Kurzinfo CB-K17/0211 Update 1

5 Risiko: sehr hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Google Android Operating System: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme
Datum: 09.02.2017
Software: Google Android Operating System < 4.4.4 2017-02-05, Google Android Operating System < 5.0.2 2017-02-05, Google Android Operating System < 5.1.1 2017-02-05, Google Android Operating System < 6.0 2017-02-05, Google Android Operating System < 6.0.1 2017-02-05, Google Android Operating System < 7.0 2017-02-05, Google Android Operating System < 7.1.1 2017-02-05, LG Mobile Android < SMR-FEB-2107, Samsung Mobile Android < SMR-FEB-2107
Plattform: Android One, Google Nexus, Google Pixel, Google Android Operating System
Auswirkung: Ausführen beliebigen Programmcodes mit den Rechten des Dienstes
Remoteangriff: Ja
Risiko: sehr hoch
CVE Liste: CVE-2014-9914, CVE-2016-10044, CVE-2016-5552, CVE-2016-8414, CVE-2016-8418, CVE-2016-8419, CVE-2016-8420, CVE-2016-8421, CVE-2016-8476, CVE-2016-8480, CVE-2016-8481, CVE-2017-0405, CVE-2017-0406, CVE-2017-0407, CVE-2017-0408, CVE-2017-0409, CVE-2017-0410, CVE-2017-0411, CVE-2017-0412, CVE-2017-0413, CVE-2017-0414, CVE-2017-0415, CVE-2017-0416, CVE-2017-0417, CVE-2017-0418, CVE-2017-0419, CVE-2017-0420, CVE-2017-0421, CVE-2017-0422, CVE-2017-0423, CVE-2017-0424, CVE-2017-0425, CVE-2017-0426, CVE-2017-0427, CVE-2017-0428, CVE-2017-0429, CVE-2017-0430, CVE-2017-0431, CVE-2017-0432, CVE-2017-0433, CVE-2017-0434, CVE-2017-0435, CVE-2017-0436, CVE-2017-0437, CVE-2017-0438, CVE-2017-0439, CVE-2017-0440, CVE-2017-0441, CVE-2017-0442, CVE-2017-0443, CVE-2017-0444, CVE-2017-0445, CVE-2017-0446, CVE-2017-0447, CVE-2017-0448, CVE-2017-0449, CVE-2017-0450, CVE-2017-0451
Bezug: LG Mobile Sicherheitshinweis für Android SMR-FEB-2017
Revisions Historie
  • Version: 2

    Google hat seinen Sicherheitshinweis aktualisiert und, wie angekündigt, Links für Quellcode-Updates für das Android Open Source Project (AOSP) ergänzt.

  • Version: 1

    Neues Advisory

Beschreibung

Android ist ein Betriebssystem und eine Software-Plattform für mobile Geräte wie Smartphones, Mobiltelefone, Netbooks und Tablet-Computer. Sie wird von der Open Handset Alliance entwickelt, deren Hauptmitglied der Google-Konzern ist.

LG Mobile produziert Mobiltelefone mit einem angepassten Google Android Betriebssystem.

Samsung Mobile produziert Mobiltelefone mit einem angepassten Google Android Betriebssystem.

Mehrere Schwachstellen in Google Android 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 und 7.1.1 vor Version 2017-02-05 ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes im Kontext des Kernels und damit die komplette Systemübernahme, die Ausführung beliebigen Programmcodes mit Rechten privilegierter Dienste wie dem Mediaserver, die Erweiterung von Privilegien installierter Anwendungen, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen und einen Denial-of-Service-Angriff. Eine Schwachstelle besteht in der von Google Android verwendeten 'Java.net'-Bibliothek und ermöglicht einem entfernten, nicht authentifizierten Angreifer mit Hilfe speziell präparierter Webseiten die Weiterleitung auf andere Webseiten ohne die Zustimmung des Benutzers. Eine weitere Schwachstelle in der Bluetooth-Komponente ermöglicht einem nicht authentifizierten Angreifer in der Nähe eines betroffenen Geräts die Verwaltung des Zugangs zu Dokumenten auf diesem Gerät. Die Auswirkungen einiger der Schwachstellen können nur durch Zurücksetzen auf Werkseinstellungen oder durch die erneute Installation des Betriebssystems behoben werden. Google stellt am 06. Februar 2017 für Google-Geräte Sicherheitsupdates durch ein Over-the-air-Update (OTA) bereit, stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung und informiert darüber, dass der referenzierte Sicherheitshinweis aktualisiert wird, sobald Quellcode-Updates für das Android Open Source Project (AOSP) erhältlich sind. Andere Hersteller wurden am 03. Januar 2017 oder früher über die Schwachstellen informiert. Die Hersteller BlackBerry, LG und Samsung stellen bereits Sicherheitsupdates für einige Geräte bereit, die unterschiedliche Teilmengen der referenzierten Schwachstellen beheben. LG und Samsung adressieren mit den Sicherheitsupdates zusätzlich mehrere herstellerspezifische Schwachstellen und verschiedene Schwachstellen aus älteren Sicherheitshinweisen für Google Android. LG gibt als Patch Level 2107-02-01 an, Samsung stellt keine Informationen zum verwendeten Patch Level zur Verfügung. Mit diesem Sicherheitshinweis stellt Google die Patch Level 2017-02-01 und 2017-02-05 bereit, um die Schwachstellen zu beheben. Der Patch Level 2017-02-01 behebt allgemeine Schwachstellen im Google Android Betriebssystem, der Patch Level 2017-02-05 behebt hauptsächlich hardwarespezifische Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener Komponenten.

  1. LG Mobile Sicherheitshinweis für Android SMR-FEB-2017

  2. Samsung Android Security Updates SMR-FEB-2017

  3. Schwachstelle CVE-2016-5552 (NVD)

  4. Android Security Bulletin - February 2017

  5. Schwachstelle CVE-2014-9914 (NVD)

  6. Schwachstelle CVE-2016-10044 (NVD)

  7. Schwachstelle CVE-2016-8414 (NVD)

  8. Schwachstelle CVE-2016-8418 (NVD)

  9. Schwachstelle CVE-2016-8419 (NVD)

  10. Schwachstelle CVE-2016-8420 (NVD)

  11. Schwachstelle CVE-2016-8421 (NVD)

  12. Schwachstelle CVE-2016-8476 (NVD)

  13. Schwachstelle CVE-2016-8480 (NVD)

  14. Schwachstelle CVE-2016-8481 (NVD)

  15. Schwachstelle CVE-2017-0405 (NVD)

  16. Schwachstelle CVE-2017-0406 (NVD)

  17. Schwachstelle CVE-2017-0407 (NVD)

  18. Schwachstelle CVE-2017-0408 (NVD)

  19. Schwachstelle CVE-2017-0409 (NVD)

  20. Schwachstelle CVE-2017-0410 (NVD)

  21. Schwachstelle CVE-2017-0411 (NVD)

  22. Schwachstelle CVE-2017-0412 (NVD)

  23. Schwachstelle CVE-2017-0413 (NVD)

  24. Schwachstelle CVE-2017-0414 (NVD)

  25. Schwachstelle CVE-2017-0415 (NVD)

  26. Schwachstelle CVE-2017-0416 (NVD)

  27. Schwachstelle CVE-2017-0417 (NVD)

  28. Schwachstelle CVE-2017-0418 (NVD)

  29. Schwachstelle CVE-2017-0419 (NVD)

  30. Schwachstelle CVE-2017-0420 (NVD)

  31. Schwachstelle CVE-2017-0421 (NVD)

  32. Schwachstelle CVE-2017-0422 (NVD)

  33. Schwachstelle CVE-2017-0423 (NVD)

  34. Schwachstelle CVE-2017-0424 (NVD)

  35. Schwachstelle CVE-2017-0425 (NVD)

  36. Schwachstelle CVE-2017-0426 (NVD)

  37. Schwachstelle CVE-2017-0427 (NVD)

  38. Schwachstelle CVE-2017-0428 (NVD)

  39. Schwachstelle CVE-2017-0429 (NVD)

  40. Schwachstelle CVE-2017-0430 (NVD)

  41. Schwachstelle CVE-2017-0431 (NVD)

  42. Schwachstelle CVE-2017-0432 (NVD)

  43. Schwachstelle CVE-2017-0433 (NVD)

  44. Schwachstelle CVE-2017-0434 (NVD)

  45. Schwachstelle CVE-2017-0435 (NVD)

  46. Schwachstelle CVE-2017-0436 (NVD)

  47. Schwachstelle CVE-2017-0437 (NVD)

  48. Schwachstelle CVE-2017-0438 (NVD)

  49. Schwachstelle CVE-2017-0439 (NVD)

  50. Schwachstelle CVE-2017-0440 (NVD)

  51. Schwachstelle CVE-2017-0441 (NVD)

  52. Schwachstelle CVE-2017-0442 (NVD)

  53. Schwachstelle CVE-2017-0443 (NVD)

  54. Schwachstelle CVE-2017-0444 (NVD)

  55. Schwachstelle CVE-2017-0445 (NVD)

  56. Schwachstelle CVE-2017-0446 (NVD)

  57. Schwachstelle CVE-2017-0447 (NVD)

  58. Schwachstelle CVE-2017-0448 (NVD)

  59. Schwachstelle CVE-2017-0449 (NVD)

  60. Schwachstelle CVE-2017-0450 (NVD)

  61. Schwachstelle CVE-2017-0451 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.