2024-0856: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2024-04-02 13:59)
- Neues Advisory
- Version 2 (2024-04-03 12:44)
- Der Hersteller veröffentlicht Details zu weiteren Schwachstellen, welche die Pixel-Hardware betreffen und einem lokalen Angreifer mit niedrigen Privilegien das Ausführen beliebigen Programmcodes, das Eskalieren von Privilegien und das Ausspähen von Informationen ermöglichen. Die Schwachstelle CVE-2024-29740 wird als kritisch eingestuft. Alle Schwachstellen werden mit dem Patch-Level 2024-04-05 behoben.
- Version 3 (2024-04-05 12:06)
- Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstellen CVE-2024-29745 und CVE-2024-29748 in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Hardware
Google
Linux
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Privilegien zu eskalieren, beliebigen Programmcode auszuführen, Denial-of-Service (DoS)-Angriffe und weitere nicht spezifizierte Angriffe durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen und Denial-of-Service (DoS)-Angriffe durchzuführen.
Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.
Google stellt die Patch-Level 2024-04-01 und 2024-04-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2024-04-01 behebt dabei Schwachstellen in Framework und System. Der Patch-Level 2024-04-05 behebt weitere Schwachstellen in MediaTek-, Widevine- und Qualcomm-Komponenten.
Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR APR-2024 Release 1' für Samsung-Geräte angegeben.
Hersteller (Partner) anderer Geräte wurden mindestens einen Monat vor Veröffentlichung dieser Meldung über die Schwachstellen informiert.
Schwachstellen:
CVE-2023-21267
Schwachstelle in Framework und System ermöglicht Ausspähen von InformationenCVE-2023-28547
Schwachstelle in Qualcomm-Komponente SPS ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-28582
Schwachstelle in Qualcomm Data Modem ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-32890
Schwachstelle in Mediatek-Komponente ermöglicht Denial-of-Service-AngriffCVE-2023-33023
Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-33084
Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-AngriffCVE-2023-33086
Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-AngriffCVE-2023-33095
Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-AngriffCVE-2023-33096
Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-AngriffCVE-2023-33099
Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-AngriffCVE-2023-33100
Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-AngriffCVE-2023-33101
Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-AngriffCVE-2023-33103
Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-AngriffCVE-2023-33104
Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-AngriffCVE-2023-33115
Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-43515
Schwachstelle in Pixel ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-0022
Schwachstelle in Framework ermöglicht Ausspähen von InformationenCVE-2024-0026 CVE-2024-0027
Schwachstellen in System ermöglichen Denial-of-Service-AngriffeCVE-2024-0042
Schwachstelle in Widevine DRM ermöglicht nicht spezifizierte AngriffeCVE-2024-20039
Schwachstelle in Mediatek-Komponente ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-20040
Schwachstelle in Mediatek-Komponente ermöglicht PrivilegieneskalationCVE-2024-21463
Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-21468
Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-21472
Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-23704
Schwachstelle in System ermöglicht Denial-of-Service-AngriffCVE-2024-23710
Schwachstelle in Framework ermöglicht PrivilegieneskalationCVE-2024-23712
Schwachstelle in Framework ermöglicht Denial-of-Service-AngriffCVE-2024-23713
Schwachstelle in Framework ermöglicht PrivilegieneskalationCVE-2024-27231 CVE-2024-29738 CVE-2024-29744 CVE-2024-29747 CVE-2024-29754 CVE-2024-29755 CVE-2024-29782 CVE-2024-29783
Schwachstellen in Pixel ermöglichen Ausspähen von InformationenCVE-2024-27232 CVE-2024-29750 CVE-2024-29751
Schwachstellen in Pixel ermöglichen Ausspähen von InformationenCVE-2024-29739 CVE-2024-29742
Schwachstellen in Pixel ermöglichen Ausspähen von InformationenCVE-2024-29740
Schwachstelle in Pixel ermöglicht PrivilegieneskalationCVE-2024-29741
Schwachstelle in Pixel ermöglicht PrivilegieneskalationCVE-2024-29743 CVE-2024-29749 CVE-2024-29752 CVE-2024-29753
Schwachstellen in Pixel ermöglichen PrivilegieneskalationCVE-2024-29745
Schwachstelle in Pixel ermöglicht Ausspähen von InformationenCVE-2024-29746
Schwachstelle in Pixel ermöglicht PrivilegieneskalationCVE-2024-29748
Schwachstelle in Pixel ermöglicht PrivilegieneskalationCVE-2024-29756
Schwachstelle in Pixel ermöglicht PrivilegieneskalationCVE-2024-29757
Schwachstelle in Pixel ermöglicht Privilegieneskalation
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.