2023-0503: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-03-07 13:40)

Neues Advisory

Version 2 (2023-03-08 07:46)

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR-MAR-2023 Release 1' für Samsung-Geräte angegeben.

Version 3 (2023-03-20 12:08)

Google hat für Google Pixel eine Woche später ebenfalls Sicherheitsupdates veröffentlicht und stellt Android 13 Firmware-Images über die Entwicklerseite zum Download zur Verfügung, womit 120 zusätzliche Schwachstellen adressiert werden, die das Ausführen beliebigen Programmcodes, die Eskalation von Privilegien, das Ausspähen von Informationen, Denial-of-Service (DoS)-Angriffe und weitere, nicht näher spezifizierte Angriffe ermöglichen. Die nicht detailliert beschrieben Schwachstellen, von denen sieben als kritisch bewertet wurden, sind hier nicht ergänzt.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um nicht spezifizierte Angriffe durchzuführen. Mehrere Schwachstellen kann ein Angreifer lokal ausnutzen, um Privilegien zu eskalieren, Denial-of-Service (DoS)-Angriffe und weitere, nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von MediaTek, Unisoc und Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.

Die Schwachstellen CVE-2023-20951 und CVE-2023-20954 in der Komponente System von Google Android sowie CVE-2022-33213 und CVE-2022-33256 in nicht quelloffenen Qualcomm Komponenten (closed-source) werden von Google als kritisch eingestuft.

Google stellt die Patch-Level 2023-03-01 und 2023-03-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2023-03-01 behebt dabei Schwachstellen in Framework, System sowie Google Play. Der Patch-Level 2023-03-05 behebt weitere Schwachstellen im Kernel sowie in verschiedenen Komponenten von MediaTek, Unisoc und Qualcomm.

Google stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2021-33655

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2022-20499 CVE-2023-20910

Schwachstellen in System ermöglichen Denial-of-Service-Angriffe

CVE-2022-22075

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2022-25655 CVE-2022-25694 CVE-2022-25705 CVE-2022-25709 CVE-2022-33242 CVE-2022-33244

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2022-33213 CVE-2022-33256

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2022-33250 CVE-2022-33254 CVE-2022-33272 CVE-2022-33278 CVE-2022-33309

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2022-40515 CVE-2022-40527 CVE-2022-40530 CVE-2022-40531 CVE-2022-40535

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2022-40537

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten Angriff

CVE-2022-40540

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierten Angriff

CVE-2022-4452 CVE-2022-20467 CVE-2023-20929 CVE-2023-20952 CVE-2023-20962

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2022-47459 CVE-2022-47460

Schwachstellen in Unisoc-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2022-47461 CVE-2022-47462

Schwachstellen in Unisoc-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2023-20620 CVE-2023-20621 CVE-2023-20623

Schwachstellen in MediaTek-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2023-20906 CVE-2023-20911 CVE-2023-20917 CVE-2023-20947 CVE-2023-20963

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2023-20926 CVE-2023-20931 CVE-2023-20936 CVE-2023-20953 CVE-2023-20955

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2023-20951 CVE-2023-20954

Schwachstellen in System ermöglichen Ausführen beliebigen Programmcodes

CVE-2023-20956 CVE-2023-20958

Schwachstellen in Framework ermöglichen Ausspähen von Informationen

CVE-2023-20957 CVE-2023-20959 CVE-2023-20960 CVE-2023-20966

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2023-20964

Schwachstelle in Framework ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.