2025-0882: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien

Historie:

Version 1 (2025-04-08 18:10)

Neues Advisory

Version 2 (2025-04-11 11:19)

Der Hersteller veröffentlicht Details zu drei weiteren Schwachstellen, welche die Pixel-Hardware betreffen und einem Angreifer aus der Ferne das Eskalieren von Privilegien und Ausspähen von Informationen ermöglichen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Alle Schwachstellen werden mit dem Patch-Level 2025-04-05 behoben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen im benachbarten Netzwerk ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann zwei Schwachstellen ausnutzen, um Privilegien zu eskalieren.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Google stellt die Patch-Level 2025-04-01 und 2025-04-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2025-04-01 behebt dabei Schwachstellen in Framework, System und Google Play. Der Patch-Level 2025-04-05 behebt weitere Schwachstellen in Kernel, ARM-, Imagination Technologies-, MediaTek- und Qualcomm-Komponenten.

Es bestehen laut Google Anzeichen, dass die Schwachstellen CVE-2024-53150 und CVE-2024-53197 in begrenztem Umfang aktiv ausgenutzt werden.

Hersteller (Partner) anderer Geräte wurden mindestens einen Monat vor Veröffentlichung dieser Meldung über die Schwachstellen informiert.

Schwachstellen:

CVE-2024-33058

Schwachstelle in Qualcomm Closed-Source Komponente ermöglicht u. a. Denial-of-Service-Angriff

CVE-2024-40653 CVE-2024-49720 CVE-2024-49730 CVE-2025-22418 CVE-2025-22419 CVE-2025-22427 CVE-2025-22428 CVE-2025-22432

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2024-43065

Schwachstelle in Qualcomm Closed-Source Komponente ermöglicht Ausspähen von Informationen

CVE-2024-43066

Schwachstelle in Qualcomm Bootloader Komponente ermöglicht Privilegieneskalation

CVE-2024-43702

Schwachstelle in Imagination Technologies PowerVR-GPU ermöglicht Privilegieneskalation

CVE-2024-43703

Schwachstelle in Imagination Technologies PowerVR-GPU ermöglicht Privilegieneskalation

CVE-2024-45549

Schwachstelle in Qualcomm Closed-Source Komponente ermöglicht Ausspähen von Informationen

CVE-2024-45551

Schwachstelle in Qualcomm Closed-Source Komponente ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-45552

Schwachstelle in Google Android Operating System ermöglicht Ausspähen von Informationen

CVE-2024-46972

Schwachstelle in Imagination Technologies PowerVR-GPU ermöglicht Privilegieneskalation

CVE-2024-47894 CVE-2024-47895

Schwachstellen in Imagination Technologies PowerVR-GPU ermöglichen Ausspähen von Informationen

CVE-2024-47897

Schwachstelle in Imagination Technologies PowerVR-GPU ermöglicht Denial-of-Service-Angriff

CVE-2024-49722 CVE-2025-22421 CVE-2025-22430

Schwachstellen in Framework ermöglichen Ausspähen von Informationen

CVE-2024-49728

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2024-49848

Schwachstelle in Qualcomm Kernel Komponente ermöglicht u. a. Denial-of-Service-Angriff

CVE-2024-50264

Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-52936

Schwachstelle in Imagination Technologies PowerVR-GPU ermöglicht Privilegieneskalation

CVE-2024-52937

Schwachstelle in Imagination Technologies PowerVR-GPU ermöglicht Privilegieneskalation

CVE-2024-52938

Schwachstelle in Imagination Technologies PowerVR-GPU ermöglicht Privilegieneskalation

CVE-2024-53150

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2024-53197

Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-56189

Schwachstelle in Pixel ermöglicht Ausspähen von Informationen

CVE-2024-56190

Schwachstelle in Pixel ermöglicht Privilegieneskalation

CVE-2024-56556

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2025-0050

Schwachstelle in Arm Userspace-Treibern ermöglicht Privilegieneskalation

CVE-2025-20655

Schwachstelle in MediaTek Keymaster ermöglicht Privilegieneskalation

CVE-2025-20656

Schwachstelle in MediaTek DA ermöglicht Privilegieneskalation

CVE-2025-20657

Schwachstelle in MediaTek vdec ermöglicht Privilegieneskalation

CVE-2025-20658

Schwachstelle in MediaTek DA ermöglicht Privilegieneskalation

CVE-2025-21429

Schwachstelle in Qualcomm WLAN Komponente ermöglicht Denial-of-Service-Angriff

CVE-2025-21430

Schwachstelle in Qualcomm WLAN Komponente ermöglicht Denial-of-Service-Angriff

CVE-2025-21434

Schwachstelle in Qualcomm WLAN Komponente ermöglicht Denial-of-Service-Angriff

CVE-2025-21435

Schwachstelle in Qualcomm WLAN Komponente ermöglicht Denial-of-Service-Angriff

CVE-2025-21436

Schwachstelle in Qualcomm Kernel Komponente ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-21448

Schwachstelle in Qualcomm Closed-Source Komponente ermöglicht Denial-of-Service-Angriff

CVE-2025-22416

Schwachstelle in Framework System ermöglicht Privilegieneskalation

CVE-2025-22417 CVE-2025-22422 CVE-2025-22424 CVE-2025-22426 CVE-2025-22434 CVE-2025-22437 CVE-2025-22438 CVE-2025-22442

Schwachstellen in Framework System ermöglichen Privilegieneskalation

CVE-2025-22423

Schwachstelle in System ermöglicht Denial-of-Service-Angriff

CVE-2025-22429

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2025-22431

Schwachstelle in Framework ermöglicht Denial-of-Service-Angriff

CVE-2025-22433 CVE-2025-22435 CVE-2025-22439

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2025-26415

Schwachstelle in Pixel ermöglicht Privilegieneskalation

CVE-2025-26416

Schwachstelle in System ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.