DFN-CERT

Advisory-Archiv

2022-0287: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien

Historie:

Version 1 (2022-02-08 12:54)
Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen in Google Android 10, 11 und 12 vor Patch-Level 2022-02-05 aus der Ferne ausnutzen, um Privilegien zu eskalieren, Denial-of-Service (DoS)-Angriffe und nicht spezifizierte Angriffe durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, einen Denial-of-Service (DoS)-Angriff und nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Amlogic, MediaTek, Qualcomm und Unisoc, welche weitere, nicht spezifizierte Angriffe ermöglichen.

Die Schwachstelle CVE-2021-30317 in einer nicht quelloffenen Qualcomm-Komponente und die Schwachstelle CVE-2021-39675 in der Komponente System werden von Google bzw. Qualcomm als 'kritisch' eingestuft.

Google stellt die Patch-Level 2022-02-01 und 2022-02-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2022-02-01 behebt dabei Schwachstellen in Google Android Framework, Media Framework und im Grundsystem. Der Patch-Level 2022-02-05 behebt weitere Schwachstellen im Grundsystem und in verschiedenen Komponenten von MediaTek, Qualcomm, Amlogic und Unisoc.

Google kündigt für Google Pixel Sicherheitsupdates an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Die Schwachstellen CVE-2021-39662 und CVE-2021-39663 werden auch durch ein Google Play Update adressiert.

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR February-2022 Release 1' für Samsung-Geräte angegeben.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2020-13112

Schwachstelle in libexif ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-13113

Schwachstelle in libexif ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-0706

Schwachstelle in System ermöglicht Denial-of-Service-Angriff

CVE-2021-30309 CVE-2021-30318 CVE-2021-30322 CVE-2021-30323 CVE-2021-30326

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2021-30317

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2021-30324 CVE-2021-30325

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2021-35068 CVE-2021-35069 CVE-2021-35074 CVE-2021-35075 CVE-2021-35077

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2021-39616 CVE-2021-39635 CVE-2021-39658

Schwachstellen in Unisoc-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2021-39619 CVE-2021-39662 CVE-2021-39663 CVE-2021-39676

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2021-39631

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2021-39664

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2021-39665 CVE-2021-39666

Schwachstellen in Media Framework ermöglichen Ausspähen von Informationen

CVE-2021-39668 CVE-2021-39669 CVE-2021-39671 CVE-2021-39674

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2021-39672

Schwachstelle in Amlogic-Komponente ermöglicht nicht spezifizierten Angriff

CVE-2021-39675

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2021-39687

Schwachstelle in Pixel-Komponente ermöglicht Ausspähen von Informationen

CVE-2021-39688

Schwachstelle in Pixel-Komponente ermöglicht Ausspähen von Informationen

CVE-2022-20024 CVE-2022-20025 CVE-2022-20026 CVE-2022-20027 CVE-2022-20028

Schwachstellen in MediaTek-Komponenten ermöglichen nicht spezifizierten Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.