2024-2002: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2024-08-06 17:21)

Neues Advisory

Version 2 (2024-08-07 14:07)

Der Hersteller veröffentlicht Details zu weiteren Schwachstellen, welche die Pixel-Hardware betreffen und einem lokalen Angreifer das Ausführen beliebigen Programmcodes und das Eskalieren von Privilegien sowie einem Angreifer aus der Ferne das Ausspähen von Informationen und das Durchführen eines Denial-of-Service (DoS)-Angriffs ermöglichen. Für die Ausnutzung sind verschiedene Privilegien notwendig. Alle Schwachstellen werden mit dem Patch-Level 2024-08-05 behoben.

Version 3 (2024-08-08 12:27)

Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2024-36971 in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.

Google stellt die Patch-Level 2024-08-01 und 2024-08-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2024-08-01 behebt dabei Schwachstellen in Framework und System. Der Patch-Level 2024-08-05 behebt weitere Schwachstellen im Kernel sowie in ARM-, Imagination Technologies-, MediaTek- und Qualcomm-Komponenten.

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR Aug-2024 Release 1' für Samsung-Geräte angegeben.

Hersteller (Partner) anderer Geräte wurden mindestens einen Monat vor Veröffentlichung dieser Meldung über die Schwachstellen informiert.

Der Hersteller weißt weiterhin darauf hin, dass die Schwachstelle CVE-2024-36971 bereits ausgenutzt wird.

Schwachstellen:

CVE-2023-20971

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2023-21351 CVE-2024-34735

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2023-28577

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-20082

Schwachstelle in MediaTek-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-21459

Schwachstelle in Qualcomm-Komponente ermöglicht Ausspähen von Informationen

CVE-2024-21467

Schwachstelle in Qualcomm-Komponente ermöglicht Ausspähen von Informationen

CVE-2024-21478

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2024-21479

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2024-21481

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-23350

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2024-23352

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2024-23353

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2024-23355

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-23356

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-23357

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2024-23381

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-23382

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-23383

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-23384

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-2937 CVE-2024-4607

Schwachstellen in ARM-Komponente ermöglichen Ausführen beliebigen Programmcodes

CVE-2024-31333

Schwachstelle in Imagination-Technologies-Komponente ermöglicht nicht spezifizierte Angriffe

CVE-2024-32927

Schwachstelle in Pixel ermöglicht Privilegieneskalation

CVE-2024-33010

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2024-33011

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2024-33012

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2024-33013

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2024-33014

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2024-33015

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2024-33018

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2024-33019

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2024-33020

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2024-33023

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2024-33024

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2024-33025

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2024-33026

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2024-33027

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-33028

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-34727

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2024-34731

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2024-34734

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2024-34736

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2024-34737

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2024-34738

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2024-34739

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2024-34740

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2024-34741

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2024-34742

Schwachstelle in Framework ermöglicht Denial-of-Service-Angriff

CVE-2024-34743

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2024-36971

Schwachstelle im Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.