2022-2171: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. nicht spezifizierte Angriffe
Historie:
- Version 1 (2022-10-04 18:50)
- Neues Advisory
Betroffene Software
Systemsoftware
Betroffene Plattformen
Hardware
Google
Linux
Beschreibung:
Ein Angreifer kann eine Schwachstelle in Google Android 10, 11, 12, 12L und 13 vor Patch-Level 2022-10-05 im benachbarten Netzwerk ausnutzen, um nicht spezifizierte Angriffe durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, einen Denial-of-Service (DoS)-Angriff durchzuführen und nicht spezifizierte Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.
Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Imagination Technologies, MediaTek, Unisoc und Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.
Die Schwachstelle CVE-2022-20419 in der Komponente Framework, CVE-2022-25720 in der Qualcomm-Komponente 'WLAN', die Schwachstellen CVE-2022-25718 und CVE-2022-25748 in einer Qualcomm-Komponente (closed-source) sowie die Schwachstellen CVE-2022-20231 und CVE-2022-20364 in den Pixel-Komponenten 'Trusty' und 'Kernel' werden von Google als 'kritisch' eingestuft.
Google stellt die Patch-Level 2022-10-01 und 2022-10-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2022-10-01 behebt dabei Schwachstellen in Framework, Media Framework und im Grundsystem. Der Patch-Level 2022-10-05 behebt weitere Schwachstellen in Kernel-Komponenten und in verschiedenen Komponenten von Imagination Technologies, MediaTek, Unisoc und Qualcomm.
Google kündigt für Google Pixel Sicherheitsupdates an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.
Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR-OCT-2022' für Samsung-Geräte angegeben.
Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.
Schwachstellen:
CVE-2021-0951 CVE-2021-0696 CVE-2021-0699
Schwachstellen in Imagination-Technologies-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2021-39624
Schwachstelle in Framework ermöglicht Denial-of-Service-AngriffCVE-2021-39673 CVE-2022-20394 CVE-2022-20410
Schwachstellen in System ermöglichen Ausspähen von InformationenCVE-2021-39758
Schwachstelle in Framework ermöglicht PrivilegieneskalationCVE-2022-20231
Schwachstelle in Pixel-Komponente ermöglicht PrivilegieneskalationCVE-2022-20351
Schwachstelle in Framework ermöglicht Ausspähen von InformationenCVE-2022-20364
Schwachstelle in Pixel-Komponente ermöglicht PrivilegieneskalationCVE-2022-20397
Schwachstelle in Pixel-Komponente ermöglicht PrivilegieneskalationCVE-2022-20409
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2022-20412 CVE-2022-20416 CVE-2022-20417
Schwachstellen in System ermöglichen PrivilegieneskalationCVE-2022-20413 CVE-2022-20418
Schwachstellen in Media Framework ermöglichen Ausspähen von InformationenCVE-2022-20415
Schwachstelle in Framework ermöglicht PrivilegieneskalationCVE-2022-20419
Schwachstelle in Framework ermöglicht Ausspähen von InformationenCVE-2022-20420
Schwachstelle in Framework ermöglicht PrivilegieneskalationCVE-2022-20421 CVE-2022-20422 CVE-2022-20423 CVE-2022-20424
Schwachstellen in Kernel-Komponenten ermöglichen PrivilegieneskalationCVE-2022-20425
Schwachstelle in System ermöglicht Denial-of-Service-AngriffCVE-2022-20430 CVE-2022-20431 CVE-2022-20432 CVE-2022-20433 CVE-2022-20434
Schwachstellen in Unisoc-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2022-20435 CVE-2022-20436 CVE-2022-20437 CVE-2022-20438 CVE-2022-20439 CVE-2022-20440
Schwachstellen in Unisoc-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2022-20464
Schwachstelle in Pixel-Komponente ermöglicht Ausspähen von InformationenCVE-2022-22077
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten AngriffCVE-2022-22078
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten AngriffCVE-2022-25660 CVE-2022-25661 CVE-2022-25687 CVE-2022-25736 CVE-2022-25749
Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2022-25662 CVE-2022-25665
Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2022-25664
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten AngriffCVE-2022-25666
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten AngriffCVE-2022-25718 CVE-2022-25748
Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2022-25720
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2022-25723
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten AngriffCVE-2022-26471 CVE-2022-26472
Schwachstellen in MediaTek-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2022-33214
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten AngriffCVE-2022-33217
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.