2024-0019: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2024-01-04 13:51)

Neues Advisory

Version 2 (2024-01-17 07:08)

Google hat den Sicherheitshinweis für Google Android aktualisiert und die zu den einzelnen Schwachstellen korrespondierenden Android Open Source Project (AOSP)-Links veröffentlicht.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und nicht spezifizierte Angriffe durchzuführen. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann eine weitere Schwachstelle ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Die Schwachstellen CVE-2023-21651, CVE-2023-33025 und CVE-2023-33036 in Qualcomm-Komponenten (closed-source) werden von Google als kritisch eingestuft.

Google stellt die Patch-Level 2024-01-01 und 2024-01-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2024-01-01 behebt dabei Schwachstellen in Framework, System und Google Play. Der Patch-Level 2024-01-05 behebt weitere Schwachstellen in ARM-, Imagination Technologies-, MediaTek-, Unisoc- und Qualcomm-Komponenten.

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR Jan-2024 Release 1' für Samsung-Geräte angegeben.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2022-33275

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-21165

Schwachstelle in Imagination-Technologies-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2023-21245

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2023-21651

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-28544

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-28548

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-28557

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-28558

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-28559

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-28560

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-28564

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-28565

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-28567

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-28583

Schwachstelle in Pixel-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-32872

Schwachstelle in keyInstall ermöglicht Privilegieneskalation

CVE-2023-32874

Schwachstelle in Modem IMS Stack ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-33014

Schwachstelle in Qualcomm-Komponente ermöglicht Ausspähen von Informationen

CVE-2023-33025

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-33030

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-33032

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-33033

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-33036

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2023-33037

Schwachstelle in Qualcomm-Komponente ermöglicht Ausspähen von Informationen

CVE-2023-33038

Schwachstelle in Pixel-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-33040

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2023-33043

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2023-33044

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2023-33062

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2023-33094

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-33108

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-33109

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2023-33110

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-33111

Schwachstelle in Pixel-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2023-33112

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2023-33113

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-33114

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-33117

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-33120

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-40085 CVE-2024-0016 CVE-2024-0017 CVE-2024-0020

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2023-4295 CVE-2023-5427

Schwachstellen in ARM-Komponente ermöglichen Ausführen beliebigen Programmcodes

CVE-2023-43511

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2023-43514

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-48340 CVE-2023-48341 CVE-2023-48342 CVE-2023-48343 CVE-2023-48344

Schwachstellen in Unisoc-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2023-48348 CVE-2023-48349 CVE-2023-48350 CVE-2023-48351 CVE-2023-48352

Schwachstellen in Unisoc-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2024-0015 CVE-2024-0018 CVE-2024-0023

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2024-0019

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2024-0021

Schwachstelle in System ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.