2023-3032: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien

Historie:

Version 1 (2023-12-06 08:36)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um beliebigen Programmcode auszuführen. Ein Angreifer kann mehrere weitere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen, Denial-of-Service (DoS)-Angriffe und weitere, nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Die Schwachstellen CVE-2023-40077 und CVE-2023-40076 in Framework, CVE-2023-40088 und CVE-2023-45866 in System sowie CVE-2022-40507 in einer Qualcomm-Komponente werden von Google als kritisch eingestuft.

Google stellt die Patch-Level 2023-12-01 und 2023-12-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2023-12-01 behebt dabei Schwachstellen in Framework und System. Der Patch-Level 2023-12-05 behebt weitere Schwachstellen in System, ARM-, Imagination Technologie-, MediaTek-, OEM-, Unisoc-, und Qualcomm-Komponenten.

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR Dec-2023 Release 1' für Samsung-Geräte angegeben.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2022-22076

Schwachstelle in Qualcomm-Komponente ermöglicht Ausspähen von Informationen

CVE-2022-40507

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2022-48454

Schwachstelle in Unisoc-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2022-48455

Schwachstelle in Unisoc-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2022-48456

Schwachstelle in Unisoc-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2022-48457 CVE-2022-48458 CVE-2022-48459

Schwachstellen in Unisoc-Komponente ermöglichen Denial-of-Service-Angriffe

CVE-2022-48461

Schwachstelle in Unisoc-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2023-21162 CVE-2023-21163 CVE-2023-21164 CVE-2023-21166 CVE-2023-21215

Schwachstellen in Imagination-Technologies-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2023-21216 CVE-2023-21217 CVE-2023-21218 CVE-2023-21227 CVE-2023-21228

Schwachstellen in Imagination-Technologies-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2023-21263 CVE-2023-21401 CVE-2023-21402 CVE-2023-21403 CVE-2023-35690

Schwachstellen in Imagination-Technologies-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2023-21267

Schwachstelle in Framework und System ermöglicht Ausspähen von Informationen

CVE-2023-21394

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2023-21652

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausspähen von Informationen

CVE-2023-21662 CVE-2023-21664

Schwachstellen in Qualcomm-Komponente ermöglichen u. a. Ausführen beliebigen Programmcodes

CVE-2023-28546

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-28550

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-28551

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-28585

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-28586

Schwachstelle in Qualcomm-Komponente ermöglicht Ausspähen von Informationen

CVE-2023-28587

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-28588

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2023-32804

Schwachstelle in ARM-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-32818

Schwachstelle in vdec ermöglicht Privilegieneskalation

CVE-2023-32847

Schwachstelle in audio ermöglicht Privilegieneskalation

CVE-2023-32848

Schwachstelle in vdec ermöglicht Privilegieneskalation

CVE-2023-32850

Schwachstelle in decoder ermöglicht Privilegieneskalation

CVE-2023-32851

Schwachstelle in decoder ermöglicht Privilegieneskalation

CVE-2023-33017

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-33018

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-33022

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-33053

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-33054

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausspähen von Informationen

CVE-2023-33063

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-33079

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-33080

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2023-33081

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2023-33087

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-33088

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-33089

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2023-33092

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-33097

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2023-33098

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2023-33106

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-33107

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-35668

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2023-3889

Schwachstelle in ARM-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-40073

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2023-40074

Schwachstelle in Framework ermöglicht Denial-of-Service-Angriff

CVE-2023-40075

Schwachstelle in Framework ermöglicht Denial-of-Service-Angriff

CVE-2023-40076

Schwachstelle in Google Android Operating System ermöglicht u. a. Privilegieneskalation

CVE-2023-40077

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2023-40078

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2023-40079

Schwachstelle in Framework ermöglicht u. a. Privilegieneskalation

CVE-2023-40080

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2023-40081

Schwachstelle in Framework und System ermöglicht Ausspähen von Informationen

CVE-2023-40082

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2023-40083

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2023-40084

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2023-40087

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2023-40088

Schwachstelle in System ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-40089

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2023-40090

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2023-40091

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2023-40092

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2023-40094

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2023-40095

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2023-40096

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2023-40097

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2023-40098

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2023-40103

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2023-4272

Schwachstelle in ARM-Komponente ermöglicht Ausspähen von Informationen

CVE-2023-45773

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2023-45774

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2023-45775

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2023-45776

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2023-45777

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2023-45779

Schwachstelle in OEM-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2023-45781

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2023-45866

Schwachstelle in BlueZ ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.