2021-0210: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2021-02-02 12:16)
- Neues Advisory
- Version 2 (2021-02-03 13:25)
- Google aktualisiert den Sicherheitshinweis für Google Android und veröffentlicht die zu den einzelnen Schwachstellen korrespondierenden Android Open Source Project (AOSP)-Links.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Hardware
Google
Linux
Beschreibung:
Mehrere Schwachstellen in Google Android 8.1, 9, 10 und 11 vor Patch-Level 2021-02-05 ermöglichen einem Angreifer, der in den meisten Fällen über niedrige Privilegien verfügt, das Ausführen beliebigen Programmcodes, das Durchführen von Denial-of-Service (DoS)-Angriffen, die Eskalation von Privilegien, das Ausspähen sensibler Informationen und das Durchführen nicht spezifizierter Angriffe lokal oder aus der Ferne.
Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.
Insgesamt werden fünf der Schwachstellen von Google und Qualcomm als kritisch eingestuft.
Die schwerwiegendste Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes im Kontext eines privilegierten Prozesses und kann mit Hilfe einer speziell präparierten Übertragung aus der Ferne ausgenutzt werden.
Google stellt die Patch-Level 2021-02-01 und 2021-02-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2021-02-01 behebt dabei Schwachstellen in Android Runtime, Google Android Framework, Media Framework und im Grundsystem. Der Patch-Level 2021-01-05 behebt Schwachstellen im Kernel und in verschiedenen Komponenten von Qualcomm.
Google kündigt für Google Pixel Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Die Schwachstelle CVE-2021-0325 wird auch durch ein Google Play Update adressiert.
Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.
Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Die Hersteller beheben zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR February-2021 Release 1' für Samsung-Geräte und '2021-02-01' für Geräte von LG angegeben.
Schwachstellen:
CVE-2017-18509
Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2020-11163 CVE-2020-11170
Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2020-11177 CVE-2020-11180 CVE-2020-11187 CVE-2020-11253 CVE-2020-11269 CVE-2020-11270 CVE-2020-11275
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2020-11203
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2020-11271 CVE-2020-11277 CVE-2020-11282 CVE-2020-11286 CVE-2020-11297
Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2020-11272
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2020-11276 CVE-2020-11278 CVE-2020-11280 CVE-2020-11281 CVE-2020-11283 CVE-2020-11287 CVE-2020-11296
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2021-0302 CVE-2021-0305 CVE-2021-0314 CVE-2021-0327 CVE-2021-0330 CVE-2021-0334 CVE-2021-0337 CVE-2021-0339 CVE-2021-0340
Schwachstellen in Framework ermöglicht PrivilegieneskalationCVE-2021-0325
Schwachstelle in Media Framework ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-0326
Schwachstelle in wpa_supplicant ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-0328 CVE-2021-0329 CVE-2021-0331 CVE-2021-0333 CVE-2021-0336
Schwachstellen in System ermöglichen Eskalation von PrivilegienCVE-2021-0332
Schwachstelle in Media Framework ermöglicht PrivilegieneskalationCVE-2021-0335
Schwachstelle in Media Framework ermöglicht Ausspähen von InformationenCVE-2021-0338
Schwachstelle in Framework ermöglicht Denial-of-ServiceCVE-2021-0341
Schwachstelle in Android Runtime ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.