2023-0993: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-05-02 15:54)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und beliebigen Programmcode auszuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen, verschiedene Denial-of-Service (DoS)-Angriffe und nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Arm, Imagination Technologies, MediaTek, Unisoc und Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.

Google stellt die Patch-Level 2023-05-01 und 2023-05-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2023-05-01 behebt dabei Schwachstellen in Framework, Frameworks, System sowie Google Play. Der Patch-Level 2023-05-05 behebt weitere Schwachstellen im Kernel sowie in verschiedenen Komponenten von Arm, Imagination Technologies, MediaTek, Unisoc und Qualcomm.

Google kündigt für Google Pixel Sicherheitsupdates an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR-MAY-2023 Release 1' für Samsung-Geräte angegeben.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2021-0877

Schwachstelle in Imagination-Technologies-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2021-39617

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2022-20338

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2022-20444

Schwachstelle in Framework, System ermöglicht Privilegieneskalation

CVE-2022-25713 CVE-2022-33273 CVE-2022-33305 CVE-2022-34144 CVE-2022-40504 CVE-2022-40508

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2022-33281

Schwachstelle in Pixel-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2022-4639 CVE-2022-46395 CVE-2022-46396 CVE-2022-46891

Schwachstellen in ARM-Komponente ermöglichen Ausführen beliebigen Programmcodes

CVE-2022-47469 CVE-2022-47470 CVE-2022-47486 CVE-2022-47487 CVE-2022-47488

Schwachstellen in Unisoc-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2023-0266

Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-20694 CVE-2023-20695 CVE-2023-20696

Schwachstellen in MediaTek-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2023-20697 CVE-2023-20698 CVE-2023-20699 CVE-2023-20726

Schwachstellen in MediaTek-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2023-20914 CVE-2023-21104

Schwachstellen in Framework ermöglichen Ausspähen von Informationen

CVE-2023-20930

Schwachstelle in Framework ermöglicht Denial-of-Service-Angriff

CVE-2023-20993

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2023-21102

Schwachstelle in Kernel-Komponente ermöglicht Privilegieneskalation

CVE-2023-21103 CVE-2023-21111

Schwachstellen in System ermöglichen Denial-of-Service-Angriffe

CVE-2023-21106

Schwachstelle in Kernel-Komponente ermöglicht Privilegieneskalation

CVE-2023-21107

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2023-21109 CVE-2023-21117

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2023-21110

Schwachstelle in Frameworks ermöglicht Privilegieneskalation

CVE-2023-21112 CVE-2023-21118

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2023-21116

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2023-21119

Schwachstelle in Pixel-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2023-21665

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2023-21666

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2023-26085

Schwachstelle in ARM-Komponente ermöglicht nicht spezifizierte Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.