2025-1133: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-05-07 13:44)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Es bestehen laut Google Anzeichen, dass die Schwachstelle CVE-2025-27363 in begrenztem Umfang aktiv ausgenutzt wird.

Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2025-27363 in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen.

Google stellt die Patch-Level 2025-05-01 und 2025-05-05 als Sicherheitsupdates für Android 13, 14 und 15 bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2025-05-01 behebt dabei Schwachstellen in den Komponenten Framework, System und Google Play. Der Patch-Level 2025-05-05 behebt weitere Schwachstellen in Kernel, ARM-, Imagination Technologies-, MediaTek- und Qualcomm-Komponenten sowie in der Pixel-Hardware.

Hersteller anderer Geräte (Partner) wurden mindestens einen Monat vor Veröffentlichung dieser Meldung über die Schwachstellen informiert.

Der Linux-Kernel wurde im Rahmen dieser Updates auf mindestens die Version 5.4.284 aktualisiert und damit zahlreiche nicht näher genannten Kernel-Schwachstellen geschlossen.

Schwachstellen:

CVE-2023-21342

Schwachstelle in Framework / Speech ermöglicht Privilegieneskalation

CVE-2023-35657

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2024-12577

Schwachstelle in Imagination Technologies PowerVR-GPU ermöglicht Privilegieneskalation

CVE-2024-34739

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2024-45580

Schwachstelle in Qualcom-Komponente ermöglicht u. a. Denial-of-Service-Angriff

CVE-2024-46974

Schwachstelle in Imagination Technologies PowerVR-GPU ermöglicht Privilegieneskalation

CVE-2024-46975

Schwachstelle in Imagination Technologies PowerVR-GPU ermöglicht Privilegieneskalation

CVE-2024-47891

Schwachstelle in Imagination Technologies PowerVR-GPU ermöglicht Privilegieneskalation

CVE-2024-47896

Schwachstelle in Imagination Technologies PowerVR-GPU ermöglicht Privilegieneskalation

CVE-2024-47900

Schwachstelle in Imagination Technologies PowerVR-GPU ermöglicht Privilegieneskalation

CVE-2024-49739

Schwachstelle in Imagination Technologies PowerVR-GPU ermöglicht nicht spezifizierte Angriffe

CVE-2024-49835 CVE-2024-49841 CVE-2024-49842 CVE-2024-49845 CVE-2024-49846 CVE-2024-49847

Schwachstellen in Qualcomm Closed-Source Komponenten ermöglichen Ausspähen von Informationen

CVE-2024-52939

Schwachstelle in Imagination Technologies PowerVR-GPU ermöglicht Privilegieneskalation

CVE-2024-56193

Schwachstelle in Pixel ermöglicht Ausspähen von Informationen

CVE-2025-0072

Schwachstelle in ARM-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-0077

Schwachstelle in Framework System ermöglicht Privilegieneskalation

CVE-2025-0087

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2025-0427

Schwachstelle in ARM-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-20666

Schwachstelle in MediaTek Modem ermöglicht Privilegieneskalation

CVE-2025-21453

Schwachstelle in Qualcom-Komponente ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-21459

Schwachstelle in Qualcom-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2025-21467

Schwachstelle in Qualcom-Komponente ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-21468

Schwachstelle in Qualcom-Komponente ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-22425 CVE-2025-26422 CVE-2025-26426 CVE-2025-26427 CVE-2025-26428 CVE-2025-26436 CVE-2025-26440 CVE-2025-26444

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2025-26420 CVE-2025-26421 CVE-2025-26423 CVE-2025-26425 CVE-2025-26430 CVE-2025-26435 CVE-2025-26438

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2025-26424

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2025-26429

Schwachstelle in Framework ermöglicht Denial-of-Service-Angriff

CVE-2025-26442

Schwachstelle in Framework ermöglicht Ausspähen von Informationen

CVE-2025-27363

Schwachstelle in FreeType ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-27700

Schwachstelle in Pixel ermöglicht Privilegieneskalation

CVE-2025-27701

Schwachstelle in Pixel ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.