DFN-CERT

Advisory-Archiv

2021-0010: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-01-05 15:22)
Neues Advisory
Version 2 (2021-01-08 09:25)
Google aktualisiert die Sicherheitshinweise für Google Android / Pixel und veröffentlicht die zu den einzelnen Schwachstellen korrespondierenden Android Open Source Project (AOSP)-Links.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Mehrere Schwachstellen in Google Android 8.0, 8.1, 9, 10 und 11 vor Patch-Level 2021-01-05 ermöglichen einem Angreifer, der in den meisten Fällen über niedrige Privilegien verfügt, das Ausführen beliebigen Programmcodes, das Durchführen von Denial-of-Service (DoS)-Angriffen, die Eskalation von Privilegien, das Ausspähen sensibler Informationen und das Durchführen nicht spezifizierter Angriffe lokal oder aus der Ferne.

Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von MediaTek und Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.

Insgesamt werden vier der Schwachstellen von Google und Qualcomm als kritisch eingestuft.

Die schwerwiegendste Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes im Kontext eines privilegierten Prozesses und kann mit Hilfe einer speziell präparierten Übertragung aus der Ferne ausgenutzt werden.

Google stellt die Patch-Level 2021-01-01 und 2021-01-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2021-01-01 behebt dabei Schwachstellen im Google Android Framework, Media Framework und im Grundsystem. Der Patch-Level 2021-01-05 behebt Schwachstellen im Kernel und in verschiedenen Komponenten von MediaTek und Qualcomm.

Google kündigt für Google Pixel Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Die Schwachstellen CVE-2021-0311 und CVE-2021-0312 werden auch durch ein Google Play Update adressiert.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Die Hersteller beheben zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR January-2021 Release 1' für Samsung-Geräte und '2021-01-01' für Geräte von LG angegeben.

Schwachstellen:

CVE-2016-6328

Schwachstelle in libexif ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-9376

Schwachstelle in Framework ermöglicht Denial-of-Service-Angriff

CVE-2020-10732

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2020-10766

Schwachstelle in Linux-Kernel ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-11126 CVE-2020-11159 CVE-2020-11181 CVE-2020-11235 CVE-2020-11238 CVE-2020-11241 CVE-2020-11260

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2020-11134 CVE-2020-11182

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2020-11160

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2020-11161

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2020-11233 CVE-2020-11239 CVE-2020-11240 CVE-2020-11250 CVE-2020-11261 CVE-2020-11262

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2020-15999

Schwachstelle in FreeType ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-27059

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2021-0301

Schwachstelle in MediaTek-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2021-0303 CVE-2021-0306 CVE-2021-0307 CVE-2021-0310 CVE-2021-0315 CVE-2021-0317 CVE-2021-0318 CVE-2021-0319

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2021-0304 CVE-2021-0309 CVE-2021-0321 CVE-2021-0322

Schwachstellen in Framework ermöglichen Ausspähen von Informationen

CVE-2021-0308 CVE-2020-0471

Schwachstellen in System ermöglichen Eskalation von Privilegien

CVE-2021-0311 CVE-2021-0312

Schwachstellen in Media Framework ermöglichen Ausspähen von Informationen

CVE-2021-0313

Schwachstelle in Framework ermöglicht Denial-of-Service-Angriff

CVE-2021-0316

Schwachstelle in System ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-0320

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2021-0323

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2021-0342

Schwachstelle in Linux-Kernel ermöglicht Eskalation von Privilegien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.