Google veröffentlicht Android-Sicherheitspatch Stand Mai 2019

Google hat das monatliche Security Bulletin für Android freigegeben. Sicherheitslücken, die man schloss, stecken also im kommenden Mai-Patch, der auch schon direkt auf den Pixel-Geräten und hoffentlich bald auch auf anderen landet. Einen ganzen Schwung kritischer Lücken will man geschlossen haben, diese Lücken findet man beginnend ab Android 7.0.

Wie so häufig findet man eine Schwachstelle im Media Framework vor, die es einer lokalen bösartigen Anwendung ermöglichen könnte, beliebigen Code im Rahmen eines privilegierten Prozesses auszuführen. Wobei dieser Text schon fast ein Running Gag ist, denn es will mir nicht einleuchten, dass Google Monat für Monat diesen Fehler durchschleift, ohne eine Lösung zu finden. Vielleicht hat man einfach keine Lust mehr, den Text anzupassen und aktualisiert nur die einzelnen CVEs. Laut Google gibt es aber derzeit keine Berichte darüber, dass die Lücke ausgenutzt wird.

Neben den öffentlichen Lücken gibt es auch welche in Closed-Source-Komponenten von Qualcomm – hier hat man derzeit noch nichts offengelegt.

Übrigens: Das Pixel bekommt den Patch ja natürlich auch, allerdings nennt Google zur Stunde keine spezifischen Änderungen oder Neuerungen.

Framework

The vulnerability in this section could enable a local malicious application to bypass user interaction requirements in order to gain access to additional permissions.

CVE References Type Severity Updated AOSP versions
CVE-2019-2043 A-120484087 EoP Moderate 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

Media framework

The vulnerability in this section could enable a remote attacker using a specially crafted file to execute arbitrary code within the context of a privileged process.

CVE References Type Severity Updated AOSP versions
CVE-2019-2044 A-123701862 RCE Critical 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

System

The most severe vulnerability in this section could enable a remote attacker using a specially crafted PAC file to execute arbitrary code within the context of a privileged process.

CVE References Type Severity Updated AOSP versions
CVE-2019-2045 A-117554758 RCE Critical 7.0, 7.1.1, 7.1.2, 8.1, 9
CVE-2019-2046 A-117556220 RCE Critical 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2047 A-117607414 RCE Critical 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2049 A-120445479 EoP High 9
CVE-2019-2050 A-121327323 EoP High 8.0, 8.1, 9
CVE-2019-2051 A-117555811 ID High 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2052 A-117556606 ID High 7.0, 7.1.1, 7.1.2, 8.1, 9
CVE-2019-2053 A-122074159 ID High 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

2 Kommentare

  1. Wird auch soeben schon auf dem Pixel 3 angeboten.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.