2025-0563: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-03-04 17:22)

Neues Advisory

Version 2 (2025-03-05 08:29)

Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2024-50302 in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen.

Version 3 (2025-03-06 11:58)

Der Hersteller veröffentlicht Details zu sieben weiteren Schwachstellen, welche die Pixel-Hardware betreffen und einem Angreifer aus der Ferne das Eskalieren von Privilegien, Ausspähen von Informationen und Denial-of-Service (DoS)-Angriffe ermöglichen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Alle Schwachstellen werden mit dem Patch-Level 2024-12-05 behoben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen sowie Denial-of-Service (DoS)- und nicht spezifizierte Angriffe durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Administratorrechte zu erlangen, Informationen auszuspähen, Privilegien zu eskalieren und weitere Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Google weist darauf hin, dass die Schwachstellen CVE-2024-43093 und CVE-2024-50302 vermutlich bereits aktiv ausgenutzt werden.

Google stellt die Patch-Level 2025-03-01 und 2025-03-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2025-03-01 behebt dabei Schwachstellen in Framework, System und Google Play. Der Patch-Level 2025-03-05 behebt weitere Schwachstellen in Kernel sowie MediaTek- und Qualcomm-Komponenten.

Hersteller (Partner) anderer Geräte wurden mindestens einen Monat vor Veröffentlichung dieser Meldung über die Schwachstellen informiert.

Schwachstellen:

CVE-2023-21125 CVE-2025-0079 CVE-2025-22404 CVE-2025-22405 CVE-2025-22406

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2024-0032 CVE-2024-43093 CVE-2025-0078 CVE-2025-0080 CVE-2025-0087

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2024-20003

Schwachstelle in Mediatek-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2024-43051 CVE-2024-53011 CVE-2024-53025

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2024-43090 CVE-2025-0083 CVE-2025-0086

Schwachstellen in Framework ermöglichen Ausspähen von Informationen

CVE-2024-46852

Schwachstelle in Linux-Kernel ermöglicht Erlangen von Administratorrechten

CVE-2024-49728 CVE-2025-0082 CVE-2025-0092 CVE-2025-0093 CVE-2025-22407 CVE-2025-26417

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2024-49740

Schwachstellen in Framework ermöglicht Denial-of-Service-Angriff

CVE-2024-49836 CVE-2024-49838 CVE-2024-53014 CVE-2024-53024 CVE-2024-53027

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2024-50302

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2024-56184 CVE-2024-56185 CVE-2024-56186

Schwachstellen in Pixel ermöglichen Ausspähen von Informationen

CVE-2024-56187

Schwachstelle in Pixel ermöglicht Ausspähen von Informationen

CVE-2024-56188

Schwachstelle in Pixel ermöglicht Denial-of-Service-Angriff

CVE-2025-0074 CVE-2025-0075 CVE-2025-0084 CVE-2025-22403 CVE-2025-22408 CVE-2025-22410 CVE-2025-22411 CVE-2025-22412

Schwachstellen in System ermöglichen Ausführung beliebigen Programmcodes

CVE-2025-0081

Schwachstelle in System ermöglicht Denial-of-Service-Angriff

CVE-2025-20644 CVE-2025-20645

Schwachstellen in MediaTek-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2025-22377

Schwachstelle in Pixel ermöglicht Privilegieneskalation

CVE-2025-22409

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2025-22413

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.