2021-1873: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien

Historie:

Version 1 (2021-09-08 16:18): Neues Advisory
Version 2 (2021-09-15 09:23): Google aktualisiert die Sicherheitshinweise für Google Android und Pixel und veröffentlicht die zu den einzelnen Schwachstellen korrespondierenden Android Open Source Project (AOSP)-Links.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen in Google Android 8.1, 9, 10 und 11 vor Patch-Level 2021-09-05 aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff und nicht spezifizierte Angriffe durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff und nicht spezifizierte Angriffe durchzuführen. Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.

Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.

Insgesamt werden sieben der Schwachstellen von Google und Qualcomm als 'kritisch' eingestuft.

Google stellt die Patch-Level 2021-09-01 und 2021-09-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2021-09-01 behebt dabei Schwachstellen in Google Android Framework, Media Framework und im Grundsystem. Der Patch-Level 2021-08-05 behebt weitere Schwachstellen im Kernel und in verschiedenen Komponenten von MediaTek, Unisoc und Qualcomm.

Google kündigt für Google Pixel Sicherheitsupdates an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Die Schwachstelle CVE-2021-0690 wird auch durch ein Google Play Update adressiert.

Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Die Hersteller beheben zusätzliche Schwachstellen für Geräte aus eigener Produktion. Die Patch-Level der veröffentlichten Sicherheitsupdates werden mit 'SMR September-2021 Release 1' für Samsung-Geräte und '2021-09-01' für Geräte von LG angegeben.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2021-0428 CVE-2021-0644 CVE-2021-0682 CVE-2021-0693

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2021-0595 CVE-2021-0683 CVE-2021-0684 CVE-2021-0685 CVE-2021-0688

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2021-0598 CVE-2021-0692

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2021-0635 CVE-2021-0636

Schwachstellen in Unisoc-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2021-0680 CVE-2021-0681

Schwachstellen in MediaTek-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2021-0686

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2021-0687

Schwachstelle in Framework ermöglicht Denial-of-Service-Angriff

CVE-2021-0689 CVE-2021-0690

Schwachstellen in Media Framework ermöglichen Ausspähen von Informationen

CVE-2021-0691

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2021-0695

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen