Google veröffentlicht Android-Sicherheitspatch Stand Mai 2019

Google hat das monatliche Security Bulletin für Android freigegeben. Sicherheitslücken, die man schloss, stecken also im kommenden Mai-Patch, der auch schon direkt auf den Pixel-Geräten und hoffentlich bald auch auf anderen landet. Einen ganzen Schwung kritischer Lücken will man geschlossen haben, diese Lücken findet man beginnend ab Android 7.0.

Wie so häufig findet man eine Schwachstelle im Media Framework vor, die es einer lokalen bösartigen Anwendung ermöglichen könnte, beliebigen Code im Rahmen eines privilegierten Prozesses auszuführen. Wobei dieser Text schon fast ein Running Gag ist, denn es will mir nicht einleuchten, dass Google Monat für Monat diesen Fehler durchschleift, ohne eine Lösung zu finden. Vielleicht hat man einfach keine Lust mehr, den Text anzupassen und aktualisiert nur die einzelnen CVEs. Laut Google gibt es aber derzeit keine Berichte darüber, dass die Lücke ausgenutzt wird.

Neben den öffentlichen Lücken gibt es auch welche in Closed-Source-Komponenten von Qualcomm – hier hat man derzeit noch nichts offengelegt.

Übrigens: Das Pixel bekommt den Patch ja natürlich auch, allerdings nennt Google zur Stunde keine spezifischen Änderungen oder Neuerungen.

Framework

The vulnerability in this section could enable a local malicious application to bypass user interaction requirements in order to gain access to additional permissions.

CVE References Type Severity Updated AOSP versions
CVE-2019-2043 A-120484087 EoP Moderate 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

Media framework

The vulnerability in this section could enable a remote attacker using a specially crafted file to execute arbitrary code within the context of a privileged process.

CVE References Type Severity Updated AOSP versions
CVE-2019-2044 A-123701862 RCE Critical 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

System

The most severe vulnerability in this section could enable a remote attacker using a specially crafted PAC file to execute arbitrary code within the context of a privileged process.

CVE References Type Severity Updated AOSP versions
CVE-2019-2045 A-117554758 RCE Critical 7.0, 7.1.1, 7.1.2, 8.1, 9
CVE-2019-2046 A-117556220 RCE Critical 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2047 A-117607414 RCE Critical 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2049 A-120445479 EoP High 9
CVE-2019-2050 A-121327323 EoP High 8.0, 8.1, 9
CVE-2019-2051 A-117555811 ID High 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2052 A-117556606 ID High 7.0, 7.1.1, 7.1.2, 8.1, 9
CVE-2019-2053 A-122074159 ID High 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

2 Kommentare

  1. Wird auch soeben schon auf dem Pixel 3 angeboten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.