DFN-CERT-2018-0427 Google Android Operating System: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste

DFN-CERT-2018-0427 Google Android Operating System: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (06.03.18):
Neues Advisory

Mehrere Schwachstellen in Google Android 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1,
7.1.2, 8.0 und 8.1 vor Patch Level 2018-03-05 ermöglichen auch einem
entfernten, nicht authentifizierten Angreifer die Eskalation von
Privilegien, die Ausführung beliebigen Programmcodes mit den Rechten
privilegierter Dienste wie dem Media Framework, die Durchführung
verschiedener Denial-of-Service (DoS)-Angriffe und das Ausspähen sensitiver
Informationen. Mehrere der Schwachstellen werden vom Hersteller als
‘kritisch’ eingestuft.

Google stellt die zwei Patch Level 2018-03-01 und 2018-03-05 als
Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der
Patch Level 2018-03-01 behebt dabei allgemeine Schwachstellen im Google
Android Betriebssystem und dort eingesetzten Bibliotheken und Frameworks.
Auch Angreifer im benachbarten Netzwerk können hier kritische Schwachstellen
ausnutzen, dies kann beispielsweise über WLAN oder Bluetooth-Verbindungen
erfolgen. Der Hersteller macht dazu bisher keine näheren Angaben.

Der Patch Level 2018-03-05 behebt im Wesentlichen hardwarespezifische
Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener
Komponenten und Schwachstellen im Kernel des Systems. Hier werden neben
weiteren Schwachstellen im Kernel auch Komponenten der Hersteller NVIDIA und
Qualcomm mit jeweils mindestens einer Schwachstelle genannt.

Google kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein
Over-the-Air-Update (OTA) an und wird die Firmware-Images über die
Entwicklerseite zum Download zur Verfügung stellen. Für Schwachstellen,
welche ausschließlich Google-Geräte betreffen, veröffentlicht der Hersteller
eine zusätzliche Sicherheitsmeldung (siehe Pixel?/?Nexus Security Bulletin
des Herstellers). Hier werden weitere Schwachstellen in verschiedenen
Systemkomponenten (unter anderem Kernel, Media Framework und System) und
Komponenten der Hersteller NVIDIA und Qualcomm (unter anderem Camera und
WLAN) aufgeführt.

Samsung und LG veröffentlichen für einige Geräte Sicherheitsupdates, mit
denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen
behoben werden, die teilweise auch bereits mit früheren Android Security
Bulletins adressiert wurden. Samsung behebt zusätzlich neue Schwachstellen
für eigene Geräte.

Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser
Meldung oder früher über die Schwachstellen informiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0427]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben