Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

BlackBerry powered by Android < 2017-08-05 Betroffene Plattformen: BlackBerry powered by Android Mehrere Schwachstellen im Android Betriebssystem sowie in Treibern von Drittanbieterkomponenten ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes im Kontext privilegierter Dienste wie des Mediaservers, die Ausweitung von Privilegien installierter Anwendungen, das Ausspähen von Informationen und die Durchführung von Denial-of-Service (DoS)-Angriffen. Im Kontext der Veröffentlichung des Google Android Security Bulletins August 2017 stellt BlackBerry ein Sicherheitsupdate für Smartphones mit dem Betriebssystem 'BlackBerry powered by Android' bereit. Mit dem Sicherheitsupdate werden insgesamt 43 Schwachstellen behoben, von denen 42 auch von Google gemeldet wurden. BlackBerry empfiehlt ein Update auf die Betriebssystemversion 'Patch Level August 5, 2017' oder später, um vor Angriffen über die Ausnutzung der aufgelisteten Schwachstellen geschützt zu sein. Die Verfügbarkeit des Updates kann von Zwischenhändlern und regionalen Netzbetreibern abhängen. Patch: BlackBerry powered by Android Security Bulletin – August 2017 http://support.blackberry.com/kb/articleDetail?language=en_US&articleNumber=000045309

CVE-2017-0751: Schwachstelle in Android Komponente für Google Geräte
ermöglicht Privilegieneskalation

Eine nicht näher beschriebene Schwachstelle in der Komponente ‘QCE Driver’
in Google Android für Google Geräte ermöglicht es einem entfernten, nicht
authentisierten Angreifer mit Hilfe einer bösartig präparieren Applikation
Privilegien zu eskalieren.

CVE-2017-0750: Schwachstelle in Kernel ermöglicht Privilegieneskalation

Eine nicht näher beschriebene Schwachstelle in der Dateisystem-Komponente im
Kernel von Google Android ermöglicht es einem entfernten, nicht
authentisierten Angreifer mit Hilfe einer bösartig präparierten Applikation
Privilegien zu eskalieren und darüber die Ausführung beliebigen
Programmcodes im Kontext eines privilegierten Prozesses.

CVE-2017-0729 CVE-2017-0731 CVE-2017-0732 CVE-2017-0737: Schwachstellen in
Media Framework ermöglichen Privilegieneskalation

Mehrere nicht näher beschriebene Schwachstellen im Media Framework von
Android ermöglichen es einem entfernten, nicht authentisierten Angreifer
über speziell präparierte Mediendateien eine Privilegieneskalation
durchzuführen.

CVE-2017-0724 CVE-2017-0726 CVE-2017-0728 CVE-2017-0730 CVE-2017-0733
CVE-2017-0734 CVE-2017-0735 CVE-2017-0736: Schwachstellen in Media Framework
ermöglichen Denial-of-Service-Angriffe

Mehrere nicht näher beschriebene Schwachstellen im Media Framework von
Android ermöglichen es einem entfernten, nicht authentisierten Angreifer
einen Denial-of-Service (DoS)-Zustand herbeizuführen.

CVE-2017-0687: Schwachstelle in Media Framework ermöglicht
Denial-of-Service-Angriff

In der Funktion ‘ih264d_parse_sps’ in ‘decoder/ih264d_parse_headers.c’ im
Media Framework von Android (libavc) existiert aufgrund der unzureichenden
Validierung von Eingaben eine Schwachstelle, wodurch ein Denial-of-Service
(DoS)-Zustand herbeigeführt werden kann, wenn sich in einem Medienstrom die
Auflösung ändert. Ein entfernter, nicht authentisierter Angreifer kann mit
Hilfe präparierter Eingaben einen Denial-of-Service-Angriff durchführen.

CVE-2017-9682: Schwachstelle in Qualcomm Komponente ermöglicht Ausspähen von
Informationen

In der Qualcomm Komponente ‘GPU Driver’ in Android besteht eine nicht näher
erläuterte Schwachstelle, die es einem entfernten, nicht authentisierten
Angreifer ermöglicht Informationen auszuspähen.

CVE-2017-0749: Schwachstelle in Kernel ermöglicht Privilegieneskalation

Eine nicht näher beschriebene Schwachstelle in der Linux-Kernel Komponente
von Android ermöglicht einem entfernten, nicht authentisierten Angreifer mit
Hilfe einer bösartig präparierten, lokal installierten Applikation
Privilegien zu eskalieren und darüber beliebigen Programmcode im Kontext
eines privilegierten Prozesses auszuführen.

CVE-2017-0748 CVE-2017-9679 CVE-2017-9680 CVE-2017-9681 CVE-2017-9693
CVE-2017-9694: Schwachstellen in Android Komponenten für Google Geräte
ermöglichen Ausspähen von Informationen

Mehrere nicht näher beschriebene Schwachstellen in den Android Komponenten
‘SoC Driver’, ‘Audio Driver’, ‘Radio Driver’ und ‘Networking Driver’ für
Google Geräte ermöglichen es einem entfernten, nicht authentisierten
Angreifer Informationen auszuspähen.

CVE-2017-0746 CVE-2017-0747 CVE-2017-9678 CVE-2017-9684 CVE-2017-9691:
Schwachstellen in Qualcomm Komponenten ermöglichen Privilegieneskalation

In den Qualcomm Komponenten ‘USB Driver’, ‘IPA Driver’, ‘MobiCore Driver’
(Trustonic), ‘Video Driver’ und ‘Proprietary Component’ in Android bestehen
mehrere nicht näher erläuterte Schwachstellen. Diese ermöglichen einem
entfernten, nicht authentisierten Angreifer mit Hilfe einer bösartig
präparierten, lokal installierten Applikation Privilegien zu eskalieren und
beliebigen Programmcode im Kontext eines privilegierten Prozesses zur
Ausführung zu bringen.

CVE-2017-0740: Schwachstelle in Broadcom Komponente ermöglicht Ausführung
beliebigen Programmcodes

In der Broadcom Komponente ‘Networking Driver’ in Android besteht eine nicht
näher beschriebene Schwachstelle, die es einem entfernten, nicht
authentisierten Angreifer mit Hilfe einer bösartig präparierten Datei
erlaubt, beliebigen Programmcode im Kontext eines unprivilegierten Prozesses
zur Ausführung zu bringen.

CVE-2017-0738 CVE-2017-0739: Schwachstellen in Media Framework ermöglichen
Ausspähen von Informationen

Zwei nicht näher beschriebene Schwachstellen im Media Framework von Android
ermöglichen es einem entfernten, nicht authentisierten Angreifer über
speziell präparierte Mediendateien Informationen auszuspähen.

CVE-2017-0720 CVE-2017-0721 CVE-2017-0722 CVE-2017-0723 CVE-2017-0745:
Schwachstellen in Media Framework ermöglichen Ausführung beliebigen
Programmcodes

Mehrere nicht näher beschriebene, kritische Schwachstellen im Media
Framework von Android ermöglichen es einem entfernten, nicht authentisierten
Angreifer über speziell präparierte Mediendateien beliebigen Programmcode im
Kontext eines privilegierten Prozesses zur Ausführung zu bringen.

CVE-2017-0714 CVE-2017-0715 CVE-2017-0716 CVE-2017-0718 CVE-2017-0719:
Schwachstellen in Media Framework ermöglichen Ausführung beliebigen
Programmcodes

Mehrere nicht näher beschriebene, kritische Schwachstellen im Media
Framework von Android ermöglichen es einem entfernten, nicht authentisierten
Angreifer über speziell präparierte Mediendateien beliebigen Programmcode im
Kontext eines privilegierten Prozesses zur Ausführung zu bringen.

CVE-2017-0713: Schwachstelle in Libraries ermöglicht Ausführung beliebigen
Programmcodes

Eine nicht näher beschriebene Schwachstelle in den von Android verwendeten
Libraries ermöglicht es einem entfernten, nicht authentisierten Angreifer
mit Hilfe einer speziell präparierten Datei beliebigen Programmcode im
Kontext eines nicht privilegierten Prozesses zur Ausführung zu bringen.

CVE-2017-0712: Schwachstelle in Framework ermöglicht Ausführung beliebigen
Programmcodes

Eine nicht näher beschriebene Schwachstelle im Framework von Google Android
ermöglicht es einem entfernten, nicht authentisierten Angreifer mittels
einer lokal installierten, manipulierten Anwendung über eine speziell
präparierte Datei beliebigen Programmcode im Kontext eines privilegierten
Prozesses zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1439/

Schwachstelle CVE-2017-0712 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0712

Schwachstelle CVE-2017-0713 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0713

Schwachstelle CVE-2017-0714 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0714

Schwachstelle CVE-2017-0715 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0715

Schwachstelle CVE-2017-0716 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0716

Schwachstelle CVE-2017-0718 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0718

Schwachstelle CVE-2017-0719 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0719

Schwachstelle CVE-2017-0720 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0720

Schwachstelle CVE-2017-0721 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0721

Schwachstelle CVE-2017-0722 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0722

Schwachstelle CVE-2017-0723 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0723

Schwachstelle CVE-2017-0724 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0724

Schwachstelle CVE-2017-0726 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0726

Schwachstelle CVE-2017-0728 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0728

Schwachstelle CVE-2017-0729 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0729

Schwachstelle CVE-2017-0730 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0730

Schwachstelle CVE-2017-0731 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0731

Schwachstelle CVE-2017-0732 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0732

Schwachstelle CVE-2017-0733 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0733

Schwachstelle CVE-2017-0734 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0734

Schwachstelle CVE-2017-0735 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0735

Schwachstelle CVE-2017-0736 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0736

Schwachstelle CVE-2017-0737 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0737

Schwachstelle CVE-2017-0738 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0738

Schwachstelle CVE-2017-0739 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0739

Schwachstelle CVE-2017-0740 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0740

Schwachstelle CVE-2017-0745 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0745

Schwachstelle CVE-2017-0746 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0746

Schwachstelle CVE-2017-0747 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0747

Schwachstelle CVE-2017-0748 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0748

Schwachstelle CVE-2017-0749 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0749

Schwachstelle CVE-2017-0750 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0750

Schwachstelle CVE-2017-0751 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0751

Schwachstelle CVE-2017-9678 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9678

Schwachstelle CVE-2017-9679 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9679

Schwachstelle CVE-2017-9680 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9680

Schwachstelle CVE-2017-9681 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9681

Schwachstelle CVE-2017-9682 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9682

Schwachstelle CVE-2017-9684 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9684

Schwachstelle CVE-2017-9691 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9691

Schwachstelle CVE-2017-9693 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9693

Schwachstelle CVE-2017-9694 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9694

Schwachstelle CVE-2017-0687 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0687

BlackBerry powered by Android Security Bulletin – August 2017:
http://support.blackberry.com/kb/articleDetail?language=en_US&articleNumber=000045309

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.