DFN-CERT

Advisory-Archiv

2025-0013: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-01-07 12:42)
Neues Advisory
Version 2 (2025-01-08 08:34)
Der Hersteller informiert darüber, dass die als kritisch ('critical') bewertete Schwachstelle CVE-2024-53842 die Komponente 'Baseband' von Pixel betrifft. Diese Schwachstelle kann von einem Angreifer mit niedrigen Privilegien aus der Ferne ausgenutzt werden, um beliebigen Programmcode auszuführen. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers. Die Schwachstelle wird mit dem Patch-Level 2025-01-05 für die Pixel-Hardware behoben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um beliebigen Programmcode auszuführen. Mehrere Schwachstellen kann ein Angreifer lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann eine weitere Schwachstelle ausnutzen, um Privilegien zu eskalieren.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.

Google stellt die Patch-Level 2025-01-01 und 2025-01-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2025-11-01 behebt dabei Schwachstellen in Framework, Media Framework, System und Google Play. Der Patch-Level 2025-01-05 behebt weitere Schwachstellen in Imagination Technologies-, MediaTek- und Qualcomm-Komponenten.

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR Jan-2025 Release 1' für Samsung-Geräte angegeben.

Hersteller (Partner) anderer Geräte wurden mindestens einen Monat vor Veröffentlichung dieser Meldung über die Schwachstellen informiert.

Schwachstellen:

CVE-2023-40108

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2023-40132

Schwachstelle in Media Framework System ermöglicht Privilegieneskalation

CVE-2024-20105

Schwachstelle in MediaTek-Komponente ermöglicht Privilegieneskalation

CVE-2024-20140

Schwachstelle in MediaTek-Komponente ermöglicht Privilegieneskalation

CVE-2024-20143 CVE-2024-20144 CVE-2024-20145

Schwachstellen in MediaTek-Komponente ermöglichen Privilegieneskalation

CVE-2024-20146

Schwachstelle in Schwachstelle in MediaTek-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-20148

Schwachstelle in MediaTek-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-20154

Schwachstelle in MediaTek-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-21464

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-34722

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2024-34730

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2024-43095 CVE-2024-43765 CVE-2024-49742

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2024-43096 CVE-2024-43770 CVE-2024-43771 CVE-2024-49747 CVE-2024-49748

Schwachstellen in System ermöglichen Ausführen beliebigen Programmcodes

CVE-2024-43704

Schwachstelle in Imagination-Technologies-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-43763

Schwachstelle in System ermöglicht Denial-of-Service-Angriff

CVE-2024-45553

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-45558

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2024-49724 CVE-2024-49738 CVE-2024-49744 CVE-2024-49745

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2024-49732 CVE-2024-49735

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2024-49733

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2024-49734

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2024-49736

Schwachstelle in System ermöglicht Denial-of-Service-Angriff

CVE-2024-49737

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2024-49749

Schwachstelle in System ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-53842

Schwachstelle in Pixel ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.