Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 1 (08.05.18):
Neues Advisory
Mehrere Schwachstellen in Google Android 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
und 8.1 vor Patch Level 2018-05-05 ermöglichen einem entfernten, nicht
authentifizierten Angreifer die Eskalation von Privilegien, die Ausführung
beliebigen Programmcodes mit den Rechten privilegierter Dienste wie dem
Media Framework, die Durchführung verschiedener Denial-of-Service
(DoS)-Angriffe und das Ausspähen sensitiver Informationen mit Hilfe speziell
präparierter Anwendungen. Solche Anwendungen müssen zur Ausnutzung der
Schwachstellen lokal installiert und ausgeführt werden. Zwei der
Schwachstellen werden vom Hersteller als ‘kritisch’ eingestuft. Mehrere
weitere Schwachstellen in der WLAN-Komponente von Google Android können von
einem nicht authentisierten Angreifer im benachbarten Netzwerk über speziell
präparierte WLAN Access Points oder als Man-in-the-Middle ausgenutzt werden,
um gleichartige Angriffe durchzuführen.
Google stellt die Patch Level 2018-05-01 und 2018-05-05 als
Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der
Patch Level 2018-05-01 behebt dabei allgemeine Schwachstellen im Google
Android Betriebssystem und dort eingesetzten Bibliotheken und Frameworks.
Der Patch Level 2018-05-05 behebt im Wesentlichen hardwarespezifische
Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener
Komponenten und Schwachstellen im Kernel des Systems. Hier werden neben
weiteren Schwachstellen im Kernel auch Komponenten der Hersteller NVIDIA und
Qualcomm genannt. Mit diesem Patch-Level werden nicht näher beschriebene
Mitigationen gegen die Schwachstelle Meltdown (CVE-2017-5754) eingeführt und
erneut ein Qualcomm-spezifisches Problem im Kontext der WLAN-Schwachstelle
CRACK (CVE-2017-13077) adressiert. Zusätzlich wird ein Patch gegen Spectre
v2 (CVE-2017-5715) für die NVIDIA-Komponente Trusted Little Kernel (TLK) zur
Verfügung gestellt.
Google kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein
Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die
Entwicklerseite zum Download zur Verfügung. Für Schwachstellen, welche
ausschließlich Google-Geräte betreffen, veröffentlicht der Hersteller eine
zusätzliche Sicherheitsmeldung (siehe Pixel?/?Nexus Security Bulletin des
Herstellers). Hier werden weitere Schwachstellen in verschiedenen
Systemkomponenten (unter anderem Kernel, Media Framework und System) und
Komponenten der Hersteller NVIDIA und Qualcomm (unter anderem Audio, Camera,
Modem und WLAN) aufgeführt.
Samsung und LG veröffentlichen für einige Geräte Sicherheitsupdates, mit
denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen
behoben werden, die teilweise auch bereits mit früheren Android Security
Bulletins adressiert wurden. Beide Hersteller beheben zusätzlich
Schwachstellen für Geräte aus eigener Produktion. Als Patch-Level geben die
Hersteller ‘2018-05-01’ an. Kürzlich ist allerdings bekannt geworden, dass
LG in der Vergangenheit nicht alle in den jeweiligen Sicherheitshinweisen
aufgeführten Schwachstellen behoben hat (siehe Referenz anbei).
Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser
Meldung oder früher über die Schwachstellen informiert.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0857]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
