Bundesamt für Sicherheit in der Informationstechnik

CB-K17/2103 Update 1

Risikostufe 5

Titel:Google Android Operating System: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen ProgrammcodesDatum:07.12.2017Software:Google Android Operating System < 5.1.1 2017-12-05, Google Android Operating System < 6.0 2017-12-05, Google Android Operating System < 6.0.1 2017-12-05, Google Android Operating System < 7.0 2017-12-05, Google Android Operating System < 7.1.1 2017-12-05, Google Android Operating System < 7.1.2 2017-12-05, Google Android Operating System < 8.0 2017-12-05, LG Mobile Android < SMR-DEC-2017, Samsung Mobile Android < SMR-DEC-2017Plattform:Google Nexus, Google Pixel, Google Android Operating System, LG Mobile Android, Samsung Mobile AndroidAuswirkung:Ausführen beliebigen Programmcodes mit den Rechten des DienstesRemoteangriff:JaRisiko:sehr hochCVE Liste:CVE-2016-3706, CVE-2016-4429, CVE-2016-5341, CVE-2017-0564, CVE-2017-0807, CVE-2017-0837, CVE-2017-0870, CVE-2017-0871, CVE-2017-0872, CVE-2017-0873, CVE-2017-0874, CVE-2017-0876, CVE-2017-0877, CVE-2017-0878, CVE-2017-0879, CVE-2017-0880, CVE-2017-1000380, CVE-2017-11005, CVE-2017-11006, CVE-2017-11007, CVE-2017-11016, CVE-2017-11019, CVE-2017-11030, CVE-2017-11031, CVE-2017-11033, CVE-2017-11042, CVE-2017-11043, CVE-2017-11044, CVE-2017-11045, CVE-2017-11047, CVE-2017-11049, CVE-2017-13148, CVE-2017-13149, CVE-2017-13150, CVE-2017-13151, CVE-2017-13152, CVE-2017-13153, CVE-2017-13154, CVE-2017-13156, CVE-2017-13157, CVE-2017-13158, CVE-2017-13159, CVE-2017-13160, CVE-2017-13161, CVE-2017-13162, CVE-2017-13163, CVE-2017-13164, CVE-2017-13165, CVE-2017-13166, CVE-2017-13167, CVE-2017-13168, CVE-2017-13169, CVE-2017-13170, CVE-2017-13171, CVE-2017-13172, CVE-2017-13173, CVE-2017-13174, CVE-2017-13175, CVE-2017-14895, CVE-2017-14896, CVE-2017-14897, CVE-2017-14898, CVE-2017-14899, CVE-2017-14900, CVE-2017-14901, CVE-2017-14902, CVE-2017-14903, CVE-2017-14904, CVE-2017-14905, CVE-2017-14907, CVE-2017-14908, CVE-2017-14909, CVE-2017-14914, CVE-2017-14916, CVE-2017-14917, CVE-2017-14918, CVE-2017-15813, CVE-2017-15868, CVE-2017-6211, CVE-2017-6262, CVE-2017-6263, CVE-2017-6276, CVE-2017-6280, CVE-2017-7533, CVE-2017-8244, CVE-2017-8281, CVE-2017-9698, CVE-2017-9700, CVE-2017-9703, CVE-2017-9708, CVE-2017-9709, CVE-2017-9710, CVE-2017-9716, CVE-2017-9718, CVE-2017-9722Bezug: Android Security Bulletin - Dezember 2017

Beschreibung

Android ist ein Betriebssystem und eine Software-Plattform für mobile Geräte wie Smartphones, Mobiltelefone, Netbooks und Tablet-Computer. Sie wird von der Open Handset Alliance entwickelt, deren Hauptmitglied der Google-Konzern ist.

LG Mobile produziert Mobiltelefone mit einem angepassten Google Android Betriebssystem.

Samsung Mobile produziert Mobiltelefone mit einem angepassten Google Android Betriebssystem.

Mehrere Schwachstellen in Google Android 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 und 8.0 vor Patch Level 2017-12-05 ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste, die Erweiterung von Privilegien installierter Anwendungen, die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe, das Umgehen von Sicherheitsvorkehrungen, die eigentlich die Interaktion von Benutzern voraussetzen und das Ausspähen sensitiver Informationen. Eine kritische Schwachstelle in einer nicht näher spezifizierten Systemkomponente ermöglicht einem Angreifer in der Nähe des Geräts die Ausführung beliebigen Programmcodes mit den erweiterten Privilegien eines Dienstes. Die noch nicht näher beschriebene kritische Schwachstelle besteht also möglicherweise in der WLAN-, Bluetooth- oder einer anderen Nahfeldkommunikationskomponente. Google stellt die zwei Patch Level 2017-12-01 und 2017-12-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch Level 2017-12-01 behebt dabei allgemeine Schwachstellen im Google Android Betriebssystem und dort eingesetzten Bibliotheken und Frameworks, der Patch Level 2017-12-05 behebt im Wesentlichen hardwarespezifische Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener Komponenten und Schwachstellen im Kernel des Systems. Google kündigt für Google-Geräte (Nexus, Pixel) Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite ab dem 05.12.2017 zum Download zur Verfügung. Für Schwachstellen, welche ausschließlich Google-Geräte betreffen, veröffentlicht der Hersteller eine zusätzliche Sicherheitsmeldung (siehe Pixel / Nexus Security Bulletin des Herstellers). Samsung veröffentlicht für einige Geräte Sicherheitsupdates, mit denen eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise auch bereits mit früheren Android Security Bulletin adressiert wurden. Zusätzlich werden zehn Samsung-spezifische Schwachstellen und Verwundbarkeiten (SVEs) adressiert. Samsung teilt hierzu mit, dass einige SVEs, die mit dem aktuellen Sicherheitsupdate behoben werden, zum jetzigen Zeitpunkt noch nicht öffentlich bekannt gegeben werden können. Samsung stellt keine Informationen zum verwendeten Patch Level zur Verfügung. LG veröffentlicht für die unterstützten Geräte ein Sicherheitsupdate auf den von Google vorgegebenen Patch-Level 2017-12-01 und behebt damit ebenfalls eine Teilmenge der dort genannten Schwachstellen sowie eine weitere Schwachstelle, die nur Geräte von LG selbst betrifft. Andere Hersteller (Partner) wurden mindestens einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert. Informationen zu deren Sicherheitsupdates stehen zum gegenwärtigen Zeitpunkt noch aus.

Quellen:

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK