📚 Google Android bis 4.4.3/5.0.1/5.1.0/6.x Mediaserver MetadataRetrieverClient.cpp Information Disclosure

🕛 Zeit seit Veröffentlichung: 2852 Tage, 3 Stunden 42 Minuten
📆 Veröffentlicht am: 06.07.2016 um 02:00 Uhr
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com

In Google Android bis 4.4.3/5.0.1/5.1.0/6.x wurde eine problematische Schwachstelle gefunden. Es geht um eine unbekannte Funktion der Bibliothek media/libmediaplayerservice/MetadataRetrieverClient.cpp der Komponente Mediaserver. Durch die Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle (Pointer) ausgenutzt werden. Das hat Auswirkungen auf die Vertraulichkeit.

Die Schwachstelle wurde am 06.07.2016 als Android Security Bulletin - July 2016 in Form eines bestätigten Security Bulletins (Website) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter source.android.com. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2016-3764 vorgenommen. Das Ausnutzen gilt als leicht. Die Umsetzung des Angriffs hat dabei lokal zu erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.

Ein Upgrade auf die Version 4.4.4, 5.0.2, 5.1.1 oder 6.0 2016-07-01 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat offensichtlich unmittelbar reagiert.

Schwachstellen ähnlicher Art sind dokumentiert unter 88897, 88898, 88899 und 88900.

CVSSv3

Base Score: 3.3 [?]
Temp Score: 3.2 [?]
Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N/E:X/RL:O/RC:C [?]
Zuverlässigkeit: High

CVSSv2

Base Score: 1.7 (CVSS2#AV:L/AC:L/Au:S/C:P/I:N/A:N) [?]
Temp Score: 1.5 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: High

CPE

• cpe:/o:google:android:4.4.3
• cpe:/o:google:android:5.0.1
• cpe:/o:google:android:5.1.0
• cpe:/o:google:android:6.x

Exploiting

Klasse: Information Disclosure
Lokal: Ja
Remote: Nein

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Android 4.4.4/5.0.2/5.1.1/6.0 2016-07-01

Timeline

06.07.2016 Advisory veröffentlicht
06.07.2016 Gegenmassnahme veröffentlicht
11.07.2016 VulDB Eintrag erstellt
11.07.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Android Security Bulletin - July 2016
Status: Bestätigt

CVE: CVE-2016-3764 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 88897, 88898, 88899, 88900, 88901, 88902, 88903, 88904, 88905, 88906, 88907, 88908, 88909 , 88910

Eintrag

Erstellt: 11.07.2016
Aktualisierung: 11.07.2016
Eintrag: 76.8% komplett
...