2021-1454: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-07-08 17:11)

Neues Advisory

Version 2 (2021-07-12 09:28)

Google aktualisiert den Sicherheitshinweis für Google Android und veröffentlicht die zu den einzelnen Schwachstellen korrespondierenden Android Open Source Project (AOSP)-Links.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen in Google Android 8.1, 9, 10 und 11 vor Patch-Level 2021-07-05 aus der Ferne ausnutzen, um Privilegien zu eskalieren, beliebigen Programmcode mit den Rechten eines privilegierten Prozesses auszuführen und nicht spezifizierte Angriffe durchzuführen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um beliebigen Programmcode auszuführen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode mit den Rechten des Administrators auszuführen und nicht spezifizierte Angriffe durchzuführen. Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.

Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.

Insgesamt werden sieben der Schwachstellen von Google und Qualcomm als kritisch eingestuft.

Die zwei schwerwiegendsten Schwachstellen CVE-2021-0514 und CVE-2021-0515 befinden sich in der Komponente System und ermöglichen die Ausführung beliebigen Programmcodes mit den Rechten eines privilegierten Prozesses.

Google stellt die Patch-Level 2021-07-01 und 2021-07-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2021-07-01 behebt dabei Schwachstellen in Google Android Framework, Media Framework und im Grundsystem. Der Patch-Level 2021-07-05 behebt weitere Schwachstellen in Google Android Framework, im Grundsystem und in verschiedenen Komponenten von MediaTek, Widevine DRM und Qualcomm.

Google kündigt für Google Pixel Sicherheitsupdates an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Die Schwachstellen CVE-2021-0441, CVE-2021-0590 und CVE-2021-0601 werden auch durch ein Google Play Update adressiert.

Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Die Hersteller beheben zusätzliche Schwachstellen für Geräte aus eigener Produktion. Die Patch-Level der veröffentlichten Sicherheitsupdates werden mit 'SMR July-2021 Release 1' für Samsung-Geräte und '2021-07-01' für Geräte von LG angegeben.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2020-0368

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2020-0417 CVE-2021-0585 CVE-2021-0586 CVE-2021-0589 CVE-2021-0594 CVE-2021-0600 CVE-2021-0602

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2020-11307 CVE-2021-1886 CVE-2021-1888 CVE-2021-1889 CVE-2021-1890

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2020-27170

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2020-27171

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2020-36158

Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-0441 CVE-2021-0486

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2021-0514 CVE-2021-0515

Schwachstellen in System ermöglichen Ausführen beliebigen Programmcodes

CVE-2021-0518

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2021-0577

Schwachstelle in MediaTek-Komponente ermöglicht nicht spezifizierten Angriff

CVE-2021-0587

Schwachstelle in Media Framework ermöglicht Privilegieneskalation

CVE-2021-0588 CVE-2021-0590 CVE-2021-0596 CVE-2021-0597 CVE-2021-0599 CVE-2021-0604

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2021-0592

Schwachstelle in Widevine DRM ermöglicht nicht spezifizierten Angriff

CVE-2021-0601

Schwachstelle in Media Framework ermöglicht Ausspähen von Informationen

CVE-2021-0603

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2021-0654

Schwachstelle in Pixel-Komponente ermöglicht Ausspähen von Informationen

CVE-2021-1897 CVE-2021-1898 CVE-2021-1899 CVE-2021-1901

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2021-1907 CVE-2021-1931 CVE-2021-1940 CVE-2021-1943 CVE-2021-1945 CVE-2021-1954 CVE-2021-1955 CVE-2021-1964 CVE-2021-1970

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2021-1938 CVE-2021-1953

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2021-1965

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten Angriff

CVE-2021-29154

Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes mit Kernel-Rechten

CVE-2021-3444

Schwachstelle in Linux-Kernel ermöglicht u. a. Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.