DFN-CERT-2018-2465 Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

DFN-CERT-2018-2465 Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (04.12.18):
Neues Advisory

Mehrere Schwachstellen in Google Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 und 9
vor Patch-Level 2018-12-05 ermöglichen einem entfernten, nicht
authentifizierten Angreifer die Eskalation von Privilegien, die Ausführung
beliebigen Programmcodes mit den Rechten privilegierter Dienste wie dem
Media Framework und das Ausspähen sensibler Informationen mit Hilfe speziell
präparierter Anwendungen. Solche Anwendungen müssen zur Ausnutzung der
Schwachstellen lokal installiert und ausgeführt werden. Insgesamt elf der
Schwachstellen werden als kritisch eingestuft.

Google stellt die Patch-Level 2018-12-01 und 2018-12-05 als
Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der
Patch-Level 2018-12-01 behebt dabei allgemeine Schwachstellen im Google
Android Betriebssystem und dort eingesetzten Frameworks. Der Patch-Level
2018-12-05 behebt im Wesentlichen hardwarespezifische Schwachstellen in
Chipsätzen und Treibern von Herstellern verschiedener Komponenten und
Schwachstellen im Kernel des Systems.

Google kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein
Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die
Entwicklerseite zum Download zur Verfügung. Für Schwachstellen, welche
ausschließlich Google-Geräte betreffen, veröffentlicht der Hersteller eine
zusätzliche Sicherheitsmeldung (siehe Pixel?/?Nexus Security Bulletin des
Herstellers). Hier wird eine weitere Schwachstelle im Speichermanager ION
aufgeführt.

Die Hersteller Samsung und LG veröffentlichen Sicherheitsupdates, mit denen
eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben
werden, die teilweise auch bereits mit früheren Android Security Bulletins
adressiert wurden. Die Hersteller beheben zusätzlich Schwachstellen für
Geräte aus eigener Produktion. Die Version ‘SMR Dec-2018 Release 1’ für
Samsung-Geräte beinhaltet alle Patches von Samsung und Google. LG gibt als
Patch-Level ‘2018-12-01’ an.

Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser
Meldung oder früher über die Schwachstellen informiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-2465]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben