2021-2540: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes
Historie:
- Version 1 (2021-12-08 11:29)
- Neues Advisory
Betroffene Software
Systemsoftware
Betroffene Plattformen
Hardware
Google
Linux
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und beliebigen Programmcode mit den Rechten eines privilegierten Dienstes auszuführen. Mehrere weitere Schwachstellen ermöglichen es einem Angreifer, lokal Administratorrechte zu erlangen, Informationen auszuspähen, Privilegien zu eskalieren sowie Denial-of-Service (DoS)-Angriffe durchzuführen. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann ebenfalls einen Denial-of-Service (DoS)-Angriff durchführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.
Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Qualcomm und MediaTek, welche weitere, nicht spezifizierte Angriffe ermöglichen.
Insgesamt werden sechs der Schwachstellen von Google oder Qualcomm als 'kritisch' eingestuft.
Google stellt die Patch-Level 2021-12-01 und 2021-12-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2021-12-01 behebt dabei Schwachstellen in Google Android Framework, Media Framework, in Google Play und im Grundsystem. Der Patch-Level 2021-12-05 behebt weitere Schwachstellen im Kernel, Media Framework, in verschiedenen Komponenten von Qualcomm und MediaTek sowie in Google Play.
Google kündigt für Google Pixel Sicherheitsupdates an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.
Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR December-2021 Release 1' für Samsung-Geräte angegeben.
Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.
Schwachstellen:
CVE-2020-11263 CVE-2021-1894 CVE-2021-1918 CVE-2021-30267 CVE-2021-30268 CVE-2021-30269
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2020-25668
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2021-0675
Schwachstelle in MediaTek-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2021-0704
Schwachstelle in Framework ermöglicht Ausspähen von InformationenCVE-2021-0769 CVE-2021-0977 CVE-2021-0992 CVE-2021-0999 CVE-2021-1004
Schwachstellen in System ermöglichen PrivilegieneskalationCVE-2021-0904
Schwachstelle in MediaTek-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2021-0952
Schwachstelle in System ermöglicht Ausspähen von InformationenCVE-2021-0953 CVE-2021-0954 CVE-2021-0963 CVE-2021-0965
Schwachstellen in System ermöglichen PrivilegieneskalationCVE-2021-0955
Schwachstelle in Framework ermöglicht PrivilegieneskalationCVE-2021-0956
Schwachstelle in System ermöglicht PrivilegieneskalationCVE-2021-0958
Schwachstelle in System ermöglicht Denial-of-Service-AngriffCVE-2021-0961
Schwachstelle in Kernel ermöglicht Ausspähen von InformationenCVE-2021-0964
Schwachstelle in Media Framework ermöglicht Ausspähen von InformationenCVE-2021-0966
Schwachstelle in System ermöglicht Ausspähen von InformationenCVE-2021-0967
Schwachstelle in Media Framework ermöglicht u. a. Ausspähen von InformationenCVE-2021-0968
Schwachstelle in System ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des DienstesCVE-2021-0969
Schwachstelle in System ermöglicht Denial-of-Service-AngriffCVE-2021-0970
Schwachstelle in Framework ermöglicht PrivilegieneskalationCVE-2021-0971
Schwachstelle in Media Framework ermöglicht Ausspähen von InformationenCVE-2021-0973
Schwachstelle in Messaging Komponente ermöglicht Ausspähen von InformationenCVE-2021-0976 CVE-2021-0998 CVE-2021-1001 CVE-2021-1002 CVE-2021-1018
Schwachstellen in Media Framework Komponente ermöglichen Ausspähen von InformationenCVE-2021-0978 CVE-2021-0979 CVE-2021-0982 CVE-2021-0983 CVE-2021-0986
Schwachstellen in Framework ermöglichen Ausspähen von InformationenCVE-2021-0981 CVE-2021-0984 CVE-2021-0985 CVE-2021-1019 CVE-2021-1024
Schwachstellen in Framework ermöglichen PrivilegieneskalationCVE-2021-0987 CVE-2021-0989 CVE-2021-0990 CVE-2021-0991 CVE-2021-0994 CVE-2021-0995 CVE-2021-0996 CVE-2021-0997
Schwachstellen in System ermöglichen Ausspähen von InformationenCVE-2021-0988 CVE-2021-1009 CVE-2021-1010 CVE-2021-1011
Schwachstellen in Framework ermöglichen Ausspähen von InformationenCVE-2021-0993
Schwachstelle in Framework ermöglicht Denial-of-Service-AngriffCVE-2021-1003 CVE-2021-1027 CVE-2021-1028 CVE-2021-1029
Schwachstellen in Media Framework ermöglichen PrivilegieneskalationCVE-2021-1005 CVE-2021-1006 CVE-2021-1007 CVE-2021-1012 CVE-2021-1014 CVE-2021-1015 CVE-2021-1023 CVE-2021-1025
Schwachstellen in System ermöglichen Ausspähen von InformationenCVE-2021-1008 CVE-2021-1022
Schwachstellen in System ermöglichen Denial-of-Service-AngriffeCVE-2021-1013 CVE-2021-1030 CVE-2021-1031 CVE-2021-1032
Schwachstellen in Framework ermöglichen Ausspähen von InformationenCVE-2021-1016 CVE-2021-1017 CVE-2021-1020 CVE-2021-1021
Schwachstellen in System ermöglichen PrivilegieneskalationCVE-2021-1026 CVE-2021-1034
Schwachstellen in System ermöglichen Ausspähen von InformationenCVE-2021-1046
Schwachstelle in Pixel-Komponente ermöglicht Ausspähen von InformationenCVE-2021-1047
Schwachstelle in Pixel-Komponente ermöglicht Ausspähen von InformationenCVE-2021-23134
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2021-30262
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2021-30270 CVE-2021-30271 CVE-2021-30272 CVE-2021-30273 CVE-2021-30274 CVE-2021-30278
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2021-30275 CVE-2021-30276 CVE-2021-30351
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2021-30279 CVE-2021-30282 CVE-2021-30283 CVE-2021-30289 CVE-2021-30293 CVE-2021-30303 CVE-2021-30336
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2021-30298
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2021-30335 CVE-2021-30337
Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2021-33200
Schwachstelle in Linux-Kernel ermöglicht Erlangen von AdministratorrechtenCVE-2021-33909
Schwachstelle in Linux-Kernel ermöglicht Erlangen von AdministratorrechtenCVE-2021-38204
Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-39636
Schwachstelle in Kernel ermöglicht Ausspähen von InformationenCVE-2021-39637
Schwachstelle in Pixel-Komponente ermöglicht Ausspähen von InformationenCVE-2021-39638 CVE-2021-39642
Schwachstellen in Pixel-Komponente ermöglichen PrivilegieneskalationCVE-2021-39639 CVE-2021-39644 CVE-2021-39645
Schwachstellen in Pixel-Komponente ermöglichen PrivilegieneskalationCVE-2021-39640
Schwachstelle in Pixel-Komponente ermöglicht PrivilegieneskalationCVE-2021-39641 CVE-2021-39653
Schwachstellen in Pixel-Komponente ermöglichen PrivilegieneskalationCVE-2021-39643
Schwachstelle in Pixel-Komponente ermöglicht PrivilegieneskalationCVE-2021-39646 CVE-2021-39647
Schwachstellen in Pixel-Komponente ermöglichen Ausspähen von InformationenCVE-2021-39648
Schwachstelle in Kernel ermöglicht Ausspähen von InformationenCVE-2021-39649
Schwachstelle in Pixel-Komponente ermöglicht PrivilegieneskalationCVE-2021-39650 CVE-2021-39655
Schwachstellen in Pixel-Komponente ermöglichen PrivilegieneskalationCVE-2021-39651
Schwachstelle in Pixel-Komponente ermöglicht PrivilegieneskalationCVE-2021-39652
Schwachstelle in Pixel-Komponente ermöglicht PrivilegieneskalationCVE-2021-39656
Schwachstelle in Kernel ermöglicht PrivilegieneskalationCVE-2021-39657
Schwachstelle in Kernel ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.