DFN-CERT-2018-1067 Google Android Operating System: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

DFN-CERT-2018-1067 Google Android Operating System: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (05.06.18):
Neues Advisory

Mehrere Schwachstellen in Google Android 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
und 8.1 vor Patch Level 2018-06-05 ermöglichen einem entfernten, nicht
authentifizierten Angreifer die Eskalation von Privilegien, die Ausführung
beliebigen Programmcodes mit den Rechten privilegierter Dienste wie dem
Media Framework, die Durchführung verschiedener Denial-of-Service
(DoS)-Angriffe und das Ausspähen sensitiver Informationen mit Hilfe speziell
präparierter Anwendungen. Solche Anwendungen müssen zur Ausnutzung der
Schwachstellen lokal installiert und ausgeführt werden. Insgesamt 11
Schwachstellen werden dabei als kritisch eingestuft.

Google stellt die Patch Level 2018-06-01 und 2018-06-05 als
Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der
Patch Level 2018-06-01 behebt dabei allgemeine Schwachstellen im Google
Android Betriebssystem und dort eingesetzten Bibliotheken und Frameworks.

Der Patch Level 2018-06-05 behebt im Wesentlichen hardwarespezifische
Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener
Komponenten und Schwachstellen im Kernel des Systems. Hier werden neben
weiteren Schwachstellen im Kernel und im Media Framework auch Komponenten
der Hersteller LG, MediaTek, NVIDIA und Qualcomm genannt. Mit diesem Patch
Level wird erneut ein Qualcomm-spezifisches Problem im Kontext der WLAN-
Schwachstelle CRACK (CVE-2017-13077) adressiert.

Google kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein
Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die
Entwicklerseite zum Download zur Verfügung. Für Schwachstellen, welche
ausschließlich Google-Geräte betreffen, veröffentlicht der Hersteller eine
zusätzliche Sicherheitsmeldung (siehe Pixel?/?Nexus Security Bulletin des
Herstellers). Hier werden weitere Schwachstellen in verschiedenen
Systemkomponenten (unter anderem Kernel, Media Framework, MediaTek und
System) und Komponenten des Herstellers Qualcomm (unter anderem WLAN,
Bootloader und DSP Services) aufgeführt.

Samsung veröffentlicht für einige Geräte Sicherheitsupdates, mit denen eine
Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben
werden, die teilweise auch bereits mit früheren Android Security Bulletins
adressiert wurden. Der Hersteller behebt zusätzlich Schwachstellen für
Geräte aus eigener Produktion. Als Patch-Level wird ‘2018-06-01’ angegeben.

Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser
Meldung oder früher über die Schwachstellen informiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1067]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben