DFN-CERT-2022-0287 Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien

DFN-CERT-2022-0287 Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (08.02.22):
Neues Advisory

Ein Angreifer kann mehrere Schwachstellen in Google Android 10, 11 und 12
vor Patch-Level 2022-02-05 aus der Ferne ausnutzen, um Privilegien zu
eskalieren, Denial-of-Service (DoS)-Angriffe und nicht spezifizierte
Angriffe durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen
lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren,
einen Denial-of-Service (DoS)-Angriff und nicht spezifizierte Angriffe
durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien
erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines
Benutzers.

Es existieren zusätzliche Schwachstellen in quelloffenen und nicht
quelloffenen Komponenten von Amlogic, MediaTek, Qualcomm und Unisoc, welche
weitere, nicht spezifizierte Angriffe ermöglichen.

Die Schwachstelle CVE-2021-30317 in einer nicht quelloffenen Qualcomm-
Komponente und die Schwachstelle CVE-2021-39675 in der Komponente System
werden von Google bzw. Qualcomm als ‘kritisch’ eingestuft.

Google stellt die Patch-Level 2022-02-01 und 2022-02-05 als
Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der
Patch-Level 2022-02-01 behebt dabei Schwachstellen in Google Android
Framework, Media Framework und im Grundsystem. Der Patch-Level 2022-02-05
behebt weitere Schwachstellen im Grundsystem und in verschiedenen
Komponenten von MediaTek, Qualcomm, Amlogic und Unisoc.

Google kündigt für Google Pixel Sicherheitsupdates an und stellt die
Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Die
Schwachstellen CVE-2021-39662 und CVE-2021-39663 werden auch durch ein
Google Play Update adressiert.

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine
Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben
werden, die teilweise auch bereits mit früheren Android Security Bulletins
adressiert wurden. Der Hersteller behebt zusätzliche Schwachstellen für
Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten
Sicherheitsupdates wird mit ‘SMR February-2022 Release 1’ für Samsung-Geräte
angegeben.

Hersteller (Partner) anderer Geräte wurden einen Monat vor Veröffentlichung
dieser Meldung oder früher über die Schwachstellen informiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2022-0287]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben