Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 2 (05.04.18):
Google aktualisiert den referenzierten Sicherheitshinweis und ergänzt die
Links für Quellcode-Updates für das Android Open Source Project (AOSP).
Version 1 (03.04.18):
Neues Advisory
Mehrere Schwachstellen in Google Android 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
und 8.1 vor Patch Level 2018-04-05 ermöglichen einem entfernten, nicht
authentifizierten Angreifer die Eskalation von Privilegien, die Ausführung
beliebigen Programmcodes mit den Rechten privilegierter Dienste wie dem
Media Framework, die Durchführung verschiedener Denial-of-Service
(DoS)-Angriffe und das Ausspähen sensitiver Informationen. Mehrere der
Schwachstellen werden vom Hersteller als ‘kritisch’ eingestuft.
Google stellt die Patch Level 2018-04-01 und 2018-04-05 als
Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der
Patch Level 2018-04-01 behebt dabei allgemeine Schwachstellen im Google
Android Betriebssystem und dort eingesetzten Bibliotheken und Frameworks.
Der Patch Level 2018-04-05 behebt im Wesentlichen hardwarespezifische
Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener
Komponenten und Schwachstellen im Kernel des Systems. Hier werden neben
weiteren Schwachstellen im Kernel auch Komponenten der Hersteller Broadcom
und Qualcomm genannt. Mit diesem Patch-Level werden nicht weiter
beschriebene Mitigationen gegen die Schwachstelle Meltdown (CVE-2017-5754)
eingeführt und ein Qualcomm-spezifisches Problem im Kontext der WLAN-
Schwachstelle CRACK (CVE-2017-13077) behoben. Im Sicherheitshinweis wird im
Abschnitt Kernel fälschlicherweise die Schwachstelle CVE-2017-1653 genannt,
hier wurde die Schwachstelle CVE-2017-16534 im USB-Treiber behoben.
Abschließend nennt der Hersteller im Sicherheitshinweis für Android 250
weitere Schwachstellen, die nicht-quelloffene Komponenten des Herstellers
Qualcomm betreffen und die in den Jahren 2014 bis 2016 von Qualcomm in AMSS
Security Bulletins oder Security Alerts veröffentlicht wurden. Die
Schwachstellen erhalten damit das aktuelle Security Patch-Level. Google
weist darauf hin, dass die Schwachstellen in vielen Android-Geräten bereits
mit früheren Sicherheitsupdates behoben worden sind (unter anderem von
Samsung mit dem Sicherheitsupdate im Februar).
Google kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein
Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die
Entwicklerseite zum Download zur Verfügung. Für Schwachstellen, welche
ausschließlich Google-Geräte betreffen, veröffentlicht der Hersteller eine
zusätzliche Sicherheitsmeldung (siehe Pixel?/?Nexus Security Bulletin des
Herstellers). Hier werden weitere Schwachstellen in verschiedenen
Systemkomponenten (unter anderem Kernel, Media Framework und System) und
Komponenten der Hersteller Broadcom und Qualcomm (unter anderem Camera,
WLAN, Modem und Audio) aufgeführt.
Samsung und LG veröffentlichen für einige Geräte Sicherheitsupdates, mit
denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen
behoben werden, die teilweise auch bereits mit früheren Android Security
Bulletins adressiert wurden. Samsung behebt zusätzlich mehrere
Schwachstellen für Geräte aus eigener Produktion; auch LG behebt eine solche
Schwachstelle. Als Patch-Level geben beide Hersteller ‘2018-04-01’ an.
Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser
Meldung oder früher über die Schwachstellen informiert.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0605]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
