2022-1689: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-08-02 20:08)

Neues Advisory

Version 2 (2022-08-16 08:56)

Google hat den Sicherheitshinweis für Google Android aktualisiert und die zu den einzelnen Schwachstellen korrespondierenden Android Open Source Project (AOSP)-Links veröffentlicht.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen in Google Android 10, 11, 12 und 12L vor Patch-Level 2022-08-05 aus der Ferne ausnutzen, um Informationen auszuspähen und beliebigen Programmcode auszuführen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um Privilegien zu eskalieren. Mehrere Schwachstellen kann ein Angreifer lokal ausnutzen, um Administratorrechte zu erlangen, Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Imagination-Technologies, MediaTek, Unisoc und Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.

Die Schwachstelle CVE-2022-20345 im Grundsystem wird von Google als 'kritisch' eingestuft.

Google stellt die Patch-Level 2022-08-01 und 2022-08-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2022-08-01 behebt dabei Schwachstellen in Google Android Framework, Media Framework und im Grundsystem. Der Patch-Level 2022-08-05 behebt weitere Schwachstellen in Kernelkomponenten und in verschiedenen Komponenten von Imagination-Technologies, MediaTek, Unisoc und Qualcomm.

Google kündigt für Google Pixel Sicherheitsupdates an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Die Schwachstelle CVE-2022-20346 wird auch durch ein Google Play Update adressiert.

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR Aug-2022 Release 1' für Samsung-Geräte angegeben.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2021-0698 CVE-2021-0887 CVE-2021-0891 CVE-2021-0946 CVE-2021-0947 CVE-2021-39815 CVE-2022-20122

Schwachstellen in Imagination-Technologies-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2021-30259 CVE-2022-22059 CVE-2022-22061 CVE-2022-22062

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2021-3609

Schwachstelle in Linux-Kernel ermöglicht Erlangen von Administratorrechten

CVE-2021-39696 CVE-2022-20344 CVE-2022-20348 CVE-2022-20349 CVE-2022-20356

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2021-39714

Schwachstelle in Kernel-Komponente ermöglicht Privilegieneskalation

CVE-2022-0435

Schwachstelle in Linux-Kernel ermöglicht u. a. Privilegieneskalation

CVE-2022-0995

Schwachstelle in Linux-Kernel ermöglicht u. a. Privilegieneskalation

CVE-2022-1011

Schwachstelle in Linux-Kernel ermöglicht u. a. Ausspähen von Informationen

CVE-2022-1055

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2022-1786

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2022-20082

Schwachstelle in MediaTek-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2022-20158

Schwachstelle in Kernel-Komponente ermöglicht Privilegieneskalation

CVE-2022-20180

Schwachstelle in Pixel-Komponente ermöglicht Privilegieneskalation

CVE-2022-20237 CVE-2022-20400 CVE-2022-20402 CVE-2022-20403

Schwachstellen in Pixel-Komponente ermöglichen Ausführen beliebigen Programmcodes

CVE-2022-20239

Schwachstelle in Unisoc-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2022-20345

Schwachstelle in System ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-20346 CVE-2022-20353

Schwachstellen in Media Framework ermöglichen Ausspähen von Informationen

CVE-2022-20347 CVE-2022-20354 CVE-2022-20360 CVE-2022-20361

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2022-20350 CVE-2022-20352 CVE-2022-20357 CVE-2022-20358

Schwachstellen in Framework ermöglichen Ausspähen von Informationen

CVE-2022-20355

Schwachstelle in System ermöglicht Denial-of-Service-Angriff

CVE-2022-20365

Schwachstelle in Pixel-Komponente ermöglicht Privilegieneskalation

CVE-2022-20366 CVE-2022-20367 CVE-2022-20372 CVE-2022-20373

Schwachstellen in Pixel-Komponente ermöglichen Privilegieneskalation

CVE-2022-20368

Schwachstelle in Kernel-Komponente ermöglicht Privilegieneskalation

CVE-2022-20369

Schwachstelle in Kernel-Komponente ermöglicht Privilegieneskalation

CVE-2022-20370 CVE-2022-20401 CVE-2022-20404 CVE-2022-20406 CVE-2022-20408

Schwachstellen in Pixel-Komponente ermöglichen Ausspähen von Informationen

CVE-2022-20371

Schwachstelle in Kernel-Komponente ermöglicht Privilegieneskalation

CVE-2022-20374 CVE-2022-20378 CVE-2022-20384 CVE-2022-20405

Schwachstellen in Pixel-Komponente ermöglichen Privilegieneskalation

CVE-2022-20375 CVE-2022-20407

Schwachstellen in Pixel-Komponente ermöglichen Denial-of-Service-Angriffe

CVE-2022-20376 CVE-2022-20379 CVE-2022-20381

Schwachstellen in Pixel-Komponente ermöglichen Privilegieneskalation

CVE-2022-20377

Schwachstelle in Pixel-Komponente ermöglicht Privilegieneskalation

CVE-2022-20380

Schwachstelle in Pixel-Komponente ermöglicht Ausspähen von Informationen

CVE-2022-20382

Schwachstelle in Kernel-Komponente ermöglicht Privilegieneskalation

CVE-2022-20383

Schwachstelle in Pixel-Komponente ermöglicht Privilegieneskalation

CVE-2022-22067 CVE-2022-22069 CVE-2022-22070 CVE-2022-25668

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2022-22080

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2022-27666

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2022-29581

Schwachstelle in Linux-Kernel ermöglicht Erlangen von Administratorrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.