2022-1256: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2022-06-07 19:13)
- Neues Advisory
Betroffene Software
Systemsoftware
Betroffene Plattformen
Hardware
Google
Linux
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen in Google Android 10, 11, 12 und 12L vor Patch-Level 2022-06-05 aus der Ferne ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auszuführen und nicht spezifizierte Angriffe durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen, auch mit den Rechten des Administrators, Denial-of-Service (DoS)-Angriffe und nicht spezifizierte Angriffe durchzuführen. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann eine weitere Schwachstelle ausnutzen, um Informationen auszuspähen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.
Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von MediaTek, Unisoc und Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.
Die Schwachstelle CVE-2022-20130 in Media Framework, die Schwachstelle CVE-2022-20210 in Unisoc-Komponenten, mehrere Schwachstellen im Grundsystem (CVE-2022-20127, CVE-2022-20140, CVE-2022-20145) sowie mehrere Schwachstellen in den Pixel-Komponenten Modem und Titan-M (CVE-2022-20160, CVE-2022-20170, CVE-2022-20171, CVE-2022-20191, CVE-2022-20233) werden von Google bzw. Qualcomm als 'kritisch' eingestuft.
Google stellt die Patch-Level 2022-06-01 und 2022-06-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2022-06-01 behebt dabei Schwachstellen in Google Android Framework, Media Framework und im Grundsystem. Der Patch-Level 2022-06-05 behebt weitere Schwachstellen in Kernelkomponenten und in verschiedenen Komponenten von MediaTek, Unisoc und Qualcomm.
Google kündigt für Google Pixel Sicherheitsupdates an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Die Schwachstelle CVE-2022-20130 wird auch durch ein Google Play Update adressiert.
Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR Jun-2022 Release 1' für Samsung-Geräte angegeben.
Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.
Schwachstellen:
CVE-2018-25020
Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-0983 CVE-2022-20196
Schwachstellen in Framework ermöglichen Ausspähen von InformationenCVE-2021-20268
Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-20321
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2021-31440
Schwachstelle in Linux-Kernel ermöglicht u. a. Ausführen beliebigen Programmcodes mit den Rechten des KernelsCVE-2021-34556
Schwachstelle in Linux-Kernel ermöglicht Ausspähen von InformationenCVE-2021-35083 CVE-2021-35102 CVE-2021-35111 CVE-2022-22082 CVE-2022-22083
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2021-35118
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten AngriffCVE-2021-35119
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten AngriffCVE-2021-35120
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten AngriffCVE-2021-35121
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten AngriffCVE-2021-3635
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2021-3715
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2021-3743
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2021-3753
Schwachstelle in Linux-Kernel ermöglicht Ausspähen von InformationenCVE-2021-38160
Schwachstelle in Linux-Kernel ermöglicht u. a. Manipulation von DateienCVE-2021-39624
Schwachstelle in Framework ermöglicht Denial-of-Service-AngriffCVE-2021-39653 CVE-2022-20152 CVE-2022-20155 CVE-2022-20178 CVE-2022-20183 CVE-2022-20185
Schwachstelle in Pixel-Komponente ermöglicht PrivilegieneskalationCVE-2021-39691 CVE-2022-20006 CVE-2022-20125 CVE-2022-20138
Schwachstellen in Framework ermöglichen PrivilegieneskalationCVE-2021-39806 CVE-2022-20192 CVE-2022-20193 CVE-2022-20197 CVE-2022-20201 CVE-2022-20204
Schwachstellen in Framework ermöglichen PrivilegieneskalationCVE-2021-4154
Schwachstelle in Linux-Kernel ermöglicht u. a. PrivilegieneskalationCVE-2021-44733
Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-0492
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2022-20123 CVE-2022-20131
Schwachstellen in System ermöglichen Ausspähen von InformationenCVE-2022-20124 CVE-2022-20126 CVE-2022-20133 CVE-2022-20134 CVE-2022-20135
Schwachstellen in System ermöglichen PrivilegieneskalationCVE-2022-20127
Schwachstelle in System ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-20129 CVE-2022-20143
Schwachstellen in System ermöglichen Denial-of-Service-AngriffeCVE-2022-20130
Schwachstelle in Media Framework ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-20132
Schwachstelle in Linux-Kernel ermöglicht Ausspähen von InformationenCVE-2022-20136
Schwachstelle in Linux-Kernel ermöglicht Ausspähen von InformationenCVE-2022-20137 CVE-2022-20142 CVE-2022-20144 CVE-2022-20147
Schwachstellen in System ermöglichen PrivilegieneskalationCVE-2022-20139
Schwachstelle in System ermöglicht PrivilegieneskalationCVE-2022-20140 CVE-2022-20145
Schwachstellen in System ermöglichen PrivilegieneskalationCVE-2022-20141
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2022-20146 CVE-2022-20149 CVE-2022-20151 CVE-2022-20169 CVE-2022-20172 CVE-2022-20174
Schwachstellen in Pixel-Komponenten ermöglichen Ausspähen von InformationenCVE-2022-20148
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2022-20150
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2022-20153
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2022-20154
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2022-20156 CVE-2022-20164 CVE-2022-20167 CVE-2022-20186
Schwachstellen in Pixel-Komponenten ermöglichen PrivilegieneskalationCVE-2022-20157
Schwachstelle in Linux-Kernel ermöglicht Ausspähen von InformationenCVE-2022-20159 CVE-2022-20162 CVE-2022-20165 CVE-2022-20177 CVE-2022-20190
Schwachstellen in Pixel-Komponenten ermöglichen Ausspähen von InformationenCVE-2022-20160 CVE-2022-20170 CVE-2022-20171 CVE-2022-20191
Schwachstellen in Pixel-Komponente ermöglichen Ausführen beliebigen ProgrammcodesCVE-2022-20166
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2022-20168 CVE-2022-20181
Schwachstellen in Pixel-Komponente ermöglichen Denial-of-Service-AngriffeCVE-2022-20173
Schwachstelle in Pixel-Komponente ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-20175 CVE-2022-20176 CVE-2022-20179 CVE-2022-20182 CVE-2022-20184 CVE-2022-20188
Schwachstellen in Pixel-Komponenten ermöglichen Ausspähen von InformationenCVE-2022-20187
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2022-20194 CVE-2022-20207
Schwachstellen in System ermöglichen PrivilegieneskalationCVE-2022-20195
Schwachstelle in System ermöglicht Denial-of-Service-AngriffCVE-2022-20198 CVE-2022-20200 CVE-2022-20205 CVE-2022-20206 CVE-2022-20208
Schwachstelle in System ermöglicht Ausspähen von InformationenCVE-2022-20202 CVE-2022-20209
Schwachstellen in Media Framework ermöglichen Ausspähen von InformationenCVE-2022-20210
Schwachstelle in Unisoc-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2022-20233
Schwachstelle in Pixel-Komponente ermöglicht PrivilegieneskalationCVE-2022-21745
Schwachstelle in MediaTek-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2022-22084 CVE-2022-22085 CVE-2022-22086 CVE-2022-22087 CVE-2022-22090
Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2022-23222
Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-24958
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2022-25258
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2022-26966
Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.