2023-2065: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-09-06 17:47): Neues Advisory
Version 2 (2023-09-07 09:35): Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR Sep-2023 Release 1' für Samsung-Geräte angegeben.
Version 3 (2023-09-14 12:12): Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2023-35674 in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen, da diese aktiv ausgenutzt wird.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich.

Die Schwachstellen CVE-2023-35658, CVE-2023-35673 und CVE-2023-35681 in System sowie CVE-2023-28581 in einer Qualcomm-Komponente (closed-source) werden von Google als kritisch eingestuft.

Google stellt die Patch-Level 2023-09-01 und 2023-09-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2023-09-01 behebt dabei Schwachstellen in Framework und System. Der Patch-Level 2023-09-05 behebt weitere Schwachstellen in Qualcomm-Komponenten.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.