Pubblicato il 9 settembre 2015
Abbiamo rilasciato un aggiornamento della sicurezza per i dispositivi Nexus tramite un aggiornamento over-the-air (OTA) nell'ambito della nostra procedura di rilascio mensile del Bollettino sulla sicurezza di Android (build LMY48M). Gli aggiornamenti per i dispositivi Nexus e le patch del codice sorgente per questi problemi sono stati rilasciati anche nel repository del codice sorgente di Android Open Source Project (AOSP). Il più grave di questi problemi è una vulnerabilità di sicurezza critica che potrebbe consentire l'esecuzione di codice remoto su un dispositivo interessato.
Le immagini del firmware di Nexus sono state rilasciate anche sul sito Google for Developers. Le build LMY48M o successive risolvono questi problemi. I partner sono stati informati di questi problemi prima del 13 agosto 2015.
Non abbiamo rilevato l'utilizzo da parte dei clienti dei problemi appena segnalati. L'eccezione è il problema esistente (CVE-2015-3636). Consulta la sezione Mitigazioni per informazioni dettagliate sulle protezioni della piattaforma di sicurezza Android e sulle protezioni dei servizi come SafetyNet, che riducono la probabilità che le vulnerabilità di sicurezza possano essere sfruttate con successo su Android.
Tieni presente che entrambi gli aggiornamenti critici per la sicurezza (CVE-2015-3864 e CVE-2015-3686) risolvono vulnerabilità già divulgate. In questo aggiornamento non sono state divulgate nuove vulnerabilità di sicurezza critiche. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, supponendo che le mitigazioni della piattaforma e del servizio siano disattivate a scopo di sviluppo o se sono state aggirate.
Invitiamo tutti i clienti ad accettare questi aggiornamenti sui loro dispositivi.
Mitigazioni
Questo è un riepilogo delle mitigazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni dei servizi come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità di sicurezza possano essere sfruttate con successo su Android.
- Lo sfruttamento di molti problemi su Android è reso più difficile dai miglioramenti nelle versioni più recenti della piattaforma Android. Invitiamo tutti gli utenti a eseguire l'aggiornamento all'ultima versione di Android, se possibile.
- Il team di Android Security monitora attivamente gli abusi con Verifica app e SafetyNet, che avvisano dell'imminente installazione di applicazioni potenzialmente dannose. Gli strumenti per il rooting dei dispositivi sono vietati su Google Play. Per proteggere gli utenti che installano applicazioni da origini diverse da Google Play, Verifica app è attivata per impostazione predefinita e avvisa gli utenti delle applicazioni di rooting note. Verifica App tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di elevazione dei privilegi. Se un'app di questo tipo è già stata installata, Verifica app invierà una notifica all'utente e tenterà di rimuoverla.
- A seconda dei casi, le applicazioni Google Hangouts e Messenger non trasmettono automaticamente i contenuti multimediali a processi come mediaserver.
Ringraziamenti
Vogliamo ringraziare per il loro contributo i seguenti ricercatori:
- Jordan Gruskovnjak di Exodus Intelligence (@jgrusko): CVE-2015-3864
- Michał Bednarski: CVE-2015-3845
- Guang Gong di Qihoo 360 Technology Co. Ltd (@oldfresher): CVE-2015-1528, CVE-2015-3849
- Brennan Lautner: CVE-2015-3863
- jgor (@indiecom): CVE-2015-3860
- Wish Wu di Trend Micro Inc. (@wish_wu): CVE-2015-3861
Dettagli sulla vulnerabilità di sicurezza
Nelle sezioni seguenti sono riportati i dettagli di ciascuna delle vulnerabilità di sicurezza descritte in questo bollettino. Sono presenti una descrizione del problema, una motivazione della gravità e una tabella con il CVE, il bug associato, la gravità, le versioni interessate e la data di segnalazione. Se disponibile, abbiamo collegato la modifica AOSP che ha risolto il problema all'ID bug. Quando più modifiche si riferiscono a un singolo bug, i riferimenti AOSP aggiuntivi sono collegati ai numeri che seguono l'ID bug.
Vulnerabilità di esecuzione di codice remoto in Mediaserver
Durante l'elaborazione di file multimediali e dati di un file appositamente creato, le vulnerabilità in mediaserver potrebbero consentire a un utente malintenzionato di causare la corruzione della memoria e l'esecuzione di codice da remoto come processo mediaserver.
La funzionalità interessata è fornita come parte integrante del sistema operativo e sono disponibili più applicazioni che consentono di accedervi con contenuti remote, tra cui MMS e riproduzione di contenuti multimediali nel browser.
Questo problema è classificato come di gravità Critica a causa della possibilità di eseguire codice remoto nel contesto del servizio mediaserver. Il servizio MediaServer ha accesso agli stream audio e video, nonché ai privilegi a cui le app di terze parti non possono accedere normalmente.
Questo problema è correlato al problema CVE-2015-3824 (ANDROID-20923261) già segnalato. L'aggiornamento della sicurezza originale non è stato sufficiente per risolvere una variante di questo problema segnalato inizialmente.
| CVE | Bug con i link AOSP | Gravità | Versioni interessate |
|---|---|---|---|
| CVE-2015-3864 | ANDROID-23034759 | Critico | 5.1 e versioni precedenti |
Vulnerabilità di elevazione dei privilegi nel kernel
Una vulnerabilità di elevazione dei privilegi nella gestione delle socket di ping da parte del kernel di Linux potrebbe consentire a un'applicazione dannosa di eseguire codice arbitrario nel contesto del kernel.
Questo problema è classificato come di gravità critica a causa della possibilità di esecuzione di codice in un servizio privilegiato che può aggirare le protezioni del dispositivo, con un potenziale rischio di compromissione permanente (ad esempio, il riaggiornamento della partizione di sistema) su alcuni dispositivi.
Questo problema è stato identificato pubblicamente per la prima volta il 1° maggio 2015. Un exploit di questa vulnerabilità è stato incluso in una serie di strumenti di "rooting" che possono essere utilizzati dal proprietario del dispositivo per modificare il firmware sul proprio dispositivo.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate |
|---|---|---|---|
| CVE-2015-3636 | ANDROID-20770158 | Critico | 5.1 e versioni precedenti |
Vulnerabilità di elevazione dei privilegi in Binder
Una vulnerabilità di elevazione dei privilegi in Binder potrebbe consentire a un'applicazione malevola di eseguire codice arbitrario nel contesto del processo di un'altra app.
Questo problema è classificato come di gravità Alta perché consente a un'applicazione dannosa di ottenere privilegi non accessibili a un'applicazione di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate |
|---|---|---|---|
| CVE-2015-3845 | ANDROID-17312693 | Alto | 5.1 e versioni precedenti |
| CVE-2015-1528 | ANDROID-19334482 [2] | Alto | 5.1 e versioni precedenti |
Vulnerabilità di elevazione dei privilegi nell'archivio chiavi
Una vulnerabilità di elevazione dei privilegi in Keystore potrebbe consentire a un'applicazione malevola di eseguire codice arbitrario nel contesto del servizio di keystore. Ciò potrebbe consentire l'uso non autorizzato delle chiavi memorizzate da Keystore, incluse le chiavi con supporto hardware.
Questo problema è classificato come di gravità Alta perché può essere utilizzato per ottenere privilegi non accessibili a un'applicazione di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate |
|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | Alto | 5.1 e versioni precedenti |
Vulnerabilità di elevazione dei privilegi nella regione
Una vulnerabilità di elevazione dei privilegi nella regione potrebbe, tramite la creazione di un messaggio dannoso per un servizio, consentire a un'applicazione dannosa di eseguire codice arbitrario nel contesto del servizio di destinazione.
Questo problema è classificato come di gravità Alta perché può essere utilizzato per ottenere privilegi non accessibili a un'applicazione di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate |
|---|---|---|---|
| CVE-2015-3849 | ANDROID-20883006 [2] | Alto | 5.1 e versioni precedenti |
La vulnerabilità di elevazione dei privilegi negli SMS consente il bypass delle notifiche
Una vulnerabilità di elevazione dei privilegi nel modo in cui Android elabora i messaggi SMS potrebbe consentire a un'applicazione dannosa di inviare un messaggio SMS che aggira la notifica di avviso relativa agli SMS con tariffa premium.
Questo problema è classificato come di gravità Alta perché può essere utilizzato per ottenere privilegi non accessibili a un'applicazione di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate |
|---|---|---|---|
| CVE-2015-3858 | ANDROID-22314646 | Alto | 5.1 e versioni precedenti |
Vulnerabilità di elevazione dei privilegi nella schermata di blocco
Una vulnerabilità di elevazione dei privilegi nella schermata di blocco potrebbe consentire a un utente malintenzionato di aggirare la schermata di blocco causandone l'arresto anomalo. Questo problema è classificato come vulnerabilità solo su Android 5.0 e 5.1. Sebbene sia possibile causare un arresto anomalo dell'interfaccia utente di sistema dalla schermata di blocco in modo simile su 4.4, non è possibile accedere alla schermata iniziale e il dispositivo deve essere riavviato per recuperare.
Questo problema è classificato come di gravità moderata perché potenzialmente consente a qualcuno con accesso fisico a un dispositivo di installare app di terze parti senza l'approvazione delle autorizzazioni da parte del proprietario del dispositivo. Inoltre, può consentire all'aggressore di visualizzare dati di contatto, registri telefonici, messaggi SMS e altri dati normalmente protetti con un'autorizzazione di livello "pericoloso".
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate |
|---|---|---|---|
| CVE-2015-3860 | ANDROID-22214934 | Moderata | 5.1 e 5.0 |
Vulnerabilità Denial of Service in Mediaserver
Una vulnerabilità di denial of service in mediaserver potrebbe consentire a un malintenzionato locale di bloccare temporaneamente l'accesso a un dispositivo interessato.
Questo problema è classificato come di bassa gravità perché un utente può riavviare il sistema in modalità provvisoria per rimuovere un'applicazione dannosa che sta sfruttando questo problema. È anche possibile indurre mediaserver a elaborare il file dannoso da remoto tramite il web o tramite MMS. In questo caso, il processo mediaserver si arresta in modo anomalo e il dispositivo rimane utilizzabile.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate |
|---|---|---|---|
| CVE-2015-3861 | ANDROID-21296336 | Bassa | 5.1 e versioni precedenti |