2023-2739: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-11-07 16:54): Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen im benachbarten Netzwerk ausnutzen, um nicht spezifizierte Angriffe durchzuführen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Die Schwachstellen CVE-2023-21671, CVE-2023-22388, CVE-2023-28574 und CVE-2023-33045 in Qualcomm-Komponenten sowie CVE-2023-40113 in System werden von Google als kritisch eingestuft.

Google stellt die Patch-Level 2023-11-01 und 2023-11-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2023-11-01 behebt dabei Schwachstellen in Framework, System und Google Play. Der Patch-Level 2023-11-05 behebt weitere Schwachstellen in Kernel LTS-, ARM-, MediaTek-, und Qualcomm-Komponenten.

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR Nov-2023 Release 1' für Samsung-Geräte angegeben.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2023-20702

Schwachstelle in MediaTek-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2023-21103 CVE-2023-21111

Schwachstellen in System ermöglichen Denial-of-Service-Angriffe

CVE-2023-21671

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-22388

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-24852

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-28469

Schwachstelle in ARM-Komponente ermöglicht Ausspähen von Informationen

CVE-2023-28545

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-28553 CVE-2023-28572

Schwachstellen in Pixel-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2023-28554

Schwachstelle in Pixel-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2023-28556

Schwachstelle in Qualcomm-Komponente ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-28563 CVE-2023-28566 CVE-2023-28568 CVE-2023-28569 CVE-2023-28570

Schwachstellen in Pixel-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2023-28574

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-32832

Schwachstelle in MediaTek-Komponente ermöglicht Privilegieneskalation

CVE-2023-32834

Schwachstelle in MediaTek-Komponente ermöglicht Privilegieneskalation

CVE-2023-32835

Schwachstelle in MediaTek-Komponente ermöglicht Privilegieneskalation

CVE-2023-32836

Schwachstelle in MediaTek-Komponente ermöglicht Privilegieneskalation