2021-0925: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit den Rechten privilegierter Dienste

Historie:

Version 1 (2021-05-04 18:08)

Neues Advisory

Version 2 (2021-05-05 09:23)

Google aktualisiert den Sicherheitshinweis für Google Android und veröffentlicht die zu den einzelnen Schwachstellen korrespondierenden Android Open Source Project (AOSP)-Links.

Version 3 (2021-05-21 18:54)

Google hat in einer Aktualisierung seines Sicherheitshinweises für Mai 2021 bekannt gegeben, dass die Schwachstellen CVE-2021-1905, CVE-2021-1906, CVE-2021-28663 und CVE-2021-28664 bereits aktiv ausgenutzt werden.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen und nicht spezifizierte Angriffe durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff und nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.

Insgesamt werden vier der Schwachstellen von Google als kritisch eingestuft.

Die schwerwiegendsten Schwachstellen CVE-2021-0472, CVE-2021-0485 und CVE-2021-0487 befinden sich in der Komponente System und ermöglicht die Ausführung beliebigen Programmcodes im Kontext eines privilegierten Prozesses mit Hilfe einer speziell präparierten Datei.

Google stellt die Patch-Level 2021-05-01 und 2021-05-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2021-05-01 behebt dabei Schwachstellen in Google Android Framework, im Media Framework und im Grundsystem. Der Patch-Level 2021-04-05 behebt weitere Schwachstellen im Grundsystem, im Kernel und in verschiedenen Komponenten von ARMLogic, MediaTek, Unisoc und Qualcomm.

Google kündigt für Google Pixel Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.

Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Die Hersteller beheben zusätzliche Schwachstellen für Geräte aus eigener Produktion. Die Patch-Level der veröffentlichten Sicherheitsupdates werden mit 'SMR May-2021 Release 1' für Samsung-Geräte und '2021-05-01' für Geräte von LG angegeben.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2019-2219

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2020-11254

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten Angriff

CVE-2020-11273 CVE-2020-11274 CVE-2020-11279 CVE-2020-11284 CVE-2020-11285 CVE-2020-11288 CVE-2020-11289

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2020-11293 CVE-2020-11294 CVE-2020-11295

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2020-25656

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2020-27786

Schwachstelle in Linux-Kernel ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-27825

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-29661

Schwachstelle in Linux-Kernel ermöglicht u. a. Ausspähen von Informationen

CVE-2021-0324

Schwachstelle in Unisoc-Komponente ermöglicht nicht spezifizierten Angriff

CVE-2021-0466 CVE-2021-0480

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2021-0467

Schwachstelle in AMLogic-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2021-0472 CVE-2021-0485 CVE-2021-0487

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2021-0473 CVE-2021-0474 CVE-2021-0475

Schwachstellen in System ermöglichen Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2021-0476 CVE-2021-0477 CVE-2021-0481

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2021-0482

Schwachstelle in Media Framework ermöglicht Privilegieneskalation

CVE-2021-0484

Schwachstelle in Media Framework ermöglicht Ausspähen von Informationen

CVE-2021-0489 CVE-2021-0490 CVE-2021-0491 CVE-2021-0492 CVE-2021-0493

Schwachstellen in MediaTek-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2021-0494 CVE-2021-0495 CVE-2021-0496 CVE-2021-0497 CVE-2021-0498

Schwachstellen in MediaTek-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2021-1891

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2021-1905

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2021-1906

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2021-1910 CVE-2021-1915

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2021-1927

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2021-28663 CVE-2021-28664

Schwachstellen in ARM-Komponente ermöglichen nicht spezifizierte Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.