Kurzinfo CB-K17/1892

5 Risiko: sehr hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Google Android Operating System: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Datum: 07.11.2017
Software: Google Android Operating System < 5.0.2 2017-11-06, Google Android Operating System < 5.1.1 2017-11-06, Google Android Operating System < 6.0 2017-11-06, Google Android Operating System < 6.0.1 2017-11-06, Google Android Operating System < 7.0 2017-11-06, Google Android Operating System < 7.1.1 2017-11-06, Google Android Operating System < 7.1.2 2017-11-06, Google Android Operating System < 8.0 2017-11-06, LG Mobile Android < SMR-NOV-2017, Samsung Mobile Android < SMR-NOV-2017
Plattform: Google Nexus, Google Pixel, Google Android Operating System, LG Mobile Android, Samsung Mobile Android
Auswirkung: Ausführen beliebigen Programmcodes mit den Rechten des Dienstes
Remoteangriff: Ja
Risiko: sehr hoch
CVE Liste: CVE-2016-2105, CVE-2016-2106, CVE-2017-0830, CVE-2017-0831, CVE-2017-0832, CVE-2017-0833, CVE-2017-0834, CVE-2017-0835, CVE-2017-0836, CVE-2017-0838, CVE-2017-0839, CVE-2017-0840, CVE-2017-0841, CVE-2017-0842, CVE-2017-0843, CVE-2017-0845, CVE-2017-0847, CVE-2017-0848, CVE-2017-0849, CVE-2017-0850, CVE-2017-0851, CVE-2017-0852, CVE-2017-0853, CVE-2017-0854, CVE-2017-0857, CVE-2017-0858, CVE-2017-0859, CVE-2017-0860, CVE-2017-0861, CVE-2017-0862, CVE-2017-0863, CVE-2017-0864, CVE-2017-0865, CVE-2017-0866, CVE-2017-11012, CVE-2017-11013, CVE-2017-11014, CVE-2017-11015, CVE-2017-11017, CVE-2017-11018, CVE-2017-11022, CVE-2017-11023, CVE-2017-11024, CVE-2017-11025, CVE-2017-11026, CVE-2017-11027, CVE-2017-11028, CVE-2017-11029, CVE-2017-11032, CVE-2017-11035, CVE-2017-11038, CVE-2017-11058, CVE-2017-11073, CVE-2017-11085, CVE-2017-11089, CVE-2017-11090, CVE-2017-11091, CVE-2017-11092, CVE-2017-11093, CVE-2017-11600, CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088, CVE-2017-3731, CVE-2017-6001, CVE-2017-6264, CVE-2017-6274, CVE-2017-6275, CVE-2017-7541, CVE-2017-8239, CVE-2017-8279, CVE-2017-9077, CVE-2017-9690, CVE-2017-9696, CVE-2017-9701, CVE-2017-9702, CVE-2017-9719, CVE-2017-9721
Bezug: Samsung Mobile Sicherheitshinweis für Android SMR-NOV-2017
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

Android ist ein Betriebssystem und eine Software-Plattform für mobile Geräte wie Smartphones, Mobiltelefone, Netbooks und Tablet-Computer. Sie wird von der Open Handset Alliance entwickelt, deren Hauptmitglied der Google-Konzern ist.

LG Mobile produziert Mobiltelefone mit einem angepassten Google Android Betriebssystem.

Samsung Mobile produziert Mobiltelefone mit einem angepassten Google Android Betriebssystem.

Mehrere Schwachstellen in Google Android 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 und 8.0 vor Patch Level 2017-11-06 ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste, die Erweiterung von Privilegien installierter Anwendungen, die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und das Ausspähen sensitiver Informationen. Daneben stehen mehrere Schwachstellen im WiFi-Treiber von Qualcomm-Chipsätzen besonders im Fokus, die einem Angreifer im benachbarten Netzwerk über speziell präparierte Datenpakete verschiedene Angriffe ermöglichen, die unter anderem die Kompromittierung betroffener Geräte zur Folge haben können. Detaillierte Informationen zu diesen Schwachstellen wurden zeitgleich mit der Veröffentlichung der Sicherheitsupdates durch den Sicherheitsforscher veröffentlicht, der diesen Treiber untersucht hat. Mehrere Schwachstellen im Vier-Wege-Handshake des Wi-Fi Netzwerkes, die unter dem Namen 'KRACK' bekannt geworden sind, ermöglichen es einem nicht authentisierten Angreifer im benachbarten Netzwerk WiFi Protected Access (WPA, WPA2)-Sitzungsschlüssel und weitere verwendete kryptografische Parameter erneut zu verwenden und dadurch letztendlich zu brechen. In mit WPA oder WPA2 gesicherten Funknetzwerken wird durch die Möglichkeit des Umgehens dieser Sicherheitsvorkehrung die Vertraulichkeit und ggf. Integrität der Daten gefährdet. Google stellt die drei Patch Level 2017-11-01, 2017-11-05 und 2017-11-06 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch Level 2017-11-01 behebt dabei allgemeine Schwachstellen im Google Android Betriebssystem und dort eingesetzten Bibliotheken und Frameworks, der Patch Level 2017-11-05 behebt im Wesentlichen hardwarespezifische Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener Komponenten und Schwachstellen im Kernel des Systems und der Patch Level 2017-11-06 adressiert die Schwachstellen im WPA2-Protokoll. Google stellt für Google Geräte Sicherheitsupdates durch ein Over-the-Air-Update (OTA) bereit und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Für Schwachstellen, welche ausschließlich Google-Geräte betreffen veröffentlicht Google nun eine zusätzliche Sicherheitsmeldung (siehe Pixel / Nexus Security Bulletin des Herstellers). Samsung veröffentlicht für einige Geräte Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie diverse weitere Schwachstellen behoben werden, die teilweise bereits mit dem October 2017 Android Security Bulletin adressiert wurden. Zusätzlich werden sechs Samsung-spezifische Schwachstellen und Verwundbarkeiten (SVEs) adressiert. Samsung teilt hierzu mit, dass einige SVEs, die mit dem aktuellen Sicherheitsupdate behoben werden, zum jetzigen Zeitpunkt noch nicht öffentlich bekannt gegeben werden können. Samsung stellt keine Informationen zum verwendeten Patch Level zur Verfügung. LG stellt ebenfalls Sicherheitsupdates für die Android Betriebssysteme einiger seiner eigenen Geräte bereit. Der Hersteller stellt mit dem SMR-NOV-2017 Sicherheitsupdate den Google Patch-Level 2017-11-01 zur Verfügung und behebt damit zwölf Schwachstellen und vier LG-spezifische Schwachstellen und Verwundbarkeiten (LVEs). Andere Hersteller (Partner) wurden mindestens einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert. Informationen zu deren Sicherheitsupdates stehen zum gegenwärtigen Zeitpunkt noch aus.

  1. Schwachstelle CVE-2016-2105 (NVD)

  2. Schwachstelle CVE-2016-2106 (NVD)

  3. Schwachstelle CVE-2017-3731 (NVD)

  4. Schwachstelle CVE-2017-6001 (NVD)

  5. Schwachstelle CVE-2017-9077 (NVD)

  6. Schwachstelle CVE-2017-8239 (NVD)

  7. Schwachstelle CVE-2017-7541 (NVD)

  8. Schwachstelle CVE-2017-11600 (NVD)

  9. Schwachstelle CVE-2017-13077 (NVD)

  10. Schwachstelle CVE-2017-13078 (NVD)

  11. Schwachstelle CVE-2017-13079 (NVD)

  12. Schwachstelle CVE-2017-13080 (NVD)

  13. Schwachstelle CVE-2017-13081 (NVD)

  14. Schwachstelle CVE-2017-13082 (NVD)

  15. Schwachstelle CVE-2017-13086 (NVD)

  16. Schwachstelle CVE-2017-13087 (NVD)

  17. Schwachstelle CVE-2017-13088 (NVD)

  18. Android Security Bulletin - November 2017

  19. LG Mobile Sicherheitshinweis für Android SMR-NOV-2017

  20. Pixel / Nexus Security Bulletin - November 2017

  21. Samsung Mobile Sicherheitshinweis für Android SMR-NOV-2017

  22. Schwachstelle CVE-2017-0830 (NVD)

  23. Schwachstelle CVE-2017-0831 (NVD)

  24. Schwachstelle CVE-2017-0832 (NVD)

  25. Schwachstelle CVE-2017-0833 (NVD)

  26. Schwachstelle CVE-2017-0834 (NVD)

  27. Schwachstelle CVE-2017-0835 (NVD)

  28. Schwachstelle CVE-2017-0836 (NVD)

  29. Schwachstelle CVE-2017-0838 (NVD)

  30. Schwachstelle CVE-2017-0839 (NVD)

  31. Schwachstelle CVE-2017-0840 (NVD)

  32. Schwachstelle CVE-2017-0841 (NVD)

  33. Schwachstelle CVE-2017-0842 (NVD)

  34. Schwachstelle CVE-2017-0843 (NVD)

  35. Schwachstelle CVE-2017-0845 (NVD)

  36. Schwachstelle CVE-2017-0847 (NVD)

  37. Schwachstelle CVE-2017-0848 (NVD)

  38. Schwachstelle CVE-2017-0849 (NVD)

  39. Schwachstelle CVE-2017-0850 (NVD)

  40. Schwachstelle CVE-2017-0851 (NVD)

  41. Schwachstelle CVE-2017-0852 (NVD)

  42. Schwachstelle CVE-2017-0853 (NVD)

  43. Schwachstelle CVE-2017-0854 (NVD)

  44. Schwachstelle CVE-2017-0857 (NVD)

  45. Schwachstelle CVE-2017-0858 (NVD)

  46. Schwachstelle CVE-2017-0859 (NVD)

  47. Schwachstelle CVE-2017-0860 (NVD)

  48. Schwachstelle CVE-2017-0861 (NVD)

  49. Schwachstelle CVE-2017-0862 (NVD)

  50. Schwachstelle CVE-2017-0863 (NVD)

  51. Schwachstelle CVE-2017-0864 (NVD)

  52. Schwachstelle CVE-2017-0865 (NVD)

  53. Schwachstelle CVE-2017-0866 (NVD)

  54. Schwachstelle CVE-2017-11012 (NVD)

  55. Schwachstelle CVE-2017-11013 (NVD)

  56. Schwachstelle CVE-2017-11014 (NVD)

  57. Schwachstelle CVE-2017-11015 (NVD)

  58. Schwachstelle CVE-2017-11017 (NVD)

  59. Schwachstelle CVE-2017-11018 (NVD)

  60. Schwachstelle CVE-2017-11022 (NVD)

  61. Schwachstelle CVE-2017-11023 (NVD)

  62. Schwachstelle CVE-2017-11024 (NVD)

  63. Schwachstelle CVE-2017-11025 (NVD)

  64. Schwachstelle CVE-2017-11026 (NVD)

  65. Schwachstelle CVE-2017-11027 (NVD)

  66. Schwachstelle CVE-2017-11028 (NVD)

  67. Schwachstelle CVE-2017-11029 (NVD)

  68. Schwachstelle CVE-2017-11032 (NVD)

  69. Schwachstelle CVE-2017-11035 (NVD)

  70. Schwachstelle CVE-2017-11038 (NVD)

  71. Schwachstelle CVE-2017-11058 (NVD)

  72. Schwachstelle CVE-2017-11073 (NVD)

  73. Schwachstelle CVE-2017-11085 (NVD)

  74. Schwachstelle CVE-2017-11089 (NVD)

  75. Schwachstelle CVE-2017-11090 (NVD)

  76. Schwachstelle CVE-2017-11091 (NVD)

  77. Schwachstelle CVE-2017-11092 (NVD)

  78. Schwachstelle CVE-2017-11093 (NVD)

  79. Schwachstelle CVE-2017-6264 (NVD)

  80. Schwachstelle CVE-2017-6274 (NVD)

  81. Schwachstelle CVE-2017-6275 (NVD)

  82. Schwachstelle CVE-2017-8279 (NVD)

  83. Schwachstelle CVE-2017-9690 (NVD)

  84. Schwachstelle CVE-2017-9696 (NVD)

  85. Schwachstelle CVE-2017-9701 (NVD)

  86. Schwachstelle CVE-2017-9702 (NVD)

  87. Schwachstelle CVE-2017-9719 (NVD)

  88. Schwachstelle CVE-2017-9721 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.