2023-0269: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien

Historie:

Version 1 (2023-02-07 15:04)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren und einen Denial-of-Service (DoS)-Angriff durchzuführen. Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Imagination Technologies, MediaTek, Unisoc und Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.

Die Schwachstellen CVE-2022-33243 und CVE-2022-33280 in den Qualcomm Komponenten 'kernel' und 'bluetooth' sowie CVE-2022-33232 und CVE-2022-40514 in nicht quelloffenen Qualcomm Komponenten (closed-source) werden von Google als kritisch eingestuft.

Google stellt die Patch-Level 2023-02-01 und 2023-02-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2023-02-01 behebt dabei Schwachstellen in Framework, System sowie Google Play. Der Patch-Level 2023-02-05 behebt weitere Schwachstellen im Kernel und in Kernel-Komponenten sowie in verschiedenen Komponenten von MediaTek, Unisoc und Qualcomm.

Google kündigt für Google Pixel Sicherheitsupdates an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR-Feb-2023 Release 1' für Samsung-Geräte angegeben.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2022-0850

Schwachstelle in Linux-Kernel ermöglicht u. a. Ausspähen von Informationen

CVE-2022-20443

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2022-20455

Schwachstelle in System ermöglicht Denial-of-Service-Angriff

CVE-2022-20481 CVE-2023-20932

Zwei Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2022-20551 CVE-2023-20934 CVE-2023-20942

Mehrere Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2022-25711

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten Angriff

CVE-2022-33221 CVE-2022-33233 CVE-2022-33248 CVE-2022-33271 CVE-2022-33277

Mehrere Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2022-33225

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten Angriff

CVE-2022-33232 CVE-2022-40514

Zwei Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2022-33243

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2022-33280

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2022-33306 CVE-2022-34145 CVE-2022-34146 CVE-2022-40502 CVE-2022-40512

Mehrere Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2022-39189

Schwachstelle in Linux-Kernel ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2022-39842

Schwachstelle in Linux-Kernel ermöglicht u. a. Privilegieneskalation

CVE-2022-41222

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2022-43680

Schwachstelle in Expat ermöglicht Denial-of-Service-Angriff

CVE-2022-47331

Schwachstelle in Unisoc-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2022-47339

Schwachstelle in Unisoc-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2023-20602

Schwachstelle in MediaTek-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2023-20933

Schwachstelle in Media Framework ermöglicht Privilegieneskalation

CVE-2023-20937

Schwachstelle in Kernel-Komponente ermöglicht Privilegieneskalation

CVE-2023-20938

Schwachstelle in Kernel-Komponente ermöglicht Privilegieneskalation

CVE-2023-20939

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2023-20940

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2023-20943 CVE-2023-20944

Zwei Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2023-20945

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2023-20946

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2023-20948

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2023-20949

Schwachstelle in Pixel-Komponente ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.