2022-1962: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. eine Übernahme des Systems

Historie:

Version 1 (2022-09-07 14:04)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen in Google Android 10, 11, 12, 12L und 13 vor Patch-Level 2022-09-05 aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Administratorrechte zu erlangen, Informationen auszuspähen, Privilegien zu eskalieren und nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Imagination Technologies, MediaTek, Unisoc und Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.

Die Schwachstelle CVE-2022-25708 in einer Closed-Source-Komponente von Qualcomm und die Schwachstellen CVE-2022-20231 und CVE-2022-20364 in den Pixel-Komponenten 'Trusty' und 'Kernel' werden von Google als 'kritisch' eingestuft.

Google stellt die Patch-Level 2022-09-01 und 2022-09-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2022-09-01 behebt dabei Schwachstellen in Google Android runtime, Framework und im Grundsystem. Der Patch-Level 2022-09-05 behebt weitere Schwachstellen in Kernel-Komponenten und in verschiedenen Komponenten von Imagination Technologies, MediaTek, Unisoc und Qualcomm.

Google kündigt für Google Pixel Sicherheitsupdates an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Die Schwachstellen CVE-2022-20218, CVE-2022-20395 und CVE-2022-20398 werden auch durch ein Google Play Update adressiert.

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR Sep-2022 Release 1' für Samsung-Geräte angegeben.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2020-0500

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2021-0697 CVE-2021-0942 CVE-2021-0943 CVE-2021-0871

Schwachstellen in Imagination-Technologies-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2021-4083

Schwachstelle in Linux-Kernel ermöglicht u. a. Privilegieneskalation

CVE-2022-20197

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2022-20218 CVE-2022-20392

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2022-20231

Schwachstelle in Pixel-Komponente ermöglicht Privilegieneskalation

CVE-2022-20364

Schwachstelle in Pixel-Komponente ermöglicht Privilegieneskalation

CVE-2022-20385 CVE-2022-20386 CVE-2022-20387 CVE-2022-20388 CVE-2022-20389 CVE-2022-20390 CVE-2022-20391

Schwachstellen in Unisoc-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2022-20393

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2022-20395 CVE-2022-20398

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2022-20396

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2022-20399

Schwachstelle in Kernel-Komponente ermöglicht Ausspähen von Informationen

CVE-2022-22066 CVE-2022-22074 CVE-2022-22081 CVE-2022-22089 CVE-2022-22091 CVE-2022-22092 CVE-2022-22093

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2022-22094 CVE-2022-25669 CVE-2022-25686 CVE-2022-25688 CVE-2022-25690 CVE-2022-25696

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2022-22095 CVE-2022-25656 CVE-2022-25670 CVE-2022-25693 CVE-2022-25704 CVE-2022-25706

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2022-22822

Schwachstelle in Expat (libexpat) ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-23852

Schwachstelle in Expat (libexpat) ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-23960

Schwachstelle in ARM Prozessoren ermöglicht Ausspähen von Informationen

CVE-2022-23990

Schwachstelle in Expat (libexpat) ermöglicht Denial-of-Service-Angriff

CVE-2022-25314

Schwachstelle in Expat (libexpat) ermöglicht Denial-of-Service-Angriff

CVE-2022-25653

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2022-25654

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten Angriff

CVE-2022-25708

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2022-26447

Schwachstelle in MediaTek-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2022-28388

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2022-29582

Schwachstelle in Linux-Kernel ermöglicht Erlangen von Administratorrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.