Google veröffentlicht Android-Sicherheitspatch Stand Mai 2019
Google hat das monatliche Security Bulletin für Android freigegeben. Sicherheitslücken, die man schloss, stecken also im kommenden Mai-Patch, der auch schon direkt auf den Pixel-Geräten und hoffentlich bald auch auf anderen landet. Einen ganzen Schwung kritischer Lücken will man geschlossen haben, diese Lücken findet man beginnend ab Android 7.0.
Wie so häufig findet man eine Schwachstelle im Media Framework vor, die es einer lokalen bösartigen Anwendung ermöglichen könnte, beliebigen Code im Rahmen eines privilegierten Prozesses auszuführen. Wobei dieser Text schon fast ein Running Gag ist, denn es will mir nicht einleuchten, dass Google Monat für Monat diesen Fehler durchschleift, ohne eine Lösung zu finden. Vielleicht hat man einfach keine Lust mehr, den Text anzupassen und aktualisiert nur die einzelnen CVEs. Laut Google gibt es aber derzeit keine Berichte darüber, dass die Lücke ausgenutzt wird.
Neben den öffentlichen Lücken gibt es auch welche in Closed-Source-Komponenten von Qualcomm – hier hat man derzeit noch nichts offengelegt.
Übrigens: Das Pixel bekommt den Patch ja natürlich auch, allerdings nennt Google zur Stunde keine spezifischen Änderungen oder Neuerungen.
Framework
The vulnerability in this section could enable a local malicious application to bypass user interaction requirements in order to gain access to additional permissions.
CVE | References | Type | Severity | Updated AOSP versions |
---|---|---|---|---|
CVE-2019-2043 | A-120484087 | EoP | Moderate | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
Media framework
The vulnerability in this section could enable a remote attacker using a specially crafted file to execute arbitrary code within the context of a privileged process.
CVE | References | Type | Severity | Updated AOSP versions |
---|---|---|---|---|
CVE-2019-2044 | A-123701862 | RCE | Critical | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
System
The most severe vulnerability in this section could enable a remote attacker using a specially crafted PAC file to execute arbitrary code within the context of a privileged process.
CVE | References | Type | Severity | Updated AOSP versions |
---|---|---|---|---|
CVE-2019-2045 | A-117554758 | RCE | Critical | 7.0, 7.1.1, 7.1.2, 8.1, 9 |
CVE-2019-2046 | A-117556220 | RCE | Critical | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
CVE-2019-2047 | A-117607414 | RCE | Critical | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
CVE-2019-2049 | A-120445479 | EoP | High | 9 |
CVE-2019-2050 | A-121327323 | EoP | High | 8.0, 8.1, 9 |
CVE-2019-2051 | A-117555811 | ID | High | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
CVE-2019-2052 | A-117556606 | ID | High | 7.0, 7.1.1, 7.1.2, 8.1, 9 |
CVE-2019-2053 | A-122074159 | ID | High | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
Wird auch soeben schon auf dem Pixel 3 angeboten.
Ich gönne mir zum Frühstück gleich eine Knoblauchbockwurst mit Brötchen und Senf.