2021-1638: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien
Historie:
- Version 1 (2021-08-03 14:49)
- Neues Advisory
- Version 2 (2021-08-05 10:27)
- Google aktualisiert den Sicherheitshinweis für Google Android und veröffentlicht die zu den einzelnen Schwachstellen korrespondierenden Android Open Source Project (AOSP)-Links.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Hardware
Google
Linux
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen in Google Android 8.1, 9, 10 und 11 vor Patch-Level 2021-08-05 aus der Ferne ausnutzen, um nicht spezifizierte Angriffe durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen und nicht spezifizierte Angriffe durchzuführen. Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.
Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.
Insgesamt werden fünf der Schwachstellen von Google und Qualcomm als 'kritisch' eingestuft.
Google stellt die Patch-Level 2021-08-01 und 2021-08-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2021-08-01 behebt dabei Schwachstellen in Google Android Framework, Media Framework und im Grundsystem. Der Patch-Level 2021-08-05 behebt weitere Schwachstellen im Kernel und in verschiedenen Komponenten von MediaTek, Widevine DRM und Qualcomm.
Google kündigt für Google Pixel Sicherheitsupdates an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Die Schwachstellen CVE-2021-0519, CVE-2021-0584 und CVE-2021-0640 werden auch durch ein Google Play Update adressiert.
Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Die Hersteller beheben zusätzliche Schwachstellen für Geräte aus eigener Produktion. Die Patch-Level der veröffentlichten Sicherheitsupdates werden mit 'SMR August-2021 Release 1' für Samsung-Geräte und '2021-08-01' für Geräte von LG angegeben.
Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.
Schwachstellen:
CVE-2020-14381
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2021-0462
Schwachstelle in Kernel-Komponente ermöglicht PrivilegieneskalationCVE-2021-0519
Schwachstelle in Media Framework ermöglicht u. a. PrivilegieneskalationCVE-2021-0573 CVE-2021-0574 CVE-2021-0576 CVE-2021-0578 CVE-2021-0579 CVE-2021-0580 CVE-2021-0581 CVE-2021-0582
Schwachstellen in MediaTek-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2021-0584 CVE-2021-0641 CVE-2021-0642
Schwachstellen in System ermöglichen Ausspähen von InformationenCVE-2021-0591 CVE-2021-0593
Schwachstellen in System ermöglichen PrivilegieneskalationCVE-2021-0639
Schwachstelle in Widevine DRM ermöglicht nicht spezifizierten AngriffCVE-2021-0640 CVE-2021-0645 CVE-2021-0646
Schwachstellen in Framework ermöglichen PrivilegieneskalationCVE-2021-1904 CVE-2021-1939 CVE-2021-1947 CVE-2021-1978
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2021-1914 CVE-2021-30260 CVE-2021-30261
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2021-1916 CVE-2021-1919 CVE-2021-1920
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2021-1929 CVE-2021-1930
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2021-1972
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2021-1976
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2021-28375
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2021-3347
Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.