2022-0969: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-05-03 13:03)

Neues Advisory

Version 2 (2022-05-06 12:36)

Google informiert darüber, dass es Hinweise auf die aktive Ausnutzung der Schwachstelle CVE-2021-22600 gegen ausgewählte Ziele gibt.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen in Google Android 10, 11, 12 und 12L vor Patch-Level 2022-05-05 lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, Denial-of-Service (DoS)-Angriffe durchzuführen und beliebigen Programmcode auszuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von MediaTek und Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.

Die Schwachstelle CVE-2021-35090 in einer nicht quelloffenen Qualcomm-Komponente sowie die Schwachstellen CVE-2022-20120 und CVE-2022-20117 in den Pixel-Komponenten Bootloader und Titan-M werden von den jeweiligen Herstellern als 'kritisch' (critical) eingestuft.

Google kündigt für Google Pixel Sicherheitsupdates an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Die Schwachstelle CVE-2021-39662 (Framework/MediaProvider) wird auch durch ein Google Play Update adressiert.

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR May-2022 Release 1' für Samsung-Geräte angegeben.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2021-22600

Schwachstelle in Linux-Kernel ermöglicht u. a. Privilegieneskalation

CVE-2021-35072 CVE-2021-35073 CVE-2021-35076 CVE-2021-35078 CVE-2021-35080

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2021-35079

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2021-35084 CVE-2021-35085 CVE-2021-35092 CVE-2021-35098

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2021-35086 CVE-2021-35087 CVE-2021-35094 CVE-2021-35096 CVE-2021-35116

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2021-35090

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2021-39662 CVE-2022-20004 CVE-2022-20005 CVE-2022-20007

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2021-39670 CVE-2022-20112

Schwachstellen in System ermöglichen Denial-of-Service-Angriffe

CVE-2021-39700

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2021-4083

Schwachstelle in Linux-Kernel ermöglicht u. a. Privilegieneskalation

CVE-2022-0847

Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes mit Administratorrechten

CVE-2022-20008

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2022-20009

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2022-20010 CVE-2022-20011 CVE-2022-20115

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2022-20084 CVE-2022-20109 CVE-2022-20110

Schwachstellen in MediaTek-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2022-20113 CVE-2022-20114 CVE-2022-20116

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2022-20117

Schwachstelle in Pixel-Komponente ermöglicht Ausspähen von Informationen

CVE-2022-20118

Schwachstelle in Pixel-Komponente ermöglicht Privilegieneskalation

CVE-2022-20119

Schwachstelle in Pixel-Komponente ermöglicht Ausspähen von Informationen

CVE-2022-20120

Schwachstelle in Pixel-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-20121

Schwachstelle in Pixel-Komponente ermöglicht Ausspähen von Informationen

CVE-2022-22057 CVE-2022-22064 CVE-2022-22065 CVE-2022-22068 CVE-2022-22072

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.