Schwachstelle in Android Runtime ermöglicht PrivilegieneskalationCVE-2020-0420 CVE-2020-0421
Schwachstellen in Framework ermöglichen PrivilegieneskalationCVE-2020-0423
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2020-11125 CVE-2020-11162 CVE-2020-11173 CVE-2020-11174
Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2020-3638 CVE-2020-3670 CVE-2020-3678 CVE-2020-3684 CVE-2020-3690 CVE-2020-3703
Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2020-3654 CVE-2020-3657 CVE-2020-3673 CVE-2020-3692 CVE-2020-11154 CVE-2020-11155
Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2020-3704 CVE-2020-11141 CVE-2020-11156 CVE-2020-11157 CVE-2020-11164 CVE-2020-11169
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.