2023-1542: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-07-06 16:45)

Neues Advisory

Version 2 (2023-07-07 10:55)

Google weist in dem Sicherheitshinweis darauf hin, dass die Schwachstellen CVE-2023-26083, CVE-2021-29256 und CVE-2023-2136 in begrenztem Umfang bereits aktiv ausgenutzt werden. Die Schwachstellen ermöglichen einem Angreifer aus der Ferne sowie lokal das Ausspähen von Informationen und die Eskalation von Privilegien und einem Angreifer aus der Ferne die Ausführung beliebigen Programmcodes. Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR-JUL-2023 Release 1' für Samsung-Geräte angegeben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Privilegien zu eskalieren und beliebigen Programmcode auszuführen. Ein Angreifer kann mehrere weitere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und nicht spezifizierte Angriffe durchzuführen. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann zwei weitere Schwachstellen ausnutzen, um beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von ARM, Imagination Technologies, MediaTek und Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.

Die Schwachstellen CVE-2023-21250 in System, CVE-2023-21629 in einer Qualcomm-Komponente (closed-source) sowie CVE-2023-21399 und CVE-2023-35691 in zwei Pixel-Komponenten werden von Google als kritisch eingestuft.

Google stellt die Patch-Level 2023-07-01 und 2023-07-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2023-07-01 behebt dabei Schwachstellen in Framework und System. Der Patch-Level 2023-07-05 behebt weitere Schwachstellen in Arm Komponenten, Imagination Technologies, MediaTek und Qualcomm.

Google kündigt für Google Pixel Sicherheitsupdates an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2021-0948

Schwachstelle in Imagination-Technologies-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2021-29256

Schwachstelle in ARM-Komponente ermöglicht u. a. Privilegieneskalation

CVE-2022-28350

Schwachstelle in ARM-Komponente ermöglicht Privilegieneskalation

CVE-2022-42703

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2023-20754 CVE-2023-20755

Schwachstellen in MediaTek-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2023-20910

Schwachstelle in System ermöglicht Denial-of-Service-Angriff

CVE-2023-20918

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2023-20942

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2023-21087

Schwachstelle in Framework ermöglicht Denial-of-Service-Angriff

CVE-2023-21145 CVE-2023-21245 CVE-2023-21251 CVE-2023-21254 CVE-2023-21257 CVE-2023-21262

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2023-21238 CVE-2023-21239 CVE-2023-21249

Schwachstellen in Framework ermöglichen Ausspähen von Informationen

CVE-2023-21240 CVE-2023-21243

Schwachstellen in System ermöglichen Denial-of-Service-Angriff

CVE-2023-21241 CVE-2023-21246 CVE-2023-21247 CVE-2023-21248 CVE-2023-21256

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2023-21250

Schwachstelle in System ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-21255

Schwachstelle in Kernel-Komponente ermöglicht Privilegieneskalation

CVE-2023-21261

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2023-2136

Schwachstelle in Chromium und Google Chrome ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-21399

Schwachstelle in Pixel-Komponente ermöglicht Privilegieneskalation

CVE-2023-21400

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2023-21624 CVE-2023-21633 CVE-2023-21635 CVE-2023-21637 CVE-2023-21639 CVE-2023-21638 CVE-2023-21640

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2023-21629

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-21631

Schwachstelle in Qualcomm-Komponente ermöglicht Manipulation von Dateien

CVE-2023-21641

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2023-21672

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-22386

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-22387

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-22667

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-24851

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-24854

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-25012

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2023-26083

Schwachstelle in ARM-Komponente ermöglicht Ausspähen von Informationen

CVE-2023-28147

Schwachstelle in ARM-Komponente ermöglicht Ausspähen von Informationen

CVE-2023-28541

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-28542

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-35691

Schwachstelle in Pixel-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2023-35692

Schwachstelle in Pixel-Komponente ermöglicht Privilegieneskalation

CVE-2023-35693

Schwachstelle in Pixel-Kernel-Komponente ermöglicht Privilegieneskalation

CVE-2023-35694

Schwachstelle in Pixel-Komponente ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.