2025-2117: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-08-05 16:32)

Neues Advisory

Version 2 (2025-08-07 16:47)

Der Hersteller veröffentlicht Details zu einer weiteren Schwachstelle, welche die Pixel-Hardware betrifft und einem Angreifer aus der Ferne das Ausführen beliebigen Programmcodes ermöglicht. Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Privilegien zu eskalieren und beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Zwei der Schwachstellen werden vom Hersteller als 'kritisch' (critical) eingestuft.

Google stellt die Patch-Level 2025-08-01 und 2025-08-05 als Sicherheitsupdates für Android 13, 14, 15 und 16 bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2025-08-01 behebt dabei Schwachstellen in den Komponenten Framework und System. Der Patch-Level 2025-08-05 behebt weitere Schwachstellen in ARM- und Qualcomm-Komponenten.

Hersteller anderer Geräte (Partner) wurden mindestens einen Monat vor Veröffentlichung dieser Meldung über die Schwachstellen informiert.

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR AUG-2025 Release 1' für Samsung-Geräte angegeben.

Schwachstellen:

CVE-2025-0932

Schwachstelle in Arm Mali Komponente ermöglicht Privilegieneskalation

CVE-2025-21479

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-22441 CVE-2025-48533

Schwachstellen in Framework ermöglichen Privilegieneskalation

CVE-2025-26784

Schwachstelle in Pixel ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-27038

Schwachstelle in Qualcomm-Komponente ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-48530

Schwachstelle in System ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.