2023-0021: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2023-01-04 15:20)
- Neues Advisory
Betroffene Software
Systemsoftware
Betroffene Plattformen
Hardware
Google
Linux
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, verschiedene Denial-of-Service (DoS)- und nicht spezifizierte Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.
Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Imagination Technologies, MediaTek, Unisoc und Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.
Die Schwachstellen CVE-2022-42719, CVE-2022-42720 und CVE-2022-42721 in verschiedenen Unterkomponenten des Kernels, CVE-2022-41674 in der Kernel-Komponente 'WLAN', CVE-2022-22088 in der Qualcomm-Komponente 'Bluetooth', sowie CVE-2021-35097, CVE-2021-35113 und CVE-2021-35134 in mehreren Qualcomm-Komponenten (closed-source) werden von Google als kritisch eingestuft.
Google stellt die Patch-Level 2023-01-01 und 2023-01-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2023-01-01 behebt dabei Schwachstellen in Framework, System sowie Google Play. Der Patch-Level 2023-01-05 behebt weitere Schwachstellen im Kernel und in Kernel-Komponenten sowie in verschiedenen Komponenten von Imagination Technologies, MediaTek, Unisoc und Qualcomm.
Google kündigt für Google Pixel Sicherheitsupdates an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.
Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR-JAN-2023 Release 1' für Samsung-Geräte angegeben.
Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.
Schwachstellen:
CVE-2021-35097 CVE-2021-35113 CVE-2021-35134
Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2022-20235
Schwachstelle in Imagination-Technologies-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2022-20456 CVE-2022-20489 CVE-2022-20490 CVE-2022-20492 CVE-2022-20493
Schwachstellen in Framework ermöglichen PrivilegieneskalationCVE-2022-20461 CVE-2023-20904 CVE-2023-20905 CVE-2023-20913 CVE-2023-20915
Schwachstellen in System ermöglichen PrivilegieneskalationCVE-2022-20494 CVE-2023-20908 CVE-2023-20922
Schwachstellen in Framework ermöglichen Denial-of-Service-AngriffCVE-2022-22079
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten AngriffCVE-2022-22088
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2022-23960
Schwachstelle in ARM Prozessoren ermöglicht Ausspähen von InformationenCVE-2022-25715
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten AngriffCVE-2022-25717
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten AngriffCVE-2022-25721
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten AngriffCVE-2022-25722
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten AngriffCVE-2022-25725 CVE-2022-25746 CVE-2022-33252 CVE-2022-33253 CVE-2022-33266
Mehrere Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2022-2959
Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-32635 CVE-2022-32636 CVE-2022-32637
Schwachstellen in MediaTek-Komponenten ermöglichen nicht spezifizierte AngriffeCVE-2022-33255
Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte AngriffeCVE-2022-33274 CVE-2022-33276 CVE-2022-33283 CVE-2022-33284 CVE-2022-33285 CVE-2022-33286
Mehrere Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2022-41674
Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-42719
Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-42720
Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-42721
Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-44425 CVE-2022-44426 CVE-2022-44427 CVE-2022-44428
Schwachstellen in Unisoc-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2022-44429 CVE-2022-44430 CVE-2022-44431 CVE-2022-44432
Schwachstellen in Unisoc-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2022-44434 CVE-2022-44435 CVE-2022-44436 CVE-2022-44437 CVE-2022-44438
Schwachstellen in Unisoc-Komponente ermöglichen nicht spezifizierte AngriffeCVE-2023-20912 CVE-2023-20916 CVE-2023-20918 CVE-2023-20919 CVE-2023-20920 CVE-2023-20921
Schwachstellen in Framework ermöglichen PrivilegieneskalationCVE-2023-20923
Schwachstelle in Pixel-Komponente ermöglicht Ausspähen von InformationenCVE-2023-20924
Schwachstelle in Pixel-Komponente ermöglicht PrivilegieneskalationCVE-2023-20925
Schwachstelle in Pixel-Komponente ermöglicht PrivilegieneskalationCVE-2023-20928
Schwachstelle in Kernel-Komponente ermöglicht Privilegieneskalation
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.