Kurzinfo CB-K17/2103 Update 1

5 Risiko: sehr hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Google Android Operating System: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Datum: 07.12.2017
Software: Google Android Operating System < 5.1.1 2017-12-05, Google Android Operating System < 6.0 2017-12-05, Google Android Operating System < 6.0.1 2017-12-05, Google Android Operating System < 7.0 2017-12-05, Google Android Operating System < 7.1.1 2017-12-05, Google Android Operating System < 7.1.2 2017-12-05, Google Android Operating System < 8.0 2017-12-05, LG Mobile Android < SMR-DEC-2017, Samsung Mobile Android < SMR-DEC-2017
Plattform: Google Nexus, Google Pixel, Google Android Operating System, LG Mobile Android, Samsung Mobile Android
Auswirkung: Ausführen beliebigen Programmcodes mit den Rechten des Dienstes
Remoteangriff: Ja
Risiko: sehr hoch
CVE Liste: CVE-2016-3706, CVE-2016-4429, CVE-2016-5341, CVE-2017-0564, CVE-2017-0807, CVE-2017-0837, CVE-2017-0870, CVE-2017-0871, CVE-2017-0872, CVE-2017-0873, CVE-2017-0874, CVE-2017-0876, CVE-2017-0877, CVE-2017-0878, CVE-2017-0879, CVE-2017-0880, CVE-2017-1000380, CVE-2017-11005, CVE-2017-11006, CVE-2017-11007, CVE-2017-11016, CVE-2017-11019, CVE-2017-11030, CVE-2017-11031, CVE-2017-11033, CVE-2017-11042, CVE-2017-11043, CVE-2017-11044, CVE-2017-11045, CVE-2017-11047, CVE-2017-11049, CVE-2017-13148, CVE-2017-13149, CVE-2017-13150, CVE-2017-13151, CVE-2017-13152, CVE-2017-13153, CVE-2017-13154, CVE-2017-13156, CVE-2017-13157, CVE-2017-13158, CVE-2017-13159, CVE-2017-13160, CVE-2017-13161, CVE-2017-13162, CVE-2017-13163, CVE-2017-13164, CVE-2017-13165, CVE-2017-13166, CVE-2017-13167, CVE-2017-13168, CVE-2017-13169, CVE-2017-13170, CVE-2017-13171, CVE-2017-13172, CVE-2017-13173, CVE-2017-13174, CVE-2017-13175, CVE-2017-14895, CVE-2017-14896, CVE-2017-14897, CVE-2017-14898, CVE-2017-14899, CVE-2017-14900, CVE-2017-14901, CVE-2017-14902, CVE-2017-14903, CVE-2017-14904, CVE-2017-14905, CVE-2017-14907, CVE-2017-14908, CVE-2017-14909, CVE-2017-14914, CVE-2017-14916, CVE-2017-14917, CVE-2017-14918, CVE-2017-15813, CVE-2017-15868, CVE-2017-6211, CVE-2017-6262, CVE-2017-6263, CVE-2017-6276, CVE-2017-6280, CVE-2017-7533, CVE-2017-8244, CVE-2017-8281, CVE-2017-9698, CVE-2017-9700, CVE-2017-9703, CVE-2017-9708, CVE-2017-9709, CVE-2017-9710, CVE-2017-9716, CVE-2017-9718, CVE-2017-9722
Bezug: Android Security Bulletin - Dezember 2017
Revisions Historie
  • Version: 2

    Google hat seinen Sicherheitshinweis aktualisiert und Links für Quellcode-Updates für das Android Open Source Project (AOSP) ergänzt.

  • Version: 1

    Neues Advisory

Beschreibung

Android ist ein Betriebssystem und eine Software-Plattform für mobile Geräte wie Smartphones, Mobiltelefone, Netbooks und Tablet-Computer. Sie wird von der Open Handset Alliance entwickelt, deren Hauptmitglied der Google-Konzern ist.

LG Mobile produziert Mobiltelefone mit einem angepassten Google Android Betriebssystem.

Samsung Mobile produziert Mobiltelefone mit einem angepassten Google Android Betriebssystem.

Mehrere Schwachstellen in Google Android 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 und 8.0 vor Patch Level 2017-12-05 ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste, die Erweiterung von Privilegien installierter Anwendungen, die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe, das Umgehen von Sicherheitsvorkehrungen, die eigentlich die Interaktion von Benutzern voraussetzen und das Ausspähen sensitiver Informationen. Eine kritische Schwachstelle in einer nicht näher spezifizierten Systemkomponente ermöglicht einem Angreifer in der Nähe des Geräts die Ausführung beliebigen Programmcodes mit den erweiterten Privilegien eines Dienstes. Die noch nicht näher beschriebene kritische Schwachstelle besteht also möglicherweise in der WLAN-, Bluetooth- oder einer anderen Nahfeldkommunikationskomponente. Google stellt die zwei Patch Level 2017-12-01 und 2017-12-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch Level 2017-12-01 behebt dabei allgemeine Schwachstellen im Google Android Betriebssystem und dort eingesetzten Bibliotheken und Frameworks, der Patch Level 2017-12-05 behebt im Wesentlichen hardwarespezifische Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener Komponenten und Schwachstellen im Kernel des Systems. Google kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite ab dem 05.12.2017 zum Download zur Verfügung. Für Schwachstellen, welche ausschließlich Google-Geräte betreffen, veröffentlicht der Hersteller eine zusätzliche Sicherheitsmeldung (siehe Pixel / Nexus Security Bulletin des Herstellers). Samsung veröffentlicht für einige Geräte Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletin adressiert wurden. Zusätzlich werden zehn Samsung-spezifische Schwachstellen und Verwundbarkeiten (SVEs) adressiert. Samsung teilt hierzu mit, dass einige SVEs, die mit dem aktuellen Sicherheitsupdate behoben werden, zum jetzigen Zeitpunkt noch nicht öffentlich bekannt gegeben werden können. Samsung stellt keine Informationen zum verwendeten Patch Level zur Verfügung. LG veröffentlicht für die unterstützten Geräte ein Sicherheitsupdate auf den von Google vorgegebenen Patch-Level 2017-12-01 und behebt damit ebenfalls eine Teilmenge der dort genannten Schwachstellen sowie eine weitere Schwachstelle, die nur Geräte von LG selbst betrifft. Andere Hersteller (Partner) wurden mindestens einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert. Informationen zu deren Sicherheitsupdates stehen zum gegenwärtigen Zeitpunkt noch aus.

  1. Schwachstelle CVE-2016-3706 (NVD)

  2. Schwachstelle CVE-2016-4429 (NVD)

  3. Schwachstelle CVE-2016-5341 (NVD)

  4. Schwachstelle CVE-2017-0564 (NVD)

  5. Schwachstelle CVE-2017-0873 (NVD)

  6. Schwachstelle CVE-2017-8244 (NVD)

  7. Schwachstelle CVE-2017-1000380 (NVD)

  8. Schwachstelle CVE-2017-7533 (NVD)

  9. Schwachstelle CVE-2017-8281 (NVD)

  10. Schwachstelle CVE-2017-0807 (NVD)

  11. Android Security Bulletin - Dezember 2017

  12. LG Mobile Sicherheitshinweis für Android SMR-DEC-2017

  13. Pixel / Nexus Security Bulletin - Dezember 2017

  14. Samsung Mobile Sicherheitshinweis für Android SMR-NOV-2017

  15. Schwachstelle CVE-2017-0837 (NVD)

  16. Schwachstelle CVE-2017-0870 (NVD)

  17. Schwachstelle CVE-2017-0871 (NVD)

  18. Schwachstelle CVE-2017-0872 (NVD)

  19. Schwachstelle CVE-2017-0874 (NVD)

  20. Schwachstelle CVE-2017-0876 (NVD)

  21. Schwachstelle CVE-2017-0877 (NVD)

  22. Schwachstelle CVE-2017-0878 (NVD)

  23. Schwachstelle CVE-2017-0879 (NVD)

  24. Schwachstelle CVE-2017-0880 (NVD)

  25. Schwachstelle CVE-2017-11005 (NVD)

  26. Schwachstelle CVE-2017-11006 (NVD)

  27. Schwachstelle CVE-2017-11007 (NVD)

  28. Schwachstelle CVE-2017-11016 (NVD)

  29. Schwachstelle CVE-2017-11019 (NVD)

  30. Schwachstelle CVE-2017-11030 (NVD)

  31. Schwachstelle CVE-2017-11031 (NVD)

  32. Schwachstelle CVE-2017-11033 (NVD)

  33. Schwachstelle CVE-2017-11042 (NVD)

  34. Schwachstelle CVE-2017-11043 (NVD)

  35. Schwachstelle CVE-2017-11044 (NVD)

  36. Schwachstelle CVE-2017-11045 (NVD)

  37. Schwachstelle CVE-2017-11047 (NVD)

  38. Schwachstelle CVE-2017-11049 (NVD)

  39. Schwachstelle CVE-2017-13148 (NVD)

  40. Schwachstelle CVE-2017-13149 (NVD)

  41. Schwachstelle CVE-2017-13150 (NVD)

  42. Schwachstelle CVE-2017-13151 (NVD)

  43. Schwachstelle CVE-2017-13152 (NVD)

  44. Schwachstelle CVE-2017-13153 (NVD)

  45. Schwachstelle CVE-2017-13154 (NVD)

  46. Schwachstelle CVE-2017-13156 (NVD)

  47. Schwachstelle CVE-2017-13157 (NVD)

  48. Schwachstelle CVE-2017-13158 (NVD)

  49. Schwachstelle CVE-2017-13159 (NVD)

  50. Schwachstelle CVE-2017-13160 (NVD)

  51. Schwachstelle CVE-2017-13161 (NVD)

  52. Schwachstelle CVE-2017-13162 (NVD)

  53. Schwachstelle CVE-2017-13163 (NVD)

  54. Schwachstelle CVE-2017-13164 (NVD)

  55. Schwachstelle CVE-2017-13165 (NVD)

  56. Schwachstelle CVE-2017-13166 (NVD)

  57. Schwachstelle CVE-2017-13167 (NVD)

  58. Schwachstelle CVE-2017-13168 (NVD)

  59. Schwachstelle CVE-2017-13169 (NVD)

  60. Schwachstelle CVE-2017-13170 (NVD)

  61. Schwachstelle CVE-2017-13171 (NVD)

  62. Schwachstelle CVE-2017-13172 (NVD)

  63. Schwachstelle CVE-2017-13173 (NVD)

  64. Schwachstelle CVE-2017-13174 (NVD)

  65. Schwachstelle CVE-2017-13175 (NVD)

  66. Schwachstelle CVE-2017-14895 (NVD)

  67. Schwachstelle CVE-2017-14896 (NVD)

  68. Schwachstelle CVE-2017-14897 (NVD)

  69. Schwachstelle CVE-2017-14898 (NVD)

  70. Schwachstelle CVE-2017-14899 (NVD)

  71. Schwachstelle CVE-2017-14900 (NVD)

  72. Schwachstelle CVE-2017-14901 (NVD)

  73. Schwachstelle CVE-2017-14902 (NVD)

  74. Schwachstelle CVE-2017-14903 (NVD)

  75. Schwachstelle CVE-2017-14904 (NVD)

  76. Schwachstelle CVE-2017-14905 (NVD)

  77. Schwachstelle CVE-2017-14907 (NVD)

  78. Schwachstelle CVE-2017-14908 (NVD)

  79. Schwachstelle CVE-2017-14909 (NVD)

  80. Schwachstelle CVE-2017-14914 (NVD)

  81. Schwachstelle CVE-2017-14916 (NVD)

  82. Schwachstelle CVE-2017-14917 (NVD)

  83. Schwachstelle CVE-2017-14918 (NVD)

  84. Schwachstelle CVE-2017-15813 (NVD)

  85. Schwachstelle CVE-2017-15868 (NVD)

  86. Schwachstelle CVE-2017-6211 (NVD)

  87. Schwachstelle CVE-2017-6262 (NVD)

  88. Schwachstelle CVE-2017-6263 (NVD)

  89. Schwachstelle CVE-2017-6276 (NVD)

  90. Schwachstelle CVE-2017-6280 (NVD)

  91. Schwachstelle CVE-2017-9698 (NVD)

  92. Schwachstelle CVE-2017-9700 (NVD)

  93. Schwachstelle CVE-2017-9703 (NVD)

  94. Schwachstelle CVE-2017-9708 (NVD)

  95. Schwachstelle CVE-2017-9709 (NVD)

  96. Schwachstelle CVE-2017-9710 (NVD)

  97. Schwachstelle CVE-2017-9716 (NVD)

  98. Schwachstelle CVE-2017-9718 (NVD)

  99. Schwachstelle CVE-2017-9722 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.