UPDATE: DFN-CERT-2017-1556 Google Android Operating System: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux]

UPDATE: DFN-CERT-2017-1556 Google Android Operating System: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (11.09.2017):
Die Hersteller Samsung und LG stellen nun auch Sicherheitsupdates für die
Android Betriebssysteme ihrer eigenen Geräte bereit. LG stellt mit dem
SMR-SEP-2017 Sicherheitsupdate den Google Patch-Level 2017-09-01 eigenen
Angaben zufolge ‘beinahe’ (almost) zur Verfügung und behebt mit dem
Sicherheitsupdate insgesamt 47 Schwachstellen. Samsung stellt keine
Informationen zu dem Patch-Level bereit, macht jedoch Angaben darüber,
welche der von Google mit dem September-Sicherheitsupdate veröffentlichten
Schwachstellen bereits durch zuvor bereitgestellte Sicherheitsupdates
behoben wurden oder Samsung-Geräte nicht betreffen. Samsung adressiert
insgesamt 46 Schwachstellen. Zudem werden 12 Samsung-spezifische
Schwachstellen und Verwundbarkeiten (SVE) adressiert, von denen drei
explizit genannt werden. Samsung teilt hierzu mit, dass einige SVE’s, die
mit dem aktuellen SMR-SEP-2017 Sicherheitsupdate behoben werden, zum
jetzigen Zeitpunkt noch nicht öffentlich bekannt gegeben werden können.
Version 1 (06.09.2017):
Neues Advisory

Betroffene Software:

Google Android Operating System < 4.4.4 2017-09-05 Google Android Operating System < 5.0.2 2017-09-05 Google Android Operating System < 5.1.1 2017-09-05 Google Android Operating System < 6.0 2017-09-05 Google Android Operating System < 6.0.1 2017-09-05 Google Android Operating System < 7.0 2017-09-05 Google Android Operating System < 7.1.1 2017-09-05 Google Android Operating System < 7.1.2 2017-09-05 Google Android Operating System < 8.0 2017-09-05 LG Mobile Android < SMR-SEP-2017 Samsung Mobile Android < SMR-SEP-2017 Betroffene Plattformen: Google Nexus Google Pixel Google Android Operating System Mehrere Schwachstellen in Google Android 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 und 8.0 vor Version 2017-09-05 ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste wie des Mediaservers sowie weniger privilegierter Dienste, die Erweiterung von Privilegien installierter Anwendungen, die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und das Ausspähen sensitiver Informationen. Google stellt die beiden Patch Level 2017-09-01 und 2017-09-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch Level 2017-09-01 behebt dabei allgemeine Schwachstellen im Google Android Betriebssystem und dort eingesetzten Bibliotheken und Frameworks, der Patch Level 2017-09-05 behebt hauptsächlich hardwarespezifische Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener Komponenten sowie Schwachstellen im Kernel des Systems. Google stellt für Google Geräte Sicherheitsupdates durch ein Over-the-air-Update (OTA) bereit und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Die Geräte Pixel, Pixel XL und Pixel C sowie Nexus 5X, Nexus 6, Nexus 6P, Nexus 9 und Nexus Player sollen so das Patch Level 2017-09-05 erhalten. Für Pixel, Pixel XL, Pixel C, Nexus Player, Nexus 5X und Nexus 6P wird dieses Patch Level mit einem Upgrade auf Android 8.0 (Oreo) zur Verfügung gestellt. Andere Hersteller (Partner) wurden mindestens einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert. Informationen zu deren Sicherheitsupdates stehen allerdings zum gegenwärtigen Zeitpunkt noch aus. Patch: LG Mobile Sicherheitshinweis für Android SMR-SEP-2017 https://lgsecurity.lge.com/security_updates.html

Patch:

Android Security Bulletin – September 2017

https://source.android.com/security/bulletin/2017-09-01.html

Patch:

Samsung Mobile Sicherheitshinweis für Android SMR-SEP-2017

https://security.samsungmobile.com/securityUpdate.smsb

CVE-2017-9677 CVE-2017-9720 CVE-2017-10997 CVE-2017-10998 CVE-2017-10999
CVE-2017-11000: Schwachstellen in Qualcomm-Komponenten ermöglichen
Privilegieneskalation

Mehrere nicht näher spezifizierte Schwachstellen in den Komponenten ‘Audio
driver’, ‘PCI driver’, ‘IPA driver’ und ‘Camera driver’ von Qualcomm
ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung
beliebigen Programmcodes mit den Rechten eines privilegierten Prozesses mit
Hilfe einer lokal installierten Anwendung.

CVE-2017-8281 CVE-2017-9676 CVE-2017-11001 CVE-2017-11002 CVE-2017-11040:
Schwachstellen in Qualcomm-Komponenten ermöglichen Ausspähen von
Informationen

Mehrere nicht näher spezifizierte Schwachstellen in den Komponenten
‘Automotive multimedia’, ‘File system’, ‘Wi-Fi driver’ und Video driver’ von
Qualcomm ermöglicht einem entfernten, nicht authentisierten Angreifer das
Ausspähen von Informationen.

CVE-2017-8278 CVE-2017-9724 CVE-2017-9725: Schwachstellen in
Qualcomm-Komponenten ermöglichen Privilegieneskalation

Mehrere nicht näher spezifizierte Schwachstellen in den Komponenten ‘Audio
driver’, ‘Linux kernel’ und ‘Memory subsystem’ von Qualcomm ermöglichen
einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen
Programmcodes mit den Rechten eines privilegierten Prozesses mit Hilfe einer
lokal installierten Anwendung.

CVE-2017-8247 CVE-2017-8250 CVE-2017-8251 CVE-2017-8277 CVE-2017-8280:
Schwachstellen in Qualcomm-Komponenten ermöglichen Privilegieneskalation

Mehrere nicht näher spezifizierte Schwachstellen in den Komponenten ‘Camera
driver’, ‘GPU driver’, Video driver’ und ‘WLAN driver’ von Qualcomm
ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung
beliebigen Programmcodes mit den Rechten eines privilegierten Prozesses mit
Hilfe einer lokal installierten Anwendung.

CVE-2017-7065: Schwachstelle in Broadcom-Komponente ermöglicht Ausführung
beliebigen Programmcodes

Eine nicht näher beschriebene, kritische Schwachstelle im WLAN-Treiber für
Broadcom-Chipsätze ermöglicht es einem nicht authentisierten Angreifer im
benachbarten Netzwerk über speziell präparierte Dateien beliebigen
Programmcode im Kontext eines privilegierten Prozesses zur Ausführung zu
bringen.

CVE-2017-6983: Schwachstelle in SQLite ermöglicht Ausführung beliebigen
Programmcodes

Durch die unzureichende Validierung von Eingaben existiert eine
Speicherkorruptions-Schwachstelle in der SQLite Komponente von Apple iOS,
macOS Sierra bzw. Mac OS X und Google Android. Ein entfernter, nicht
authentisierter Angreifer kann mit Hilfe bösartig präparierter Webinhalte
beliebigen Programmcode zur Ausführung bringen.

CVE-2017-12146: Schwachstelle in Linux-Kernel ermöglicht
Privilegieneskalation

Eine nicht näher spezifizierte Schwachstelle im Linux-Kernel ermöglicht
einem lokalen, nicht authentisierten Angreifer die Eskalation seiner
Privilegien. Die Schwachstelle lässt sich im Kontext von Google Android
wahrscheinlich auch mit Hilfe einer speziell präparierten Anwendung aus der
Ferne ausnutzen.

CVE-2017-11041: Schwachstelle in LibOmxVenc ermöglicht Ausführen beliebigen
Programmcodes

Eine nicht näher spezifizierte Schwachstelle in der Komponente ‘LibOmxVenc’
von Qualcomm ermöglicht einem entfernten, nicht authentisierten Angreifer
die Ausführung beliebigen Programmcodes mit den Rechten eines privilegierten
Prozesses mit Hilfe einer speziell präparierten Datei.

CVE-2017-10996: Schwachstelle in Linux-Kernel ermöglicht Ausspähen von
Informationen

Eine Schwachstelle in der Funktion ‘c_show()’ in ‘arch/arm64/kernel/setup.c’
des Linux-Kernels besteht aufgrund einer fehlenden Endmarkierung des Feldes
‘compat_hwcap_str[]’ durch den Wert ‘NULL’, so dass es unter bestimmten
Bedingungen zu einem Lesezugriff außerhalb von Puffergrenzen und damit dem
Offenlegen von Informationen kommen kann. Ein lokaler, nicht authentisierter
Angreifer kann Informationen ausspähen.

CVE-2017-0802 CVE-2017-0803 CVE-2017-0804: Schwachstellen in
MediaTek-Komponenten ermöglichen Privilegieneskalation

Mehrere nicht näher spezifizierte Schwachstellen in den Komponenten
‘Kernel’, ‘Accessory Detector Driver’ und MMC Driver’ von MediaTek
ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung
beliebigen Programmcodes mit den Rechten eines privilegierten Prozesses mit
Hilfe einer lokal installierten Anwendung.

CVE-2017-0795 CVE-2017-0796 CVE-2017-0797 CVE-2017-0798 CVE-2017-0799
CVE-2017-0800 CVE-2017-0801: Schwachstellen in MediaTek-Komponenten
ermöglichen Privilegieneskalation

Mehrere nicht näher spezifizierte, schwerwiegende Schwachstellen in den
Komponenten ‘Accessory Detector Driver’, ‘AUXADC Driver’, ‘Kernel’,
‘Lastbus’, ‘TEEI’ und ‘LibMtkOmxVdec’ von MediaTek ermöglichen einem
entfernten, nicht authentisierten Angreifer die Ausführung beliebigen
Programmcodes mit den Rechten eines privilegierten Prozesses mit Hilfe einer
lokal installierten Anwendung.

CVE-2017-0794: Schwachstelle in SCSI-Treiber ermöglicht
Privilegieneskalation

Eine nicht näher spezifizierte Schwachstelle im SCSI-Treiber von Google
Android ermöglicht einem lokalen, nicht authentisierten Angreifer die
Eskalation seiner Privilegien. Die Schwachstelle lässt sich wahrscheinlich
auch aus der Ferne mit Hilfe einer speziell präparierten Anwendung
ausnutzen.

CVE-2017-0793: Schwachstelle in Imgtk-Komponente ermöglicht Ausspähen von
Informationen

Eine Schwachstelle im Memory-Subsystem von Imgtk ermöglicht es einem
entfernten, nicht authentisierten Angreifer mit Hilfe einer speziell
präparierten Anwendung, die lokal installiert sein muss, Informationen
auszuspähen.

CVE-2017-0792: Schwachstelle in Broadcom-Komponente ermöglicht Ausspähen von
Informationen

Eine nicht näher beschriebene Schwachstelle im WLAN-Treiber für
Broadcom-Chipsätze ermöglicht es einem nicht authentisierten Angreifer im
benachbarten Netzwerk Informationen auszuspähen.

CVE-2017-0787 CVE-2017-0788 CVE-2017-0789 CVE-2017-0790 CVE-2017-0791:
Schwachstellen in Broadcom-Komponente ermöglichen Privilegieneskalation

Mehrere nicht näher beschriebene Schwachstellen im WLAN-Treiber für
Broadcom-Chipsätze ermöglichen es einem nicht authentisierten Angreifer im
benachbarten Netzwerk seine Privilegien zu eskalieren.

CVE-2017-0786: Schwachstelle in Broadcom-Komponente ermöglicht
Privilegieneskalation

Eine nicht näher beschriebene, schwerwiegende Schwachstelle im WLAN-Treiber
für Broadcom-Chipsätze ermöglicht es einem nicht authentisierten Angreifer
im benachbarten Netzwerk seine Privilegien zu eskalieren.

CVE-2017-0784: Schwachstelle in Systemkomponente ermöglicht
Privilegieneskalation

Durch eine Schwachstelle in einer nicht näher spezifizierten
Systemkomponente von Google Android kann ein entfernter, nicht
authentisierter Angreifer, mit Hilfe einer lokal installierten Anwendung,
eine eigentlich erforderliche Benutzerinteraktion umgehen und in der Folge
auf sensitive Daten des Benutzers zugreifen.

CVE-2017-0780: Schwachstelle in Runtime ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in der Laufzeitumgebung von Google Android ermöglicht es
einem entfernten, nicht authentisierten Angreifer, mit Hilfe einer speziell
präparierten Datei, einen Denial-of-Service (DoS)-Zustand für eine Anwendung
herbeizuführen.

CVE-2017-0779: Schwachstelle in Media Framework ermöglicht Ausspähen von
Informationen

Eine nicht näher beschriebene Schwachstelle im Media Framework von Android
ermöglicht es einem entfernten, nicht authentisierten Angreifer sensitive
Informationen auszuspähen.

CVE-2017-0776 CVE-2017-0777 CVE-2017-0778: Schwachstellen in Media Framework
ermöglichen Denial-of-Service-Angriffe und Ausspähen von Informationen

Mehrere nicht näher beschriebene Schwachstellen im Media Framework von
Android ermöglichen es einem entfernten, nicht authentisierten Angreifer
einen Denial-of-Service (DoS)-Zustand herbeizuführen und Informationen
auszuspähen. Die Auswirkungen der Schwachstellen sind für unterschiedliche
Versionen von Android verschieden.

CVE-2017-0771 CVE-2017-0772 CVE-2017-0773 CVE-2017-0774 CVE-2017-0775:
Schwachstellen in Media Framework ermöglichen Denial-of-Service-Angriffe

Mehrere nicht näher beschriebene Schwachstellen im Media Framework von
Android ermöglichen es einem entfernten, nicht authentisierten Angreifer
einen Denial-of-Service (DoS)-Zustand herbeizuführen.

CVE-2017-0767 CVE-2017-0768 CVE-2017-0769 CVE-2017-0770: Schwachstellen in
Media Framework ermöglichen Privilegieneskalation

Mehrere nicht näher beschriebene Schwachstellen im Media Framework von
Android ermöglichen es einem entfernten, nicht authentisierten Angreifer
über speziell präparierte Mediendateien seine Privilegien zu eskalieren.

CVE-2017-0766: Schwachstelle in Media Framework ermöglicht Ausführung
beliebigen Programmcodes

Eine nicht näher beschriebene, schwerwiegende Schwachstelle im Media
Framework von Android ermöglicht es einem entfernten, nicht authentisierten
Angreifer über speziell präparierte Mediendateien beliebigen Programmcode im
Kontext eines privilegierten Prozesses zur Ausführung zu bringen.

CVE-2017-0761 CVE-2017-0762 CVE-2017-0763 CVE-2017-0764 CVE-2017-0765:
Schwachstellen in Media Framework ermöglichen Ausführung beliebigen
Programmcodes

Mehrere nicht näher beschriebene, kritische Schwachstellen im Media
Framework von Android ermöglichen es einem entfernten, nicht authentisierten
Angreifer über speziell präparierte Mediendateien beliebigen Programmcode im
Kontext eines privilegierten Prozesses zur Ausführung zu bringen.

CVE-2017-0756 CVE-2017-0757 CVE-2017-0758 CVE-2017-0759 CVE-2017-0760:
Schwachstellen in Media Framework ermöglichen Ausführung beliebigen
Programmcodes

Mehrere nicht näher beschriebene, kritische Schwachstellen im Media
Framework von Android ermöglichen es einem entfernten, nicht authentisierten
Angreifer über speziell präparierte Mediendateien beliebigen Programmcode im
Kontext eines privilegierten Prozesses zur Ausführung zu bringen.

CVE-2017-0755: Schwachstelle in Bibliothek ermöglicht Privilegieneskalation

Eine Schwachstelle in einer nicht näher spezifizierten Bibliothek, die in
Android 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 und 8.0 eingesetzt wird,
ermöglicht einem wahrscheinlich entfernten, nicht authentisierten Angreifer
die Eskalation von Privilegien.

CVE-2017-0753: Schwachstelle in Bibliothek ermöglicht Ausführung beliebigen
Programmcodes

Eine Schwachstelle in einer nicht näher spezifizierten Bibliothek, die in
Android 7.1.1, 7.1.2 und 8.0 eingesetzt wird, ermöglicht einem entfernten,
nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes.

CVE-2017-0752: Schwachstelle in Framework ermöglicht Privilegieneskalation

Eine Schwachstelle in Framework ermöglicht es einem entfernten, nicht
authentisierten Angreifer mit Hilfe einer speziell präparierten Anwendung
bestimmte Anforderungen an die Benutzerinteraktion zu umgehen. Der Angreifer
kann einen Benutzer zur Installation einer solchen Anwendung verleiten und
die Schwachstelle ausnutzen, um dieser Anwendung erweiterte Rechte zu
verschaffen.

CVE-2017-7495: Schwachstelle in Linux-Kernel ermöglicht Ausspähen von
Informationen

In ‘fs/ext4/inode.c’ im Linux-Kernel vor 4.6.2 existiert eine Schwachstelle,
da eine ‘needs-flushing-before-commit’-Liste bei Verwendung des ‘ext4
data=ordered’-Modus fehlerhaft behandelt wird. Ein lokaler, nicht
authentisierter Angreifer, kann unter bestimmten opportunistischen Umständen
sensitive Informationen aus den Dateien anderer Benutzer ausspähen, indem er
einen Hardware-Reset abwartet, eine neue Datei erzeugt,
‘write’-Systemaufrufe tätigt und diese Datei ausliest.

Im Kontext von Google Android wird die Schwachstelle als schwerwiegend
angesehen.

CVE-2017-9150: Schwachstelle in Linux-Kernel ermöglicht Ausspähen von
Informationen

Weil die Funktion ‘do_check’ in ‘kernel/bpf/verifier.c’ den Wert der
Variable ‘allow_ptr_leaks’, zur Ausgabenbeschränkung der Funktion
‘print_bpf_insn’, nicht verfügbar macht existiert eine Schwachstelle im
Linux-Kernel. Ein lokaler, nicht authentisierter Angreifer kann dies
ausnutzen und mit Hilfe präparierter ‘bpf’-Systemaufrufen sensitive
Adressinformationen ausspähen.

Im Kontext von Google Android wird die Schwachstelle als schwerwiegend
angesehen.

CVE-2017-9076: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

In der Funktion ‘dccp_v6_request_recv_sock’ in ‘net/dccp/ipv6.c’ im
Linux-Kernel bis Version 4.11.1 existiert aufgrund des fehlerhaften Umgangs
mit Vererbungen eine Schwachstelle. Ein lokaler, einfach authentisierter
Angreifer kann die Schwachstelle ausnutzen und einen Denial-of-Service
(DoS)-Zustand herbeiführen oder möglicherweise auch weiteren Einfluss auf
ein System ausüben.

Im Kontext von Google Android wird die Schwachstelle als schwerwiegend
angesehen, da sie die Eskalation von Privilegien ermöglicht.

CVE-2017-8890: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

In der Funktion ‘inet_csk_clone_lock’ in ‘net/ipv4/inet_connection_sock.c’
im Linux-Kernel bis Version 4.10.15 existiert eine Schwachstelle, die es
einem entfernten, nicht authentisierten Angreifer ermöglicht durch die
Ausnutzung akzeptierter Systemaufrufe Speicher doppelt freizugeben und einen
Denial-of-Service-Angriff durchzuführen oder weiteren Einfluss auf ein
System zu nehmen.

Im Kontext von Google Android wird die Schwachstelle als kritisch angesehen,
da sie die Ausführung beliebigen Programmcodes ermöglicht.

CVE-2017-7487: Schwachstelle in Linux-Kernel ermöglicht u.a.
Denial-of-Service-Angriff

Die Funktion ‘ipxitf_ioctl’ in ‘net/ipx/af_ipx.c’ im Linux-Kernel bis
Version 4.11.1 behandelt Referenzzähler fehlerhaft, wodurch es zur
Verwendung von Speicher nach dessen Freigabe (Use-after-Free) kommen kann.
Ein lokaler, nicht authentisierter Angreifer kann die Schwachstelle
ausnutzen, über einen fehlgeschlagenen SIOCGIFADDR ioctl Aufruf für ein IPX
Interface, um einen Denial-of-Service (DoS)-Angriff durchzuführen oder
möglicherweise weiteren, nicht näher spezifizierten Einfluss auszuüben.

Im Kontext von Google Android wird die Schwachstelle als schwerwiegend
angesehen, da sie die Eskalation von Privilegien ermöglicht.

CVE-2017-7616: Schwachstelle in Linux-Kernel ermöglicht Ausspähen von
Informationen

Durch eine falsche Fehlerbehandlung in den ‘compat’-Systemaufrufen
‘set_mempolicy’ und ‘mbind’ in ‘mm/mempolicy.c’ im Linux-Kernel bis
inklusive Version 4.10.9 ist es möglich über bestimmte Bitmap-Operationen
einen Fehler auszulösen, wodurch sensitive Informationen aus nicht
initialisierten Speicherbereichen des Stacks offengelegt werden. Ein
lokaler, nicht authentisierter Angreifer kann Informationen ausspähen.

CVE-2017-6346: Schwachstelle in Linux-Kernel ermöglicht Übernahme des System

Eine ausnutzbare Wettlaufsituation (Race Condition) in
‘net/packet/af_packet.c’ im Linux-Kernel ermöglicht es einem Thread die
Ressource ‘po->rollover’ freizugeben, auch wenn dieser sie nicht gesetzt
hat, wodurch die Verwendung freigegeben Speichers (Use-after-free)
provoziert werden kann. Ein lokaler, nicht authentisierter Angreifer kann
einen Denial-of-Service-Angriff oder weitere nicht näher spezifizierte
Angriffe durchführen, was auch die Übernahme eines Systems einschließen
kann.

Im Kontext von Google Android wird die Schwachstelle als schwerwiegend
angesehen, da sie die Eskalation von Privilegien ermöglicht.

CVE-2017-6214: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

In der Funktion ‘tcp_splice_read’ im Linux-Kernel besteht eine
Schwachstelle, die es ermöglicht im Zusammenhang mit TCP-Paketen, bei denen
das URG-Flag (Urgent) gesetzt ist, eine Endlosschleife auszulösen und damit
einen Denial-of-Service-Zustand zu bewirken. Ein entfernter, nicht
authentisierter Angreifer kann mit Hilfe speziell präparierter Datenpakete
einen Denial-of-Service-Angriff auf das System durchführen.

Im Kontext von Google Android wird die Schwachstelle als schwerwiegend
angesehen.

CVE-2017-5897: Schwachstelle in Linux-Kernel ermöglicht Ausspähen von
Informationen und Denial-of-Service-Angriff

Die Funktion ‘ip6gre_err()’ innerhalb von ‘/net/ipv6/ip6_gre.c’ ermöglicht
den Zugriff auf einen Speicherbereich, der etwa 40 Bytes hinter dem
beabsichtigten Speicherbereich liegt, wenn ‘GRE_KEY’ in den Generic Routing
Encapsulation-Markern (GRE Flags) enthalten ist. Ein entfernter, nicht
authentifizierter Angreifer kann durch Ausnutzen der Schwachstelle auf
Speicher außerhalb des zugewiesenen Speicherbereichs zugreifen und so
möglicherweise sensitive Informationen aus dem Prozessspeicher ausspähen
oder einen Denial-of-Service (DoS)-Zustand auszulösen.

Im Kontext von Google Android wird die Schwachstelle als schwerwiegend
angesehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1556/

Schwachstelle CVE-2017-5897 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5897

Schwachstelle CVE-2017-6214 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6214

Schwachstelle CVE-2017-6346 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6346

Schwachstelle CVE-2017-7616 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7616

Schwachstelle CVE-2017-8890 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8890

Schwachstelle CVE-2017-7487 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7487

Schwachstelle CVE-2017-7495 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7495

Schwachstelle CVE-2017-6983 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6983

Schwachstelle CVE-2017-9076 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9076

Schwachstelle CVE-2017-9150 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9150

LG Mobile Sicherheitshinweis für Android SMR-SEP-2017:
https://lgsecurity.lge.com/security_updates.html

Android Security Bulletin – September 2017:
https://source.android.com/security/bulletin/2017-09-01.html

Schwachstelle CVE-2017-0752 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0752

Schwachstelle CVE-2017-0753 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0753

Schwachstelle CVE-2017-0755 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0755

Schwachstelle CVE-2017-0756 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0756

Schwachstelle CVE-2017-0757 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0757

Schwachstelle CVE-2017-0758 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0758

Schwachstelle CVE-2017-0759 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0759

Schwachstelle CVE-2017-0760 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0760

Schwachstelle CVE-2017-0761 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0761

Schwachstelle CVE-2017-0762 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0762

Schwachstelle CVE-2017-0763 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0763

Schwachstelle CVE-2017-0764 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0764

Schwachstelle CVE-2017-0765 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0765

Schwachstelle CVE-2017-0766 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0766

Schwachstelle CVE-2017-0767 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0767

Schwachstelle CVE-2017-0768 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0768

Schwachstelle CVE-2017-0769 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0769

Schwachstelle CVE-2017-0770 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0770

Schwachstelle CVE-2017-0771 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0771

Schwachstelle CVE-2017-0772 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0772

Schwachstelle CVE-2017-0773 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0773

Schwachstelle CVE-2017-0774 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0774

Schwachstelle CVE-2017-0775 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0775

Schwachstelle CVE-2017-0776 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0776

Schwachstelle CVE-2017-0777 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0777

Schwachstelle CVE-2017-0778 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0778

Schwachstelle CVE-2017-0779 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0779

Schwachstelle CVE-2017-0780 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0780

Schwachstelle CVE-2017-0784 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0784

Schwachstelle CVE-2017-0786 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0786

Schwachstelle CVE-2017-0787 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0787

Schwachstelle CVE-2017-0788 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0788

Schwachstelle CVE-2017-0789 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0789

Schwachstelle CVE-2017-0790 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0790

Schwachstelle CVE-2017-0791 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0791

Schwachstelle CVE-2017-0792 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0792

Schwachstelle CVE-2017-0793 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0793

Schwachstelle CVE-2017-0794 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0794

Schwachstelle CVE-2017-0795 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0795

Schwachstelle CVE-2017-0796 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0796

Schwachstelle CVE-2017-0797 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0797

Schwachstelle CVE-2017-0798 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0798

Schwachstelle CVE-2017-0799 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0799

Schwachstelle CVE-2017-0800 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0800

Schwachstelle CVE-2017-0801 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0801

Schwachstelle CVE-2017-0802 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0802

Schwachstelle CVE-2017-0803 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0803

Schwachstelle CVE-2017-0804 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0804

Schwachstelle CVE-2017-10996 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10996

Schwachstelle CVE-2017-10997 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10997

Schwachstelle CVE-2017-10998 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10998

Schwachstelle CVE-2017-10999 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10999

Schwachstelle CVE-2017-11000 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11000

Schwachstelle CVE-2017-11001 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11001

Schwachstelle CVE-2017-11002 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11002

Schwachstelle CVE-2017-11040 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11040

Schwachstelle CVE-2017-11041 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11041

Schwachstelle CVE-2017-12146 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12146

Schwachstelle CVE-2017-7065 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7065

Schwachstelle CVE-2017-8247 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8247

Schwachstelle CVE-2017-8250 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8250

Schwachstelle CVE-2017-8251 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8251

Schwachstelle CVE-2017-8277 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8277

Schwachstelle CVE-2017-8278 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8278

Schwachstelle CVE-2017-8280 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8280

Schwachstelle CVE-2017-8281 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8281

Schwachstelle CVE-2017-9676 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9676

Schwachstelle CVE-2017-9677 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9677

Schwachstelle CVE-2017-9720 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9720

Schwachstelle CVE-2017-9724 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9724

Schwachstelle CVE-2017-9725 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9725

Samsung Mobile Sicherheitshinweis für Android SMR-SEP-2017:
https://security.samsungmobile.com/securityUpdate.smsb

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben