📚 Google Android bis 4.4.3/5.0.1/5.1.0/6.x Mediaserver Use-After-Free Pufferüberlauf

🕛 Zeit seit Veröffentlichung: 2844 Tage, 20 Stunden 57 Minuten
📆 Veröffentlicht am: 06.07.2016 um 02:00 Uhr
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com

In Google Android bis 4.4.3/5.0.1/5.1.0/6.x wurde eine kritische Schwachstelle gefunden. Betroffen ist eine unbekannte Funktion der Komponente Mediaserver. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle (Use-After-Free) ausgenutzt werden. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 06.07.2016 als Android Security Bulletin - July 2016 in Form eines bestätigten Security Bulletins (Website) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter source.android.com. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2016-3746 vorgenommen. Sie gilt als leicht auszunutzen. Die Umsetzung des Angriffs hat dabei lokal zu erfolgen. Das Angehen einer einfachen Authentisierung ist erforderlich, um eine Ausnutzung anzugehen. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.

Ein Upgrade auf die Version 4.4.4, 5.0.2, 5.1.1 oder 6.0 2016-07-01 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat folglich unmittelbar reagiert.

Die Einträge 88897, 88898, 88899 und 88900 sind sehr ähnlich.

CVSSv3

Base Score: 8.8 [?]
Temp Score: 8.4 [?]
Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:X/RL:O/RC:C [?]
Zuverlässigkeit: High

CVSSv2

Base Score: 6.8 (CVSS2#AV:L/AC:L/Au:S/C:C/I:C/A:C) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: High

CPE

• cpe:/o:google:android:4.4.3
• cpe:/o:google:android:5.0.1
• cpe:/o:google:android:5.1.0
• cpe:/o:google:android:6.x

Exploiting

Klasse: Pufferüberlauf
Lokal: Ja
Remote: Nein

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Android 4.4.4/5.0.2/5.1.1/6.0 2016-07-01

Timeline

06.07.2016 Advisory veröffentlicht
06.07.2016 Gegenmassnahme veröffentlicht
11.07.2016 VulDB Eintrag erstellt
11.07.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Android Security Bulletin - July 2016
Status: Bestätigt

CVE: CVE-2016-3746 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 88897, 88898, 88899, 88900, 88901, 88902, 88903, 88904, 88905, 88906, 88907, 88908, 88909 , 88910

Eintrag

Erstellt: 11.07.2016
Aktualisierung: 11.07.2016
Eintrag: 76.3% komplett
...