2020-2660: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-12-08 18:27)

Neues Advisory

Version 2 (2020-12-11 11:35)

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzlich Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR December-2020 Release 1' für Samsung-Geräte angegeben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Mehrere Schwachstellen in Google Android 8.0, 8.1, 9, 10 und 11 vor Patch-Level 2020-12-05 ermöglichen einem Angreifer, der in den meisten Fällen über niedrige Privilegien verfügt, das Ausführen beliebigen Programmcodes, das Durchführen von Denial-of-Service (DoS)-Angriffen, die Eskalation von Privilegien, das Ausspähen sensibler Informationen und das Durchführen nicht spezifizierter Angriffe lokal oder aus der Ferne.

Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Broadcom, MediaTek und Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.

Insgesamt werden zehn der Schwachstellen von Google und Qualcomm als kritisch eingestuft.

Die schwerwiegendste Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes im Kontext eines privilegierten Prozesses und kann mit Hilfe speziell präparierter Mediendateien aus der Ferne ausgenutzt werden.

Google stellt die Patch-Level 2020-12-01 und 2020-12-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2020-12-01 behebt dabei Schwachstellen im Google Android Framework, Media Framework und im Grundsystem. Der Patch-Level 2020-12-05 behebt weitere Kernelschwachstellen und Schwachstellen in Komponenten von Broadcom, MediaTek und Qualcomm.

Google kündigt für Google Pixel Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2018-16862

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2019-19535

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2019-20812

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2020-0016 CVE-2020-0019

Schwachstellen in Broadcom-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2020-0099 CVE-2020-0294 CVE-2020-0440

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2020-0202 CVE-2020-0473 CVE-2020-0481 CVE-2020-27030 CVE-2020-27036 CVE-2020-27042 CVE-2020-27044 CVE-2020-27045

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2020-0244 CVE-2020-0488 CVE-2020-0490 CVE-2020-0492 CVE-2020-0494 CVE-2020-0498 CVE-2020-0499 CVE-2020-27035 CVE-2020-27057

Schwachstellen in Media Framework ermöglichen Ausspähen von Informationen

CVE-2020-0280 CVE-2020-0476 CVE-2020-0477 CVE-2020-27021 CVE-2020-27023 CVE-2020-27024 CVE-2020-27025 CVE-2020-27027

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2020-0368

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2020-0444 CVE-2020-0465 CVE-2020-0466

Schwachstellen in Kernel-Komponenten ermöglichen Privilegieneskalation

CVE-2020-0455 CVE-2020-0456 CVE-2020-0457

Schwachstellen in MediaTek-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2020-0458

Schwachstelle in Media Framework ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-0459 CVE-2020-0464 CVE-2020-0467 CVE-2020-0468

Schwachstellen in Framework ermöglichen Ausspähen von Informationen

CVE-2020-0460 CVE-2020-0463 CVE-2020-15802

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2020-0469

Schwachstelle in Framework ermöglicht Denial-of-Service-Angriff

CVE-2020-0470

Schwachstelle in libaom ermöglicht Ausspähen von Informationen

CVE-2020-0474 CVE-2020-0478 CVE-2020-0483 CVE-2020-0484

Schwachstellen in Media Framework ermöglichen Privilegieneskalation

CVE-2020-0475 CVE-2020-0479 CVE-2020-0480 CVE-2020-0485 CVE-2020-0486 CVE-2020-27052

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2020-0482 CVE-2020-0493 CVE-2020-0495 CVE-2020-0496 CVE-2020-0497 CVE-2020-0500 CVE-2020-27026

Schwachstellen in Framework ermöglichen Ausspähen von Informationen

CVE-2020-0487 CVE-2020-0491 CVE-2020-27038

Schwachstellen in Media Framework ermöglichen Denial-of-Service-Angriff

CVE-2020-0489

Schwachstelle in Media Framework ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-11119 CVE-2020-11139 CVE-2020-11144 CVE-2020-11145 CVE-2020-11179 CVE-2020-11197

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2020-11146 CVE-2020-11167 CVE-2020-11185 CVE-2020-11217

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2020-11148 CVE-2020-11149 CVE-2020-11150 CVE-2020-11151 CVE-2020-11152 CVE-2020-11183

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2020-11200 CVE-2020-11212 CVE-2020-11213 CVE-2020-11214 CVE-2020-11215 CVE-2020-11216

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2020-11225

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2020-13143

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2020-25220

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-27028 CVE-2020-27031 CVE-2020-27032 CVE-2020-27033 CVE-2020-27034 CVE-2020-27037 CVE-2020-27039 CVE-2020-27040

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2020-27029

Schwachstelle in System ermöglicht Denial-of-Service-Angriff

CVE-2020-27041 CVE-2020-27043 CVE-2020-27046 CVE-2020-27047 CVE-2020-27053 CVE-2020-27055 CVE-2020-27056

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2020-27048 CVE-2020-27049 CVE-2020-27050 CVE-2020-27051 CVE-2020-27054

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2020-27066 CVE-2020-27067

Schwachstellen in Kernel-Komponenten ermöglichen Privilegieneskalation

CVE-2020-27068

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2020-3685 CVE-2020-3686 CVE-2020-3691 CVE-2020-11136 CVE-2020-11137 CVE-2020-11138 CVE-2020-11140 CVE-2020-11143

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.