2021-2271: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit Administratorrechten

Historie:

Version 1 (2021-11-02 16:03)

Neues Advisory

Version 2 (2021-11-03 08:34)

Google hat den Sicherheitshinweis für Google Android aktualisiert und die zu den einzelnen Schwachstellen korrespondierenden Android Open Source Project (AOSP)-Links veröffentlicht. Der Hersteller LG veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit '2021-11-01' für Geräte von LG angegeben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode mit den Rechten des Administrators auszuführen, einen Denial-of-Service (DoS)-Angriff und weitere, nicht spezifizierte Angriffe durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen im benachbarten Netzwerk ausnutzen, um Privilegien zu eskalieren und beliebigen Programmcode auszuführen. Mehrere Schwachstellen kann ein Angreifer lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, einen Denial-of-Service (DoS)-Angriff durchzuführen und weitere, nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.

Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.

Insgesamt werden sechs der Schwachstellen von Google und Qualcomm als 'kritisch' eingestuft.

Google stellt die Patch-Level 2021-11-01, 2021-11-05 und 2021-11-06 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2021-11-01 behebt dabei Schwachstellen in Google Android Framework, Media Framework und im Grundsystem. Der Patch-Level 2021-11-05 behebt weitere Schwachstellen im Kernel, Android TV und in verschiedenen Komponenten von Qualcomm. Und der Patch-Level 2021-11-06 adressiert eine Schwachstelle im Kernel.

Google kündigt für Google Pixel Sicherheitsupdates an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR November-2021 Release 1' für Samsung-Geräte angegeben.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2018-25015

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-13871

Schwachstelle in SQLite ermöglicht Denial-of-Service-Angriff

CVE-2021-0434 CVE-2021-0649 CVE-2021-0932

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2021-0650

Schwachstelle in Media Framework ermöglicht Ausspähen von Informationen

CVE-2021-0653

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2021-0672

Schwachstelle in MediaTek-Komponente ermöglicht nicht spezifizierten Angriff

CVE-2021-0799 CVE-2021-0921 CVE-2021-0923 CVE-2021-0926 CVE-2021-0933

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2021-0889

Schwachstelle in Android TV ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-0918 CVE-2021-0930

Schwachstellen in System ermöglichen Ausführen beliebigen Programmcodes mit Administratorrechten

CVE-2021-0919

Schwachstelle in System ermöglicht Denial-of-Service-Angriff

CVE-2021-0920

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2021-0922

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2021-0924

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2021-0925 CVE-2021-0931

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2021-0927

Schwachstelle in Android TV ermöglicht Privilegieneskalation

CVE-2021-0928

Schwachstelle in Media Framework ermöglicht Privilegieneskalation

CVE-2021-0929

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2021-1041 CVE-2021-1043 CVE-2021-1045

Schwachstellen in Pixel-Komponenten ermöglichen Ausspähen von Informationen

CVE-2021-1042

Schwachstelle in Pixel-Komponente ermöglicht Ausspähen von Informationen

CVE-2021-1044

Schwachstelle in Pixel-Komponente ermöglicht Privilegieneskalation

CVE-2021-1048

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2021-1903 CVE-2021-30264

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2021-1921 CVE-2021-1973 CVE-2021-1979 CVE-2021-1981 CVE-2021-1982

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2021-1924 CVE-2021-1975

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2021-30254 CVE-2021-30255 CVE-2021-30259 CVE-2021-30284

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2021-30263

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2021-30265

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.