2021-0447: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-03-03 09:50)

Neues Advisory

Version 2 (2021-03-04 11:02)

Google aktualisiert die Sicherheitshinweise für Google Android und Pixel und veröffentlicht die zu den einzelnen Schwachstellen korrespondierenden Android Open Source Project (AOSP)-Links.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen in Google Android 8.1, 9, 10 und 11 vor Patch-Level 2021-03-05 aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff und nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.

Insgesamt werden sechs der Schwachstellen von Google und Qualcomm als kritisch eingestuft.

Die schwerwiegendste Schwachstelle befindet sich in der Komponente System und ermöglicht mit einer bestimmten Übertragung (Transmission) die Ausführung beliebigen Programmcodes im Kontext eines privilegierten Prozesses.

Google stellt die Patch-Level 2021-03-01 und 2021-03-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2021-03-01 behebt dabei Schwachstellen in Android Runtime, Google Android Framework, Media Framework und im Grundsystem. Der Patch-Level 2021-03-05 behebt Schwachstellen im Kernel und in verschiedenen Komponenten von Qualcomm.

Google kündigt für Google Pixel Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Die Hersteller beheben zusätzliche Schwachstellen für Geräte aus eigener Produktion. Die Patch-Level der veröffentlichten Sicherheitsupdates werden mit 'SMR March-2021 Release 1' für Samsung-Geräte und '2021-03-01' für Geräte von LG angegeben.

Schwachstellen:

CVE-2017-14491

Schwachstelle in Dnsmasq ermöglicht Übernahme der Kontrolle

CVE-2020-0025

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2020-11165 CVE-2020-11166 CVE-2020-11171 CVE-2020-11178 CVE-2020-11186 CVE-2020-11188 CVE-2020-11189 CVE-2020-11190

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2020-11192 CVE-2020-11204 CVE-2020-11218 CVE-2020-11227 CVE-2020-11228

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2020-11194

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-11195

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-11198

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-11199 CVE-2020-11220 CVE-2020-11221 CVE-2020-11222 CVE-2020-11226 CVE-2020-11299

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2020-11223

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2020-11230

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2020-11290

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2020-11308

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2020-11309

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2020-3664

Schwachstelle in Qualcomm-Komponente ermöglicht Ausspähen von Informationen

CVE-2021-0368 CVE-2021-0374 CVE-2021-0378 CVE-2021-0379

Schwachstellen in Media Framework ermöglichen Ausspähen von Informationen

CVE-2021-0369 CVE-2021-0381 CVE-2021-0382

Schwachstellen in Framework ermöglichen Ausspähen von Informationen

CVE-2021-0370 CVE-2021-0372 CVE-2021-0377 CVE-2021-0380 CVE-2021-0383 CVE-2021-0385 CVE-2021-0386 CVE-2021-0388 CVE-2021-0389

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2021-0371

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2021-0375 CVE-2021-0387

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2021-0376

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2021-0384

Schwachstelle in Media Framework ermöglicht Denial-of-Service-Angriff

CVE-2021-0390 CVE-2021-0392

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2021-0391 CVE-2021-0398

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2021-0393 CVE-2021-0396

Schwachstellen in System ermöglichen Ausführen beliebigen Programmcodes

CVE-2021-0394

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2021-0395

Schwachstelle in Android Runtime ermöglicht Privilegieneskalation

CVE-2021-0397

Schwachstelle in System ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-0399

Schwachstelle in Kernel-Komponente ermöglicht Privilegieneskalation

CVE-2021-0447 CVE-2021-0457 CVE-2021-0458 CVE-2021-0461 CVE-2021-0462

Schwachstellen in Kernel-Komponenten ermöglichen Privilegieneskalation

CVE-2021-0448 CVE-2021-0449 CVE-2021-0450 CVE-2021-0451 CVE-2021-0452 CVE-2021-0453 CVE-2021-0459 CVE-2021-0460

Schwachstellen in Kernel-Komponenten ermöglichen Ausspähen von Informationen

CVE-2021-0454 CVE-2021-0455 CVE-2021-0456 CVE-2021-0464 CVE-2021-0465

Schwachstellen in Kernel-Komponenten ermöglichen Privilegieneskalation

CVE-2021-0463

Schwachstelle in Kernel-Komponente ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.