2021-0676: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit den Rechten privilegierter Dienste

Historie:

Version 1 (2021-04-06 18:00)

Neues Advisory

Version 2 (2021-04-08 11:13)

Google aktualisiert den Sicherheitshinweis für Google Android und veröffentlicht die zu den einzelnen Schwachstellen korrespondierenden Android Open Source Project (AOSP)-Links.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen in Google Android 8.1, 9, 10 und 11 vor Patch-Level 2021-04-05 aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren und nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der Schwachstelle CVE-2020-25705 kann Einfluss auf andere Komponenten haben.

Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.

Insgesamt werden zwei der Schwachstellen von Google und Qualcomm als kritisch eingestuft.

Die schwerwiegendste Schwachstelle CVE-2021-0430 befindet sich in der Komponente System und ermöglicht die Ausführung beliebigen Programmcodes im Kontext eines privilegierten Prozesses mit Hilfe einer speziell präparierten Datei.

Google stellt die Patch-Level 2021-04-01 und 2021-04-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2021-04-01 behebt dabei Schwachstellen in Google Android Framework, im Media Framework und im Grundsystem. Der Patch-Level 2021-04-05 behebt weitere Schwachstellen im Grundsystem, im Kernel und in verschiedenen Komponenten von MediaTek und Qualcomm.

Google kündigt für Google Pixel Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Die Schwachstellen CVE-2021-0426, CVE-2021-0427 und CVE-2021-0432 werden auch durch ein Google Play Update adressiert.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Die Hersteller beheben zusätzliche Schwachstellen für Geräte aus eigener Produktion. Die Patch-Level der veröffentlichten Sicherheitsupdates werden mit 'SMR April-2021 Release 1' für Samsung-Geräte und '2021-04-01' für Geräte von LG angegeben.

Schwachstellen:

CVE-2020-11191 CVE-2020-11236 CVE-2020-11237 CVE-2020-11242 CVE-2020-11243 CVE-2020-11245

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2020-11210

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2020-11231

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2020-11234

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2020-11246 CVE-2020-11247 CVE-2020-11251 CVE-2020-11252 CVE-2020-11255

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2020-15436

Schwachstelle in Linux-Kernel ermöglicht u. a. Privilegieneskalation

CVE-2020-25705

Schwachstelle in Linux-Kernel ermöglicht DNS-Cache-Poisoning-Angriff

CVE-2020-5235

Schwachstelle in Nanopb ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-0400 CVE-2021-0426 CVE-2021-0427 CVE-2021-0432 CVE-2021-0438 CVE-2021-0439 CVE-2021-0442

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2021-0428

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2021-0429 CVE-2021-0433 CVE-2021-0446

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2021-0430

Schwachstelle in Google Android ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2021-0431 CVE-2021-0435

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2021-0436 CVE-2021-0471

Schwachstellen in Media Framework ermöglichen Ausspähen von Informationen

CVE-2021-0437

Schwachstelle in Media Framework ermöglicht Privilegieneskalation

CVE-2021-0443 CVE-2021-0444

Schwachstellen in Framework ermöglichen Ausspähen von Informationen

CVE-2021-0445

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2021-0468

Schwachstelle in MediaTek-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2021-0488

Schwachstelle in Nanopb ermöglicht u. a. Eskalation von Privilegien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.