Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 3 (09.02.18):
Samsung aktualisiert seinen Sicherheitshinweis für Android von Februar
2018 und weist darauf hin, dass dem zugehörigen SMR-Paket 250
gerätespezifische Schwachstellenbezeichner (CVEs) aus dem Backlog
hinzugefügt wurden.
Version 2 (08.02.18):
Google aktualisiert den referenzierten Sicherheitshinweis und ergänzt die
Links für Quellcode-Updates für das Android Open Source Project (AOSP). LG
veröffentlicht jetzt ebenfalls Sicherheitsupdates und behebt damit
insgesamt 27 Schwachstellen, von denen zwei LG-spezifisch sind. Der
verfügbare Patch Level ist ‘2018-02-01’.
Version 1 (06.02.18):
Neues Advisory

Mehrere Schwachstellen in Google Android 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1,
7.1.2, 8.0 und 8.1 vor Patch Level 2018-02-05 ermöglichen auch einem
entfernten, nicht authentifizierten Angreifer die Eskalation von
Privilegien, die Ausführung beliebigen Programmcodes mit den Rechten
privilegierter Dienste wie dem Media Framework, die Durchführung
verschiedener Denial-of-Service (DoS)-Angriffe und das Ausspähen sensitiver
Informationen. Mehrere der Schwachstellen werden vom Hersteller als
‘kritisch’ eingestuft.

Google stellt die zwei Patch Level 2018-02-01 und 2018-02-05 als
Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der
Patch Level 2018-01-01 behebt dabei allgemeine Schwachstellen im Google
Android Betriebssystem und dort eingesetzten Bibliotheken und Frameworks,
der Patch Level 2018-01-05 behebt im Wesentlichen hardwarespezifische
Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener
Komponenten und Schwachstellen im Kernel des Systems. Hier werden neben
Kernel und Media Framework Komponenten der Hersteller HTC, NVIDIA und
Qualcomm mit jeweils mindestens einer Schwachstelle genannt.

Google kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein
Over-the-Air-Update (OTA) an und wird die Firmware-Images über die
Entwicklerseite zum Download zur Verfügung stellen. Für Schwachstellen,
welche ausschließlich Google-Geräte betreffen, veröffentlicht der Hersteller
eine zusätzliche Sicherheitsmeldung (siehe Pixel?/?Nexus Security Bulletin
des Herstellers). Hier werden weitere Schwachstellen in verschiedenen
Systemkomponenten (unter anderem Kernel, Media Framework und System) und
Komponenten des Herstellers Qualcomm (unter anderem Camera, Power und WiFi)
aufgeführt.

Samsung veröffentlicht für einige Geräte Sicherheitsupdates, mit denen eine
Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben
werden, die teilweise auch bereits mit früheren Android Security Bulletins
adressiert wurden. Zusätzlich werden 16 neue Samsung-spezifische
Schwachstellen und Verwundbarkeiten (SVEs) adressiert. Samsung referenziert
den Android Security Patch Level (SPL) February 1, 2018

Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser
Meldung oder früher über die Schwachstellen informiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0237]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (08.02.18):
Google aktualisiert den referenzierten Sicherheitshinweis und ergänzt die
Links für Quellcode-Updates für das Android Open Source Project (AOSP). LG
veröffentlicht jetzt ebenfalls Sicherheitsupdates und behebt damit
insgesamt 27 Schwachstellen, von denen zwei LG-spezifisch sind. Der
verfügbare Patch Level ist ‘2018-02-01’.
Version 1 (06.02.18):
Neues Advisory

Mehrere Schwachstellen in Google Android 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1,
7.1.2, 8.0 und 8.1 vor Patch Level 2018-02-05 ermöglichen auch einem
entfernten, nicht authentifizierten Angreifer die Eskalation von
Privilegien, die Ausführung beliebigen Programmcodes mit den Rechten
privilegierter Dienste wie dem Media Framework, die Durchführung
verschiedener Denial-of-Service (DoS)-Angriffe und das Ausspähen sensitiver
Informationen. Mehrere der Schwachstellen werden vom Hersteller als
‘kritisch’ eingestuft.

Google stellt die zwei Patch Level 2018-02-01 und 2018-02-05 als
Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der
Patch Level 2018-01-01 behebt dabei allgemeine Schwachstellen im Google
Android Betriebssystem und dort eingesetzten Bibliotheken und Frameworks,
der Patch Level 2018-01-05 behebt im Wesentlichen hardwarespezifische
Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener
Komponenten und Schwachstellen im Kernel des Systems. Hier werden neben
Kernel und Media Framework Komponenten der Hersteller HTC, NVIDIA und
Qualcomm mit jeweils mindestens einer Schwachstelle genannt.

Google kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein
Over-the-Air-Update (OTA) an und wird die Firmware-Images über die
Entwicklerseite zum Download zur Verfügung stellen. Für Schwachstellen,
welche ausschließlich Google-Geräte betreffen, veröffentlicht der Hersteller
eine zusätzliche Sicherheitsmeldung (siehe Pixel?/?Nexus Security Bulletin
des Herstellers). Hier werden weitere Schwachstellen in verschiedenen
Systemkomponenten (unter anderem Kernel, Media Framework und System) und
Komponenten des Herstellers Qualcomm (unter anderem Camera, Power und WiFi)
aufgeführt.

Samsung veröffentlicht für einige Geräte Sicherheitsupdates, mit denen eine
Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben
werden, die teilweise auch bereits mit früheren Android Security Bulletins
adressiert wurden. Zusätzlich werden 16 neue Samsung-spezifische
Schwachstellen und Verwundbarkeiten (SVEs) adressiert. Samsung referenziert
den Android Security Patch Level (SPL) February 1, 2018

Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser
Meldung oder früher über die Schwachstellen informiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0237]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html