2023-1808: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-08-08 16:05)

Neues Advisory

Version 2 (2023-08-09 09:48)

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR Aug-2023 Release 1' für Samsung-Geräte angegeben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und beliebigen Programmcode auszuführen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um nicht spezifizierte Angriffe durchzuführen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich.

Es existieren zusätzliche Schwachstellen in quelloffenen und nicht quelloffenen Komponenten von Kernel, ARM, MediaTek und Qualcomm, welche weitere, nicht spezifizierte Angriffe ermöglichen.

Die Schwachstellen CVE-2023-21282 in Media Framework, CVE-2023-21273 in System, CVE-2023-21264 in Kernel sowie CVE-2022-40510 in einer Qualcomm-Komponente (closed-source) werden von Google als kritisch eingestuft.

Google stellt die Patch-Level 2023-08-01 und 2023-08-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2023-08-01 behebt dabei Schwachstellen in Android Runtime, Framework, Media Framework und System. Der Patch-Level 2023-08-05 behebt weitere Schwachstellen in Kernel sowie Komponenten von ARM, MediaTek und Qualcomm.

Google kündigt für Google Pixel Sicherheitsupdates an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2020-29374

Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-34830

Schwachstelle in ARM-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-40510

Schwachstelle in Qualcomm-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2023-20780

Schwachstelle in MediaTek-Komponente ermöglicht Ausspähen von Informationen

CVE-2023-20965 CVE-2023-21242

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2023-21132

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2023-21132 CVE-2023-21133 CVE-2023-21134 CVE-2023-21140 CVE-2023-21275

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2023-21264

Schwachstelle in Kernel-Komponente ermöglicht Privilegieneskalation

CVE-2023-21265

Schwachstelle in Android Runtime ermöglicht Ausspähen von Informationen

CVE-2023-21267 CVE-2023-21283 CVE-2023-21288 CVE-2023-21289 CVE-2023-21292

Schwachstellen in Framework ermöglichen Ausspähen von Informationen

CVE-2023-21268 CVE-2023-21290

Schwachstellen in System ermöglichen Denial-of-Service-Angriffe

CVE-2023-21269

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2023-21270 CVE-2023-21272 CVE-2023-21278

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2023-21271 CVE-2023-21274

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2023-21273

Schwachstelle in System ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-21276 CVE-2023-21277 CVE-2023-21279

Schwachstellen in Framework ermöglichen Ausspähen von Informationen

CVE-2023-21280

Schwachstelle in Framework ermöglicht Denial-of-Service-Angriff

CVE-2023-21281 CVE-2023-21286

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2023-21282

Schwachstelle in Media Framework ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-21284

Schwachstelle in Framework ermöglicht Denial-of-Service-Angriff

CVE-2023-21285

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2023-21287

Schwachstelle in Framework ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-21626 CVE-2023-22666 CVE-2023-28537 CVE-2023-28555

Schwachstellen in Qualcomm-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2023-21627 CVE-2023-21647 CVE-2023-21648 CVE-2023-21650

Schwachstellen Pixel Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2023-21649

Schwachstelle in Pixel WLAN-Komponente ermöglicht nicht spezifizierte Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.