2026-0017: Google Android Operating System, Pixel: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2026-01-06 11:14)

Neues Advisory

Version 2 (2026-01-13 12:06)

Der Hersteller veröffentlicht Details zu einer weiteren Schwachstelle, welche die Pixel-Hardware betrifft. Ein Angreifer mit niedrigen Privilegien kann die Schwachstelle aus der Ferne ausnutzen, um Privilegien zu eskalieren. Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich. Die Schwachstelle wird mit den Sicherheitspatch-Levels ab dem 05.01.2026 behoben.

Version 3 (2026-01-20 14:24)

Der Hersteller veröffentlicht Details zu einer weiteren Schwachstelle (CVE-2025-36911), welche die Pixel-Hardware betrifft. Ein Angreifer kann die Schwachstelle im benachbarten Netzwerk ausnutzen, um Informationen auszuspähen und alsche Informationen darzustellen. Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich. Die Schwachstelle wird auf Pixel-Hardware mit den Sicherheitspatch-Levels ab dem 05.01.2026 behoben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann eine Schwachstelle lokal ausnutzen, um beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich. Die Schwachstelle erfordert die Interaktion eines Benutzers.

Google stellt den Patch-Level 2026-01-05 als Sicherheitsupdate für Android 13, 14, 15 und 16 bereit, mit dem die Schwachstelle in der Komponente 'DD+ Codec' behoben wird.

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem die hier referenzierte sowie weitere Schwachstellen behoben werden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR JAN-2026 Release 1'' für Samsung-Geräte angegeben.

Hersteller anderer Geräte (Partner) wurden mindestens einen Monat vor Veröffentlichung dieser Meldung über die Schwachstellen informiert.

Schwachstellen:

CVE-2025-36911

Schwachstelle in Google Fast Pair-Protokoll ermöglicht u. a. Ausspähen von Informationen

CVE-2025-48647

Schwachstelle in Pixel ermöglicht Privilegieneskalation

CVE-2025-54957

Schwachstelle in Dolby Digital Plus audio decoder ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.