2021-2058: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit Administratorrechten

Historie:

Version 1 (2021-10-05 17:37)

Neues Advisory

Version 2 (2021-10-12 17:43)

Google hat den Sicherheitshinweis für Google Android aktualisiert und die zu den einzelnen Schwachstellen korrespondierenden Android Open Source Project (AOSP)-Links veröffentlicht sowie die Schwachstelle CVE-2021-0583 in die CVE-Liste aufgenommen, welche eine Privilegieneskalation ermöglicht. Der Hersteller LG veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit '2021-10-01' für Geräte von LG angegeben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen in Google Android 8.1, 9, 10 und 11 vor Patch-Level 2021-10-05 aus der Ferne ausnutzen, um Informationen auszuspähen und beliebigen Programmcode mit den Rechten des Administrators auszuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, Denial-of-Service (DoS)-Angriffe und nicht spezifizierte Angriffe durchzuführen. Mehrere weitere Schwachstellen kann ein Angreifer im benachbarten Netzwerk ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.

Insgesamt werden drei der Schwachstellen von Google und Qualcomm als 'kritisch' eingestuft.

Google stellt die Patch-Level 2021-10-01 und 2021-10-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2021-10-01 behebt dabei Schwachstellen in Google Android Framework, Media Framework, in der Laufzeitumgebung und im Grundsystem. Der Patch-Level 2021-10-05 behebt weitere Schwachstellen im Kernel, der Telecommunication-Komponente und in verschiedenen Komponenten von Qualcomm.

Google kündigt für Google Pixel Sicherheitsupdates an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR October-2021 Release 1' für Samsung-Geräte angegeben.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2019-25045

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-10768

Schwachstelle in Linux-Kernel ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-11264 CVE-2020-11301

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2020-11303

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2020-15358

Schwachstelle in SQLite ermöglicht Denial-of-Service-Angriff

CVE-2020-24587

Schwachstelle in Wi-Fi Standard ermöglicht Ausspähen von Informationen

CVE-2020-24588

Schwachstelle in Wi-Fi Standard ermöglicht Darstellen falscher Informationen

CVE-2020-25285

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2020-26139

Schwachstelle in Wi-Fi-Implementierungen ermöglicht Denial-of-Service-Angriff

CVE-2020-26140

Schwachstelle in Wi-Fi-Implementierungen ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-26141

Schwachstelle in Wi-Fi-Implementierungen ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-26145

Schwachstelle in Wi-Fi-Implementierungen ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-26146

Schwachstelle in Wi-Fi-Implementierungen ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-26147

Schwachstelle in Wi-Fi-Implementierungen ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-29368

Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-29660

Schwachstelle in Linux-Kernel ermöglicht u. a. Ausspähen von Informationen

CVE-2021-0483

Schwachstelle in Media Framework ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2021-0583

Schwachstelle in Bluetooth ermöglicht Privilegieneskalation

CVE-2021-0643

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2021-0651

Schwachstelle in Framework ermöglicht Denial-of-Service-Angriff

CVE-2021-0652 CVE-2021-0705 CVE-2021-0708

Schwachstellen in Framework ermöglichen u. a. Ausführen beliebigen Programmcodes

CVE-2021-0702

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2021-0703

Schwachstelle in Android Runtime ermöglicht Privilegieneskalation

CVE-2021-0706

Schwachstelle in System ermöglicht Denial-of-Service-Angriff

CVE-2021-0707

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2021-0870

Schwachstelle in System ermöglicht Ausführen beliebigen Programmcodes mit Administratorrechten

CVE-2021-0935 CVE-2021-0936 CVE-2021-0937 CVE-2021-0938 CVE-2021-0941

Schwachstellen in Kernel-Komponenten ermöglichen Privilegieneskalation

CVE-2021-0939

Schwachstelle in Pixel-Komponente ermöglicht Ausspähen von Informationen

CVE-2021-0940

Schwachstelle in Pixel-Komponente ermöglicht Privilegieneskalation

CVE-2021-1913 CVE-2021-1917 CVE-2021-1932 CVE-2021-1936 CVE-2021-1949 CVE-2021-1959

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2021-1966 CVE-2021-1967 CVE-2021-1968 CVE-2021-1969

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2021-1977 CVE-2021-1980 CVE-2021-30305 CVE-2021-30306 CVE-2021-30312

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2021-1983 CVE-2021-1984 CVE-2021-1985 CVE-2021-30256 CVE-2021-30257 CVE-2021-30258

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2021-20292

Schwachstelle in Linux-Kernel ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2021-27666

Schwachstelle in Telecommunication-Komponente ermöglicht Ausspähen von Informationen

CVE-2021-29155

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2021-29646

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2021-29647

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2021-30288 CVE-2021-30291 CVE-2021-30292 CVE-2021-30297 CVE-2021-30302 CVE-2021-30310

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2021-31916

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-3489

Schwachstelle in Linux-Kernel ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2021-3490

Schwachstelle in Linux-Kernel ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2021-38166

Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.