2023-0750: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-04-05 11:42)

Neues Advisory

Version 2 (2023-04-11 15:31)

Google hat für Google Pixel eine Woche später ebenfalls Sicherheitsupdates veröffentlicht und stellt Firmware-Images über die Entwicklerseite zum Download zur Verfügung, womit 17 zusätzliche Schwachstellen adressiert werden, die das Ausführen beliebigen Programmcodes, das Ausspähen von Informationen und weitere, nicht näher spezifizierte Angriffe ermöglichen. Acht der Schwachstellen werden vom Hersteller als 'kritisch' (critical) beschrieben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und beliebigen Programmcode auszuführen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um nicht spezifizierte Angriffe durchzuführen. Mehrere Schwachstellen kann ein Angreifer lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, verschiedene Denial-of-Service (DoS)-Angriffe und nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Arm, Imagination Technologies, MediaTek, Unisoc und Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.

Die Schwachstellen CVE-2023-21085 und CVE-2023-21096 in der Komponente System von Google Android sowie CVE-2022-33231, CVE-2022-33288, CVE-2022-33289 und CVE-2022-33302 in nicht quelloffenen Qualcomm Komponenten (closed-source) werden von Google als kritisch eingestuft.

Google stellt die Patch-Level 2023-04-01 und 2023-04-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2023-04-01 behebt dabei Schwachstellen in Framework, System sowie Google Play. Der Patch-Level 2023-04-05 behebt weitere Schwachstellen im Kernel sowie in verschiedenen Komponenten von Arm, Imagination Technologies, MediaTek, Unisoc und Qualcomm.

Google stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR-APR-2023 Release 1' für Samsung-Geräte angegeben.

Schwachstellen:

CVE-2021-0872 CVE-2021-0873 CVE-2021-0874 CVE-2021-0875 CVE-2021-0876 CVE-2021-0878

Schwachstellen in Imagination-Technologies-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2021-0879 CVE-2021-0880 CVE-2021-0881 CVE-2021-0882 CVE-2021-0883 CVE-2021-0884

Schwachstellen in Imagination-Technologies-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2021-0885

Schwachstelle in Imagination-Technologies-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2022-20463 CVE-2023-20967 CVE-2023-21084 CVE-2023-21086

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2022-20471 CVE-2023-20909 CVE-2023-20935 CVE-2023-21080 CVE-2023-21082 CVE-2023-21083

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2022-32599

Schwachstelle in MediaTek-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2022-33231 CVE-2022-33288 CVE-2022-33289 CVE-2022-33302

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2022-33269 CVE-2022-33270 CVE-2022-40532 CVE-2023-21630

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2022-33296 CVE-2022-33298

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2022-33301

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2022-33917

Schwachstelle in ARM-Komponente ermöglicht Ausspähen von Informationen

CVE-2022-36449

Schwachstelle in ARM-Komponente ermöglicht Ausspähen von Informationen

CVE-2022-38181

Schwachstelle in ARM-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-40503

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2022-41757

Schwachstelle in ARM-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-42716

Schwachstelle in ARM-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-4696

Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-47335 CVE-2022-47336 CVE-2022-47337 CVE-2022-47338

Schwachstellen in Unisoc-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2023-0266

Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-20652 CVE-2023-20653 CVE-2023-20654 CVE-2023-20655 CVE-2023-20656 CVE-2023-20657

Schwachstellen in MediaTek-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2023-20941

Schwachstelle in Kernel-Komponente ermöglicht Privilegieneskalation

CVE-2023-20950

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2023-21081 CVE-2023-21088 CVE-2023-21089 CVE-2023-21092

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2023-21085 CVE-2023-21096

Schwachstellen in System ermöglichen Ausführen beliebigen Programmcodes

CVE-2023-21087 CVE-2023-21090

Schwachstellen in Framework ermöglichen Denial-of-Service-Angriffe

CVE-2023-21091

Schwachstelle in System ermöglicht Denial-of-Service-Angriff

CVE-2023-21093 CVE-2023-21099 CVE-2023-21100

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2023-21094 CVE-2023-21097 CVE-2023-21098

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2023-26072 CVE-2023-26073 CVE-2023-26074 CVE-2023-26075 CVE-2023-26076

Schwachstellen in Pixel-Komponente ermöglichen Ausführen beliebigen Programmcodes

CVE-2023-28613 CVE-2023-29085 CVE-2023-29086 CVE-2023-29087 CVE-2023-29088 CVE-2023-29089 CVE-2023-29090 CVE-2023-29091

Schwachstellen in Pixel-Komponente ermöglichen Ausführen beliebigen Programmcodes

CVE-2023-29092

Schwachstelle in Pixel-Komponente ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.