Meerdere kwetsbaarheden verholpen in Google Android

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Meerdere kwetsbaarheden verholpen in Google Android
Advisory ID     : NCSC-2019-0102
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2016-6684, CVE-2017-17760, CVE-2017-18009,
                  CVE-2018-5268, CVE-2018-5269, CVE-2018-5839,
                  CVE-2018-6267, CVE-2018-6268, CVE-2018-6271,
                  CVE-2018-10879, CVE-2018-11262, CVE-2018-11268,
                  CVE-2018-11275, CVE-2018-11280, CVE-2018-11289,
                  CVE-2018-11820, CVE-2018-11845, CVE-2018-11864,
                  CVE-2018-11921, CVE-2018-11931, CVE-2018-11932,
                  CVE-2018-11935, CVE-2018-11938, CVE-2018-11945,
                  CVE-2018-11948, CVE-2018-13900, CVE-2018-13904,
                  CVE-2018-13905, CVE-2019-1986, CVE-2019-1987,
                  CVE-2019-1988, CVE-2019-1991, CVE-2019-1992,
                  CVE-2019-1993, CVE-2019-1994, CVE-2019-1995,
                  CVE-2019-1996, CVE-2019-1997, CVE-2019-1998,
                  CVE-2019-1999, CVE-2019-2000, CVE-2019-2001
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Remote code execution (Administrator/Root rechten)
                  Remote code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
                  Verhoogde gebruikersrechten
Uitgiftedatum   : 20190206
Toepassing      :
Versie(s)       : 7.0
                  7.1.1
                  7.1.2
                  8.0
                  8.1
                  9
Platform(s)     : Google Android Operating System

Beschrijving
   Google heeft meerdere kwetsbaarheden verholpen in Android. Een
   kwaadwillende kan de kwetsbaarheden mogelijk misbruiken om verhoogde
   rechten te verkrijgen, om toegang tot gegevens te verkrijgen, om
   willekeurige code uit te voeren (al dan niet met verhoogde rechten),
   of om een Denial-of-Service (DoS) te veroorzaken.

   De meest kritieke kwetsbaarheid die verholpen wordt middels deze
   update bevindt zich in het Framework. Een kwaadwillende op afstand
   kan de kwetsbaarheid mogelijk misbruiken om willekeurige code uit te
   voeren met verhoogde rechten. Om de kwetsbaarheid te misbruiken moet
   de kwaadwillende een gebruiker verleiden om een malafide PNG-bestand
   te openen. Google stelt dat het geen indicatie van actief misbruik
   heeft.

   Google heeft de kwetsbaarheden met kenmerk CVE-2019-1986,
   CVE-2019-1987, CVE-2019-1988, CVE-2019-1991, CVE-2019-1992,
   CVE-2018-6271, CVE-2018-11262, CVE-2018-11289, CVE-2018-11820,
   CVE-2018-11938 en CVE-2018-11945 geïdentificeerd met een 'kritieke'
   impact en de overige met een 'hoge' of 'gemiddelde' impact.

   - Beveiligings-update 1-2-2019 (patch level):

   Framework
   Er zijn drie kritieke kwetsbaarheden verholpen in het Framework. De
   meest kritieke kwetsbaarheid stelt een kwaadwillende in staat om
   willekeurige code uit te voeren met verhoogde rechten door middel
   van het openen van een malafide PNG-bestand.

   Library
   Er bevinden zich drie kwetsbaarheden met de impact 'hoog' in deze
   sectie. Een kwaadwillende kan de kwetsbaarheden mogelijk misbruiken
   om willekeurige code uit te voeren met gebruikersrechten. Om de
   kwetsbaarheden te misbruiken dient de kwaadwillende de gebruiker te
   verleiden om een malafide bestand te openen.

   System
   Er bevinden zich twee kwetsbaarheden met de impact 'kritiek' in deze
   sectie. Een kwaadwillende kan de kwetsbaarheden mogelijk misbruiken
   om willekeurige code uit te voeren met verhoogde rechten.

   - Beveiligings-update 5-2-2019 (patch level):

   Kernel
   Er bevinden zich vier kwetsbaarheden in de kernel-componenten met de
   impact 'hoog'. Een kwaadwillende kan de kwetsbaarheden mogelijk
   misbruiken om verhoogde rechten te verkrijgen.

   Nvidia-componenten
   Er bevinden zich meerdere kwetsbaarheden in de Nvidia-componenten.
   Een daarvan heeft de impact 'kritiek'. Een kwaadwillende kan de
   kwetsbaarheid mogelijk misbruiken om willekeurige code uit te voeren
   met verhoogde rechten. Om de kwetsbaarheid te misbruiken dient de
   kwaadwillende een gebruiker te verleiden om een malafide bestand uit
   te voeren.

   Qualcomm-componenten / Qualcomm closed-source componenten
   Er bevinden zich meerdere kwetsbaarheden in de Qualcomm-componenten.
   Vijf daarvan hebbende impact 'kritiek'. De kwetsbaarheden betreffen
   de Qualcomm-componenten die nader worden beschreven in de
   desbetreffende Qualcomm AMSS security bulletin's of security
   alert's. Qualcommm verzorgt de inschaling van deze kwetsbaarheden.

Mogelijke oplossingen
   Google heeft updates beschikbaar gesteld voor Android om de
   kwetsbaarheden te verhelpen. Meer informatie kunt u vinden op
   onderstaande pagina:

   https://source.android.com/security/bulletin/2019-02-01

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.1 (Build 824)
Charset: utf-8
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=NXbV
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig