DFN-CERT-2018-1985 Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

DFN-CERT-2018-1985 Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (02.10.18):
Neues Advisory

Mehrere Schwachstellen in Google Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 und 9
vor Patch-Level 2018-10-05 ermöglichen einem entfernten, nicht
authentifizierten Angreifer die Eskalation von Privilegien, die Ausführung
beliebigen Programmcodes mit den Rechten privilegierter Dienste wie dem
Media Framework, die Durchführung verschiedener Denial-of-Service
(DoS)-Angriffe und das Ausspähen sensitiver Informationen mit Hilfe speziell
präparierter Anwendungen. Solche Anwendungen müssen zur Ausnutzung der
Schwachstellen lokal installiert und ausgeführt werden. Insgesamt acht der
aktuell behobenen Schwachstellen werden als kritisch eingestuft.

Google stellt die Patch-Level 2018-10-01 und 2018-10-05 als
Sicherheitsupdates bereit und kündigt für Google-Geräte (Nexus, Pixel)
Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die
Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Für
Schwachstellen, welche ausschließlich Google-Geräte betreffen,
veröffentlicht der Hersteller eine zusätzliche Sicherheitsmeldung (siehe
Pixel?/?Nexus Security Bulletin des Herstellers). Hier werden aktuell
allerdings keine weiteren konkreten Schwachstellen aufgeführt.

Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit denen
eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben
werden, die teilweise auch bereits mit früheren Android Security Bulletins
adressiert wurden. Die Hersteller beheben zusätzlich Schwachstellen für
Geräte aus eigener Produktion. Die Version ‘SMR Oct-2018 Release 1’ für
Samsung-Geräte beinhaltet alle Patches von Samsung und den Google 2018-10-01
Patch-Level. LG gibt als Patch-Level ‘2018-10-01’ an.

Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser
Meldung oder früher über die Schwachstellen informiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1985]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben