2022-2487: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien
Historie:
- Version 1 (2022-11-08 15:49)
- Neues Advisory
- Version 2 (2022-11-09 07:58)
- Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR November-2022 Release 1' für Samsung-Geräte angegeben.
- Version 3 (2022-11-10 11:36)
- Google hat den Sicherheitshinweis für Google Android aktualisiert und die zu den einzelnen Schwachstellen korrespondierenden Android Open Source Project (AOSP)-Links veröffentlicht. Des weiteren wurden drei weitere Schwachstellen dem Sicherheitshinweis für Pixel hinzugefügt, von denen CVE-2022-20427 als 'kritisch' (critical) eingestuft wird.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Hardware
Google
Linux
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, verschiedene Denial-of-Service (DoS)-Angriffe und weitere nicht spezifizierte Angriffe durchzuführen. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann zwei Schwachstellen ausnutzen, um Dateien zu manipulieren.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.
Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Imagination Technologies, MediaTek, Unisoc und Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.
Die Schwachstelle CVE-2021-35122 in einer Qualcomm-Komponente (closed-source) wird von Google als 'kritisch' eingestuft.
Google stellt die Patch-Level 2022-11-01 und 2022-11-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2022-10-01 behebt dabei Schwachstellen in Framework, verschiedenen Komponenten, System sowie Google Play. Der Patch-Level 2022-11-05 behebt weitere Schwachstellen in verschiedenen Komponenten von Imagination Technologies, MediaTek, Unisoc und Qualcomm.
Google kündigt für Google Pixel Sicherheitsupdates an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.
Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.
Schwachstellen:
CVE-2021-1050 CVE-2021-39661
Schwachstellen in Imagination-Technologies-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2021-35108
Schwachstelle in Qualcomm-Komponente ermöglicht Manipulation von DateienCVE-2021-35109
Schwachstelle in Qualcomm-Komponente ermöglicht Manipulation von DateienCVE-2021-35122
Schwachstelle in Qualcomm-Komponente ermöglicht PrivilegieneskalationCVE-2021-35132
Schwachstelle in Qualcomm-Komponente ermöglicht PrivilegieneskalationCVE-2021-35135
Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-AngriffCVE-2022-20414 CVE-2022-20453
Schwachstellen in System ermöglichen Denial-of-Service-AngriffeCVE-2022-20426
Schwachstelle in verschiedenen Komponenten ermöglicht Denial-of-Service-AngriffCVE-2022-20427
Schwachstelle in Pixel-Komponente ermöglicht PrivilegieneskalationCVE-2022-20428 CVE-2022-20459 CVE-2022-20460
Schwachstellen in Pixel-Komponente ermöglichen PrivilegieneskalationCVE-2022-20445 CVE-2022-20447
Schwachstellen in System ermöglicht Ausspähen von InformationenCVE-2022-20446
Schwachstelle in Framework ermöglicht PrivilegieneskalationCVE-2022-20451 CVE-2022-20462 CVE-2022-20454 CVE-2022-20463 CVE-2022-20465
Schwachstellen in System ermöglichen PrivilegieneskalationCVE-2022-2209 CVE-2022-20441 CVE-2022-20448 CVE-2022-20450 CVE-2022-20452 CVE-2022-20457
Schwachstellen in Framework ermöglichen PrivilegieneskalationCVE-2022-25671
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2022-25674 CVE-2022-25676 CVE-2022-25679
Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2022-25724 CVE-2022-25743
Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2022-25741
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2022-2984
Schwachstelle in Unisoc-Komponente ermöglicht Denial-of-Service-AngriffCVE-2022-2985
Schwachstelle in Unisoc-Komponente ermöglicht PrivilegieneskalationCVE-2022-32601
Schwachstelle in MediaTek-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2022-32602
Schwachstelle in MediaTek-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2022-33234 CVE-2022-33236 CVE-2022-33237 CVE-2022-33239
Mehrere Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2022-38669 CVE-2022-38670
Schwachstellen in Unisoc-Komponente ermöglichen PrivilegieneskalationCVE-2022-38672 CVE-2022-38673
Schwachstellen in Unisoc-Komponente ermöglichen Denial-of-Service-AngriffeCVE-2022-38676
Schwachstelle in Unisoc-Komponente ermöglicht Denial-of-Service-AngriffCVE-2022-38690
Schwachstelle in Unisoc-Komponente ermöglicht Denial-of-Service-AngriffCVE-2022-39105
Schwachstelle in Unisoc-Komponente ermöglicht Denial-of-Service-AngriffCVE-2022-42533
Schwachstelle in Pixel-Komponente ermöglicht Privilegieneskalation
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.