📚 Google Android auf Nexus Qualcomm Bootloader erweiterte Rechte
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine Schwachstelle wurde in Google Android - eine genaue Versionsangabe steht aus - auf Nexus entdeckt. Sie wurde als kritisch eingestuft. Betroffen davon ist eine unbekannte Funktion der Komponente Qualcomm Bootloader. Durch die Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 01.08.2016 als Android Security Bulletin - August 2016 in Form eines bestätigten Security Bulletins (Website) herausgegeben. Auf source.android.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-3850 gehandelt. Sie ist leicht ausnutzbar. Umgesetzt werden muss der Angriff lokal. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Ein Aktualisieren vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat so unmittelbar gehandelt.
Mit dieser Schwachstelle verwandte Einträge finden sich unter 90455, 90456, 90457 und 90458.
CVSSv3
Base Score: 7.8 [?]Temp Score: 7.5 [?]
Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:X/RL:O/RC:C [?]
Zuverlässigkeit: High
CVSSv2
Base Score: 6.8 (CVSS2#AV:L/AC:L/Au:S/C:C/I:C/A:C) [?]Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: High
CPE
Exploiting
Klasse: Erweiterte RechteLokal: Ja
Remote: Nein
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Timeline
01.08.2016 Advisory veröffentlicht01.08.2016 Gegenmassnahme veröffentlicht
06.08.2016 VulDB Eintrag erstellt
07.08.2016 VulDB Eintrag aktualisiert
Quellen
Advisory: Android Security Bulletin - August 2016Status: Bestätigt
CVE: CVE-2016-3850 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 90455, 90456, 90457, 90458, 90459, 90460, 90461, 90462, 90463, 90464, 90465, 90466, 90467, 90468
Eintrag
Erstellt: 06.08.2016Aktualisierung: 07.08.2016
Eintrag: 74.7% komplett
...