2020-2379: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2020-11-04 17:23)
- Neues Advisory
Betroffene Software
Systemsoftware
Betroffene Plattformen
Google
Linux
Beschreibung:
Mehrere Schwachstellen in Google Android 8.0, 8.1, 9, 10 und 11 vor Patch-Level 2020-11-05 ermöglichen sowohl einem lokalen als auch einem entfernten Angreifer, der in den meisten Fällen über übliche Benutzerrechte verfügt, das Ausführen beliebigen Programmcodes, das Durchführen von Denial-of-Service (DoS)-Angriffen, die Eskalation von Privilegien, das Ausspähen sensibler Informationen und das Durchführen nicht spezifizierter Angriffe. Eine weitere Schwachstelle kann von einem Angreifer aus einem benachbarten Netzwerk ausgenutzt werden, um ebenfalls beliebigen Programmcode auszuführen. Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, die nicht spezifizierte Angriffe ermöglichen. Einer der Angriffe erfordert die Interaktion eines Benutzers.
Insgesamt werden fünf der Schwachstellen von Google und Qualcomm als kritisch eingestuft. Die Schwachstellen lassen sich vermutlich über speziell präparierte Anwendungen oder Dateien ausnutzen, die lokal installiert oder verarbeitet werden müssen.
Die beiden schwerwiegendsten Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes im Kontext eines privilegierten Prozesses und können mit Hilfe speziell präparierter Dateien aus der Ferne ausgenutzt werden.
Google stellt die Patch-Level 2020-11-01 und 2020-11-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2020-11-01 behebt dabei Schwachstellen im Google Android Framework, Media Framework und im Grundsystem. Der Patch-Level 2020-11-05 behebt im Wesentlichen hardwarespezifische Schwachstellen und Schwachstellen in der Komponente MediaTek.
Google kündigt für Google Pixel Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.
Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.
Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzlich Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR November-2020 Release 1' für Samsung-Geräte angegeben.
Schwachstellen:
CVE-2020-0409
Schwachstelle in Android Runtime ermöglicht PrivilegieneskalationCVE-2020-0418 CVE-2020-0439
Schwachstellen in Framework ermöglichen PrivilegieneskalationCVE-2020-0424 CVE-2020-0448 CVE-2020-0450 CVE-2020-0453
Schwachstellen in System ermöglichen Ausspähen von InformationenCVE-2020-0437
Schwachstelle in System ermöglicht Denial-of-Service-AngriffCVE-2020-0438
Schwachstelle in Media Framework ermöglicht PrivilegieneskalationCVE-2020-0441 CVE-2020-0442
Schwachstellen in Framework ermöglichen Denial-of-Service-AngriffeCVE-2020-0443
Schwachstelle in Framework ermöglicht Denial-of-Service-AngriffCVE-2020-0445 CVE-2020-0446 CVE-2020-0447
Schwachstellen in MediaTek-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2020-0449
Schwachstelle in System ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-0451
Schwachstelle in Media Framework ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2020-0452
Schwachstelle in libexif / Media Framework ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-0454
Schwachstelle in Framework ermöglicht Ausspähen von InformationenCVE-2020-11121 CVE-2020-11130 CVE-2020-11131
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2020-11132
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2020-11184 CVE-2020-11193 CVE-2020-11196 CVE-2020-11205
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2020-12856
Schwachstelle in System ermöglicht PrivilegieneskalationCVE-2020-3632 CVE-2020-11123 CVE-2020-11127 CVE-2020-11168 CVE-2020-11175
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2020-3639
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.