๐ Google Android vor 2016-07-05 auf Nexus 5X/Nexus 6P Qualcomm USB Driver f_serial.c erweiterte Rechte
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: vuldb.com
Eine Schwachstelle wurde in Google Android auf Nexus 5X/Nexus 6P entdeckt. Sie wurde als kritisch eingestuft. Es geht hierbei um eine unbekannte Funktion der Datei drivers/usb/gadget/f_serial.c der Komponente Qualcomm USB Driver. Durch das Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 06.07.2016 als Android Security Bulletin - July 2016 in Form eines bestätigten Security Bulletins (Website) herausgegeben. Auf source.android.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-2502 gehandelt. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Ein Aktualisieren auf die Version 2016-07-05 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat demzufolge unmittelbar gehandelt.
Von weiterem Interesse können die folgenden Einträge sein: 88897, 88898, 88899 und 88900.
CVSSv3
Base Score: ≈5.5 [?]Temp Score: ≈5.3 [?]
Vector: CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:C [?]
Zuverlässigkeit: Low
CVSSv2
Base Score: ≈4.1 (CVSS2#AV:A/AC:M/Au:S/C:P/I:P/A:P) [?]Temp Score: ≈3.6 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: Low
CPE
Exploiting
Klasse: Erweiterte RechteLokal: Ja
Remote: Nein
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Android 2016-07-05
Timeline
06.07.2016 Advisory veröffentlicht06.07.2016 Gegenmassnahme veröffentlicht
11.07.2016 VulDB Eintrag erstellt
11.07.2016 VulDB Eintrag aktualisiert
Quellen
Advisory: Android Security Bulletin - July 2016Status: Bestätigt
CVE: CVE-2016-2502 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 88897, 88898, 88899, 88900, 88901, 88902, 88903, 88904, 88905, 88906, 88907, 88908, 88909 , 88910
Eintrag
Erstellt: 11.07.2016Aktualisierung: 11.07.2016
Eintrag: 74.2% komplett
...