2022-1514: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-07-07 17:09): Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann zwei Schwachstellen in Google Android 10, 11, 12 und 12L vor Patch-Level 2022-07-05 aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen und diverse nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern vermutlich die Interaktion eines Benutzers.

Zwei Schwachstellen im Grundsystem (CVE-2022-20222, CVE-2022-20229) sowie die Schwachstelle CVE-2022-22096 in einer Qualcomm-Komponente werden von Google bzw. Qualcomm als 'kritisch' eingestuft.

Google stellt die Patch-Level 2022-07-01 und 2022-07-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2022-07-01 behebt dabei Schwachstellen in Google Android Framework und im Grundsystem. Der Patch-Level 2022-07-05 behebt ebenfalls eine Schwachstelle in Google Android Framework sowie weitere Schwachstellen in Kernelkomponenten und in verschiedenen Komponenten von Imagination Technologies, MediaTek, Unisoc und Qualcomm.

Google kündigt für Google Pixel Sicherheitsupdates an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Die Schwachstelle CVE-2022-20228 wird auch durch ein Google Play Update adressiert.

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR Jul-2022 Release 1' für Samsung-Geräte angegeben.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2020-29374

Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-0981

Schwachstelle in Pixel-Komponente und Komponente System ermöglicht Privilegieneskalation

CVE-2021-35133

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten Angriff

CVE-2021-39815 CVE-2022-20122

Schwachstellen in Imagination-Technologies-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2022-20083 CVE-2022-21744 CVE-2022-20082 CVE-2022-21767 CVE-2022-21768 CVE-2022-21763 CVE-2022-21764

Schwachstellen in MediaTek-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2022-20216 CVE-2022-20217 CVE-2022-20236 CVE-2022-20238

Schwachstellen in Unisoc-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2022-20219 CVE-2022-20228

Schwachstellen in Framework ermöglichen Ausspähen von Informationen

CVE-2022-20220

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2022-20221 CVE-2022-20224 CVE-2022-20225 CVE-2022-20230

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2022-20222 CVE-2022-20229

Schwachstellen in System ermöglichen Ausführen beliebigen Programmcodes

CVE-2022-20223 CVE-2022-20226

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2022-20227

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2022-22058

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2022-22096