Kurzinfo CB-K18/0004

5 Risiko: sehr hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Google Android Operating System: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste
Datum: 03.01.2018
Software: Google Android Operating System < 5.1.1 2018-01-05, Google Android Operating System < 6.0 2018-01-05, Google Android Operating System < 6.0.1 2018-01-05, Google Android Operating System < 7.0 2018-01-05, Google Android Operating System < 7.1.1 2018-01-05, Google Android Operating System < 7.1.2 2018-01-05, Google Android Operating System < 8.0 2018-01-05, Google Android Operating System < 8.1 2018-01-05, LG Mobile Android < SMR-JAN-2018, Samsung Mobile Android < SMR-JAN-2018
Plattform: Cisco Nexus, Google Pixel, Google Android Operating System, LG Mobile Android, Samsung Mobile Android
Auswirkung: Privilegieneskalation
Remoteangriff: Ja
Risiko: sehr hoch
CVE Liste: CVE-2013-4397, CVE-2017-0846, CVE-2017-0855, CVE-2017-0869, CVE-2017-11003, CVE-2017-11010, CVE-2017-11035, CVE-2017-11066, CVE-2017-11069, CVE-2017-11072, CVE-2017-11079, CVE-2017-11080, CVE-2017-11081, CVE-2017-11473, CVE-2017-13176, CVE-2017-13177, CVE-2017-13178, CVE-2017-13179, CVE-2017-13180, CVE-2017-13181, CVE-2017-13182, CVE-2017-13183, CVE-2017-13184, CVE-2017-13185, CVE-2017-13186, CVE-2017-13187, CVE-2017-13188, CVE-2017-13189, CVE-2017-13190, CVE-2017-13191, CVE-2017-13192, CVE-2017-13193, CVE-2017-13194, CVE-2017-13195, CVE-2017-13196, CVE-2017-13197, CVE-2017-13198, CVE-2017-13199, CVE-2017-13200, CVE-2017-13201, CVE-2017-13202, CVE-2017-13203, CVE-2017-13204, CVE-2017-13205, CVE-2017-13206, CVE-2017-13207, CVE-2017-13208, CVE-2017-13209, CVE-2017-13210, CVE-2017-13211, CVE-2017-13212, CVE-2017-13213, CVE-2017-13214, CVE-2017-13215, CVE-2017-13216, CVE-2017-13217, CVE-2017-13218, CVE-2017-13219, CVE-2017-13220, CVE-2017-13221, CVE-2017-13222, CVE-2017-13225, CVE-2017-13226, CVE-2017-14140, CVE-2017-14497, CVE-2017-14869, CVE-2017-14870, CVE-2017-14873, CVE-2017-14879, CVE-2017-14906, CVE-2017-14911, CVE-2017-14912, CVE-2017-14913, CVE-2017-14915, CVE-2017-15537, CVE-2017-15845, CVE-2017-15847, CVE-2017-15848, CVE-2017-15849, CVE-2017-15850, CVE-2017-9689, CVE-2017-9705, CVE-2017-9712
Bezug: LG Mobile Sicherheitshinweis für Android SMR-JAN-2018
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

Android ist ein Betriebssystem und eine Software-Plattform für mobile Geräte wie Smartphones, Mobiltelefone, Netbooks und Tablet-Computer. Sie wird von der Open Handset Alliance entwickelt, deren Hauptmitglied der Google-Konzern ist.

LG Mobile produziert Mobiltelefone mit einem angepassten Google Android Betriebssystem.

Samsung Mobile produziert Mobiltelefone mit einem angepassten Google Android Betriebssystem.

Mehrere Schwachstellen in Google Android 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 und 8.1 vor Patch Level 2018-01-05 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen einer Sicherheitsvorkehrung, die Privilegien beschränken soll und eigentlich eine Benutzerinteraktion erfordert, die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste wie dem Media Framework, die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und das Ausspähen sensitiver Informationen. Google stellt die zwei Patch Level 2018-01-01 und 2018-01-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch Level 2018-01-01 behebt dabei allgemeine Schwachstellen im Google Android Betriebssystem und dort eingesetzten Bibliotheken und Frameworks, der Patch Level 2018-01-05 behebt im Wesentlichen hardwarespezifische Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener Komponenten und Schwachstellen im Kernel des Systems. Hier werden neben Kernel und Media Framework Komponenten der Hersteller HTC, LG, MediaTek, NVIDIA und Qualcomm mit jeweils mindestens einer Schwachstelle genannt. Google kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und wird die Firmware-Images über die Entwicklerseite zum Download zur Verfügung stellen. Für Schwachstellen, welche ausschließlich Google-Geräte betreffen, veröffentlicht der Hersteller eine zusätzliche Sicherheitsmeldung (siehe Pixel / Nexus Security Bulletin des Herstellers). Hier werden weitere Schwachstellen in verschiedenen Systemkomponenten (unter anderem Kernel, Media Framework und System) und Komponenten der Hersteller Broadcom, HTC, MediaTek und Qualcomm (unter anderem Bootloader, WLAN-Treiber, Touchschreen und Mikrofon) aufgeführt. Samsung veröffentlicht für einige Geräte Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletins adressiert wurden. Zusätzlich werden acht neue Samsung-spezifische Schwachstellen und Verwundbarkeiten (SVEs) adressiert. Samsung stellt keine Informationen zum verwendeten Patch Level zur Verfügung. LG veröffentlicht für die unterstützten Geräte ein Sicherheitsupdate auf den von Google vorgegebenen Patch-Level 2018-01-01 und behebt damit ebenfalls eine Teilmenge der dort genannten Schwachstellen sowie zwei weitere Schwachstellen, die nur Geräte von LG selbst betreffen. Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

  1. Schwachstelle CVE-2013-4397 (NVD)

  2. Schwachstelle CVE-2017-11473 (NVD)

  3. Schwachstelle CVE-2017-14140 (NVD)

  4. Schwachstelle CVE-2017-14497 (NVD)

  5. Schwachstelle CVE-2017-15537 (NVD)

  6. Schwachstelle CVE-2017-11035 (NVD)

  7. Android Security Bulletin - Januar 2018

  8. LG Mobile Sicherheitshinweis für Android SMR-JAN-2018

  9. Pixel / Nexus Security Bulletin - Januar 2018

  10. Samsung Mobile Sicherheitshinweis für Android SMR-JAN-2018

  11. Schwachstelle CVE-2017-0846 (NVD)

  12. Schwachstelle CVE-2017-0855 (NVD)

  13. Schwachstelle CVE-2017-0869 (NVD)

  14. Schwachstelle CVE-2017-11003 (NVD)

  15. Schwachstelle CVE-2017-11010 (NVD)

  16. Schwachstelle CVE-2017-11066 (NVD)

  17. Schwachstelle CVE-2017-11069 (NVD)

  18. Schwachstelle CVE-2017-11072 (NVD)

  19. Schwachstelle CVE-2017-11079 (NVD)

  20. Schwachstelle CVE-2017-11080 (NVD)

  21. Schwachstelle CVE-2017-11081 (NVD)

  22. Schwachstelle CVE-2017-13176 (NVD)

  23. Schwachstelle CVE-2017-13177 (NVD)

  24. Schwachstelle CVE-2017-13178 (NVD)

  25. Schwachstelle CVE-2017-13179 (NVD)

  26. Schwachstelle CVE-2017-13180 (NVD)

  27. Schwachstelle CVE-2017-13181 (NVD)

  28. Schwachstelle CVE-2017-13182 (NVD)

  29. Schwachstelle CVE-2017-13183 (NVD)

  30. Schwachstelle CVE-2017-13184 (NVD)

  31. Schwachstelle CVE-2017-13185 (NVD)

  32. Schwachstelle CVE-2017-13186 (NVD)

  33. Schwachstelle CVE-2017-13187 (NVD)

  34. Schwachstelle CVE-2017-13188 (NVD)

  35. Schwachstelle CVE-2017-13189 (NVD)

  36. Schwachstelle CVE-2017-13190 (NVD)

  37. Schwachstelle CVE-2017-13191 (NVD)

  38. Schwachstelle CVE-2017-13192 (NVD)

  39. Schwachstelle CVE-2017-13193 (NVD)

  40. Schwachstelle CVE-2017-13194 (NVD)

  41. Schwachstelle CVE-2017-13195 (NVD)

  42. Schwachstelle CVE-2017-13196 (NVD)

  43. Schwachstelle CVE-2017-13197 (NVD)

  44. Schwachstelle CVE-2017-13198 (NVD)

  45. Schwachstelle CVE-2017-13199 (NVD)

  46. Schwachstelle CVE-2017-13200 (NVD)

  47. Schwachstelle CVE-2017-13201 (NVD)

  48. Schwachstelle CVE-2017-13202 (NVD)

  49. Schwachstelle CVE-2017-13203 (NVD)

  50. Schwachstelle CVE-2017-13204 (NVD)

  51. Schwachstelle CVE-2017-13205 (NVD)

  52. Schwachstelle CVE-2017-13206 (NVD)

  53. Schwachstelle CVE-2017-13207 (NVD)

  54. Schwachstelle CVE-2017-13208 (NVD)

  55. Schwachstelle CVE-2017-13209 (NVD)

  56. Schwachstelle CVE-2017-13210 (NVD)

  57. Schwachstelle CVE-2017-13211 (NVD)

  58. Schwachstelle CVE-2017-13212 (NVD)

  59. Schwachstelle CVE-2017-13213 (NVD)

  60. Schwachstelle CVE-2017-13214 (NVD)

  61. Schwachstelle CVE-2017-13215 (NVD)

  62. Schwachstelle CVE-2017-13216 (NVD)

  63. Schwachstelle CVE-2017-13217 (NVD)

  64. Schwachstelle CVE-2017-13218 (NVD)

  65. Schwachstelle CVE-2017-13219 (NVD)

  66. Schwachstelle CVE-2017-13220 (NVD)

  67. Schwachstelle CVE-2017-13221 (NVD)

  68. Schwachstelle CVE-2017-13222 (NVD)

  69. Schwachstelle CVE-2017-13225 (NVD)

  70. Schwachstelle CVE-2017-13226 (NVD)

  71. Schwachstelle CVE-2017-14869 (NVD)

  72. Schwachstelle CVE-2017-14870 (NVD)

  73. Schwachstelle CVE-2017-14873 (NVD)

  74. Schwachstelle CVE-2017-14879 (NVD)

  75. Schwachstelle CVE-2017-14906 (NVD)

  76. Schwachstelle CVE-2017-14911 (NVD)

  77. Schwachstelle CVE-2017-14912 (NVD)

  78. Schwachstelle CVE-2017-14913 (NVD)

  79. Schwachstelle CVE-2017-14915 (NVD)

  80. Schwachstelle CVE-2017-15845 (NVD)

  81. Schwachstelle CVE-2017-15847 (NVD)

  82. Schwachstelle CVE-2017-15848 (NVD)

  83. Schwachstelle CVE-2017-15849 (NVD)

  84. Schwachstelle CVE-2017-15850 (NVD)

  85. Schwachstelle CVE-2017-9689 (NVD)

  86. Schwachstelle CVE-2017-9705 (NVD)

  87. Schwachstelle CVE-2017-9712 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.