2023-1288: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-06-06 15:59)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und nicht spezifizierte Angriffe durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen im benachbarten Netzwerk ausnutzen, um beliebigen Programmcode auszuführen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von ARM, Imagination Technologies, Unisoc, Widevine und Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.

Die Schwachstellen CVE-2023-21127 in Framework, CVE-2023-21108 und CVE-2023-21130 in System sowie CVE-2022-33257 und CVE-2022-40529 in zwei Qualcomm-Komponenten (closed-source) werden von Google als kritisch eingestuft.

Google stellt die Patch-Level 2023-06-01 und 2023-06-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2023-06-01 behebt dabei Schwachstellen in Framework und System. Der Patch-Level 2023-06-05 behebt weitere Schwachstellen in Arm Komponenten, Imagination Technologies, Unisoc und Qualcomm.

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR-JUN-2023 Release' für Samsung-Geräte angegeben.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2021-0701 CVE-2021-0945

Schwachstellen in Imagination-Technologies-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2022-22060 CVE-2022-33251 CVE-2022-33264 CVE-2022-40516

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2022-22706

Schwachstelle in ARM-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-28349

Schwachstelle in ARM Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-33257

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2022-33292

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-40517 CVE-2022-40520 CVE-2022-40521 CVE-2022-40523

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2022-40529

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2022-40533 CVE-2022-40536 CVE-2022-40538 CVE-2023-21628

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2022-46781

Schwachstelle in ARM Komponente ermöglicht Ausspähen von Informationen

CVE-2022-48390 CVE-2022-48391 CVE-2022-48392 CVE-2022-48438

Schwachstellen in Unisoc-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2023-21095

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2023-21101 CVE-2023-21120

Schwachstellen in Widevine DRM ermöglichen nicht spezifizierte Angriffe

CVE-2023-21105

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2023-21108

Schwachstelle in System ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-21115

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2023-21121

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2023-21122 CVE-2023-21123 CVE-2023-21124 CVE-2023-21135 CVE-2023-21138

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2023-21126 CVE-2023-21139

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2023-21127

Schwachstelle in Framework ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-21128 CVE-2023-21129 CVE-2023-21131

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2023-21130

Schwachstelle in System ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-21136 CVE-2023-21137 CVE-2023-21143

Schwachstellen in Framework ermöglichen Denial-of-Service-Angriffe

CVE-2023-21141 CVE-2023-21142

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2023-21144

Schwachstelle in System ermöglicht Denial-of-Service-Angriff

CVE-2023-21656 CVE-2023-21669

Schwachstellen in Qualcomm-Komponente ermöglichen Ausführen beliebigen Programmcodes

CVE-2023-21657

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2023-21658 CVE-2023-21659 CVE-2023-21661

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2023-21670

Schwachstelle in Qualcomm ermöglicht u. a. Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.