Veröffentlicht am 05. Oktober 2015 | Aktualisiert am 28. April 2016
Im Rahmen unseres monatlichen Release-Prozesses für Android-Sicherheitsbulletins haben wir ein Sicherheitsupdate für Nexus-Geräte als Over-the-air-Update (OTA-Update) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google-Entwicklerwebsite veröffentlicht. Mit Build LMY48T oder höher (z. B. LMY48W) und Android M mit dem Sicherheitspatch vom 1. Oktober 2015 oder höher werden diese Probleme behoben. Eine Anleitung zum Prüfen des Sicherheitspatches finden Sie in der Nexus-Dokumentation.
Partner wurden am 10. September 2015 oder früher über diese Probleme informiert. Quellcode-Patches für diese Probleme wurden im Repository des Android Open Source Project (AOSP) veröffentlicht.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Ausführung von Remote-Code auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Web-Browsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Bewertung des Schweregrads basiert auf der Auswirkung, die die Ausnutzung der Sicherheitslücke auf ein betroffenes Gerät haben könnte, vorausgesetzt, die Plattform- und Dienstmitigationen sind zu Entwicklungszwecken deaktiviert oder werden erfolgreich umgangen.
Wir haben keine Berichte über eine aktive Ausnutzung dieser neu gemeldeten Probleme durch Kunden erhalten. Im Abschnitt Maßnahmen finden Sie Details zu den Sicherheitsmechanismen der Android-Plattform und zu Dienstmechanismen wie SafetyNet, die die Sicherheit der Android-Plattform verbessern. Wir empfehlen allen Kunden, diese Updates auf ihren Geräten zu akzeptieren.
Abhilfemaßnahmen
Hier finden Sie eine Zusammenfassung der Schutzmaßnahmen, die von der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bereitgestellt werden. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android-Geräten erfolgreich ausgenutzt werden können.
- Die Ausnutzung vieler Probleme auf Android-Geräten wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Nutzern, nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
- Das Android-Sicherheitsteam überwacht mithilfe von Verify Apps und SafetyNet aktiv den Missbrauch und warnt vor potenziell schädlichen Apps, die installiert werden sollen. Tools zum Rooten von Geräten sind bei Google Play verboten. Zum Schutz von Nutzern, die Apps von außerhalb von Google Play installieren, ist „Apps prüfen“ standardmäßig aktiviert. Nutzer werden dann vor bekannten Rooting-Apps gewarnt. Verify Apps versucht, die Installation bekannter schädlicher Anwendungen zu erkennen und zu blockieren, die eine Sicherheitslücke zur Berechtigungserweiterung ausnutzen. Wenn eine solche App bereits installiert ist, wird der Nutzer von Verify Apps benachrichtigt und die App wird entfernt.
- Google hat die Hangouts- und Messenger-Anwendungen entsprechend aktualisiert, damit Medien nicht automatisch an anfällige Prozesse wie den Mediaserver übergeben werden.
Danksagungen
Wir möchten uns bei den folgenden Forschern für ihre Beiträge bedanken:
- Brennan Lautner: CVE-2015-3863
- Chiachih Wu und Xuxian Jiang vom C0RE-Team von Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
- Yajin Zhou, Lei Wu und Xuxian Jiang vom C0RE-Team von Qihoo 360: CVE-2015-3865
- Daniel Micay (daniel.micay@copperhead.co) von Copperhead Security: CVE-2015-3875
- dragonltx vom Alibaba Mobile Security Team: CVE-2015-6599
- Ian Beer und Steven Vittitoe von Google Project Zero: CVE-2015-6604
- Joaquín Rinaudo (@xeroxnir) und Iván Arce (@4Dgifts) vom Programa STIC der Fundación Dr. Manuel Sadosky, Buenos Aires, Argentinien: CVE-2015-3870
- Josh Drake von Zimperium: CVE-2015-3876, CVE-2015-6602
- Jordan Gruskovnjak von Exodus Intelligence (@jgrusko): CVE-2015-3867
- Peter Pi von Trend Micro: CVE-2015-3872, CVE-2015-3871
- Ping Li von Qihoo 360 Technology Co. Ltd.: CVE-2015-3878
- Seven Shen: CVE-2015-6600, CVE-2015-3847
- Wangtao(neobyte) vom Baidu X-Team: CVE-2015-6598
- Wish Wu von Trend Micro Inc. (@wish_wu): CVE-2015-3823
- Michael Roland vom JR-Center u'smile an der Fachhochschule Oberösterreich/ Hagenberg: CVE-2015-6606
Wir möchten auch den Beitrag des Chrome-Sicherheitsteams, des Google-Sicherheitsteams, von Project Zero und anderer Personen bei Google würdigen, die mehrere Probleme gemeldet haben, die in diesem Bulletin behoben wurden.
Details zur Sicherheitslücke
In den folgenden Abschnitten finden Sie Details zu den einzelnen Sicherheitslücken, die für das Patchlevel vom 01.10.2015 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den betroffenen Versionen und dem Meldedatum. Sofern verfügbar, haben wir die AOSP-Änderung, mit der das Problem behoben wurde, mit der Fehler-ID verknüpft. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit den Zahlen verknüpft, die auf die Fehler-ID folgen.
Sicherheitslücken bei der Remote-Codeausführung in libstagefright
Es gibt Sicherheitslücken in libstagefright, die es einem Angreifer ermöglichen könnten, während der Verarbeitung von Mediendateien und Daten einer speziell erstellten Datei eine Speicherbeschädigung und die Ausführung von Remote-Code im Mediaserver-Dienst herbeizuführen.
Diese Probleme werden aufgrund der Möglichkeit der Remote-Codeausführung als privilegierter Dienst als kritisch eingestuft. Die betroffenen Komponenten haben Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Anwendungen von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schweregrad | Betroffene Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-3873 | ANDROID-20674086 [2,3,4] | Kritisch | 5.1 und niedriger | Google Intern |
| ANDROID-20674674 [2,3,4] | ||||
| ANDROID-20718524 | ||||
| ANDROID-21048776 | ||||
| ANDROID-21443020 | ||||
| ANDROID-21814993 | ||||
| ANDROID-22008959 | ||||
| ANDROID-22077698 | ||||
| ANDROID-22388975 | ||||
| ANDROID-22845824 | ||||
| ANDROID-23016072 | ||||
| ANDROID-23247055 | ||||
| ANDROID-23248776 | ||||
| ANDROID-20721050 | Kritisch | 5.0 und 5.1 | Google Intern | |
| CVE-2015-3823 | ANDROID-21335999 | Kritisch | 5.1 und niedriger | 20. Mai 2015 |
| CVE-2015-6600 | ANDROID-22882938 | Kritisch | 5.1 und niedriger | 31. Juli 2015 |
| CVE-2015-6601 | ANDROID-22935234 | Kritisch | 5.1 und niedriger | 3. August 2015 |
| CVE-2015-3869 | ANDROID-23036083 | Kritisch | 5.1 und niedriger | 4. August 2015 |
| CVE-2015-3870 | ANDROID-22771132 | Kritisch | 5.1 und niedriger | 5. August 2015 |
| CVE-2015-3871 | ANDROID-23031033 | Kritisch | 5.1 und niedriger | 6. August 2015 |
| CVE-2015-3868 | ANDROID-23270724 | Kritisch | 5.1 und niedriger | 6. August 2015 |
| CVE-2015-6604 | ANDROID-23129786 | Kritisch | 5.1 und niedriger | 11. August 2015 |
| CVE-2015-3867 | ANDROID-23213430 | Kritisch | 5.1 und niedriger | 14. August 2015 |
| CVE-2015-6603 | ANDROID-23227354 | Kritisch | 5.1 und niedriger | 15. August 2015 |
| CVE-2015-3876 | ANDROID-23285192 | Kritisch | 5.1 und niedriger | 15. August 2015 |
| CVE-2015-6598 | ANDROID-23306638 | Kritisch | 5.1 und niedriger | 18. August 2015 |
| CVE-2015-3872 | ANDROID-23346388 | Kritisch | 5.1 und niedriger | 19. August 2015 |
| CVE-2015-6599 | ANDROID-23416608 | Kritisch | 5.1 und niedriger | 21. August 2015 |
Sicherheitslücken bei der Remote-Codeausführung in Sonivox
Es gibt Sicherheitslücken in Sonivox, die es einem Angreifer ermöglichen könnten, bei der Verarbeitung einer speziell erstellten Mediendatei Speicherbeschädigungen und die Remote-Ausführung von Code im Mediaserverdienst zu verursachen. Dieses Problem wird aufgrund der Möglichkeit der Remote-Codeausführung als privilegierter Dienst als kritisch eingestuft. Die betroffene Komponente hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Drittanbieteranwendungen normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schweregrad | Betroffene Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-3874 | ANDROID-23335715 | Kritisch | 5.1 und niedriger | Mehrere |
| ANDROID-23307276 [2] | ||||
| ANDROID-23286323 |
Sicherheitslücken bei der Remote-Codeausführung in libutils
Bei der Verarbeitung von Audiodateien gibt es Sicherheitslücken in libutils, einer generischen Bibliothek. Diese Sicherheitslücken könnten es einem Angreifer ermöglichen, während der Verarbeitung einer speziell erstellten Datei eine Speicherbeschädigung und die Remote-Ausführung von Code in einem Dienst herbeizuführen, der diese Bibliothek verwendet, z. B. den Mediaserver.
Die betroffene Funktion wird als Anwendungs-API bereitgestellt und es gibt mehrere Anwendungen, über die sie mit Remote-Inhalten aufgerufen werden kann, insbesondere MMS und die Browserwiedergabe von Medien. Dieses Problem wird aufgrund der Möglichkeit der Remote-Codeausführung in einem privilegierten Dienst als kritisch eingestuft. Die betroffene Komponente hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Drittanbieter-Apps normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schweregrad | Betroffene Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-3875 | ANDROID-22952485 | Kritisch | 5.1 und niedriger | 15. August 2015 |
| CVE-2015-6602 | ANDROID-23290056 [2] | Kritisch | 5.1 und niedriger | 15. August 2015 |
Sicherheitslücke bei der Remote-Codeausführung in Skia
Eine Sicherheitslücke in der Skia-Komponente kann bei der Verarbeitung einer speziell erstellten Mediendatei ausgenutzt werden, was zu einer Beschädigung des Arbeitsspeichers und zur Ausführung von Remote-Code in einem privilegierten Prozess führen kann. Dieses Problem wird als kritisch eingestuft, da bei der Verarbeitung von Mediendateien eine Remote-Codeausführung über mehrere Angriffsmethoden wie E-Mail, Web-Browsing und MMS möglich ist.
| CVE | Fehler mit AOSP-Links | Schweregrad | Betroffene Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-3877 | ANDROID-20723696 | Kritisch | 5.1 und niedriger | 30. Juli 2015 |
Sicherheitslücken bei der Remote-Codeausführung in libFLAC
In der Verarbeitung von Mediendateien gibt es eine Sicherheitslücke in libFLAC. Diese Sicherheitslücken könnten es einem Angreifer ermöglichen, während der Verarbeitung einer speziell erstellten Datei eine Beschädigung des Arbeitsspeichers und die Ausführung von Remote-Code zu verursachen.
Die betroffene Funktion wird als Anwendungs-API bereitgestellt und es gibt mehrere Anwendungen, über die sie mit Remote-Inhalten aufgerufen werden kann, z. B. die Browserwiedergabe von Medien. Dieses Problem wird aufgrund der Möglichkeit der Remote-Codeausführung in einem privilegierten Dienst als kritisch eingestuft. Die betroffene Komponente hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Drittanbieter-Apps normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schweregrad | Betroffene Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2014-9028 | ANDROID-18872897 [2] | Kritisch | 5.1 und niedriger | 14. November 2014 |
Sicherheitslücke vom Typ „Rechteausweitung“ im KeyStore
Eine Sicherheitslücke zur Berechtigungsaufhebung in der KeyStore-Komponente kann von einer schädlichen Anwendung beim Aufrufen der KeyStore APIs ausgenutzt werden. Diese Anwendung kann zu einer Beschädigung des Arbeitsspeichers und zur Ausführung beliebigen Codes im Kontext des KeyStore führen. Dieses Problem hat den Schweregrad „Hoch“, da es zum Zugriff auf Berechtigungen verwendet werden kann, auf die eine Drittanbieteranwendung nicht direkt zugreifen kann.
| CVE | Fehler mit AOSP-Links | Schweregrad | Betroffene Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | Hoch | 5.1 und niedriger | 28. Juli 2015 |
Sicherheitslücke vom Typ „Ausweitung von Berechtigungen“ im Media Player Framework
Eine Sicherheitslücke vom Typ „Erhöhung der Berechtigungen“ in der Mediaplayer-Framework-Komponente könnte es einer schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Mediaservers auszuführen. Dieses Problem hat den Schweregrad „Hoch“, da eine schädliche Anwendung dadurch auf Berechtigungen zugreifen kann, die für eine Drittanbieter-App nicht zugänglich sind.
| CVE | Fehler mit AOSP-Links | Schweregrad | Betroffene Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-3879 | ANDROID-23223325 [2]* | Hoch | 5.1 und niedriger | 14. August 2015 |
* Eine zweite Änderung für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google-Entwicklerwebsite verfügbar sind.
Sicherheitslücke vom Typ „Ausweitung von Berechtigungen“ in der Android Runtime
Eine Sicherheitslücke zur Erhöhung der Berechtigungen in der Android Runtime kann es einer schädlichen lokalen Anwendung ermöglichen, beliebigen Code im Kontext einer erhöhten Systemanwendung auszuführen. Dieses Problem hat den Schweregrad „Hoch“, da es dazu verwendet werden kann, erweiterte Funktionen zu erhalten, z. B. Berechtigungen für Signature oder SignatureOrSystem, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Links | Schweregrad | Betroffene Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-3865 | ANDROID-23050463 [2] | Hoch | 5.1 und niedriger | 8. August 2015 |
Sicherheitslücken bei der Rechteausweitung im Mediaserver
Es gibt mehrere Sicherheitslücken im Mediaserver, die es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten nativen Dienstes auszuführen. Dieses Problem hat den Schweregrad „Hoch“, da es zum Zugriff auf Berechtigungen verwendet werden kann, auf die eine Drittanbieteranwendung nicht direkt zugreifen kann.
| CVE | Fehler mit AOSP-Links | Schweregrad | Betroffene Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-6596 | ANDROID-20731946 | Hoch | 5.1 und niedriger | Mehrere |
| ANDROID-20719651* | ||||
| ANDROID-19573085 | Hoch | 5.0–6.0 | Google Intern |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google-Entwicklerwebsite verfügbar sind.
Sicherheitslücke vom Typ „Rechteausweitung“ im Secure Element Evaluation Kit
Eine Sicherheitslücke im SEEK-Plug-in (Secure Element Evaluation Kit, auch SmartCard API genannt) könnte es einer Anwendung ermöglichen, erweiterte Berechtigungen zu erhalten, ohne sie anzufordern. Dieses Problem hat den Schweregrad „Hoch“, da es dazu verwendet werden kann, erweiterte Funktionen zu erhalten, z. B. Berechtigungen für Signature oder SignatureOrSystem, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schweregrad | Betroffene Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-6606 | ANDROID-22301786* | Hoch | 5.1 und niedriger | 30. Juni 2015 |
* Das Upgrade, mit dem dieses Problem behoben wird, findest du auf der Website von SEEK für Android.
Sicherheitslücke vom Typ „Rechteausweitung“ bei der Medienprojektion
Eine Sicherheitslücke in der Media Projection-Komponente kann dazu führen, dass Nutzerdaten in Form von Bildschirm-Snapshots offengelegt werden. Das Problem ist darauf zurückzuführen, dass das Betriebssystem zu lange Anwendungsnamen zulässt. Die Verwendung dieser langen Namen durch eine schädliche lokale Anwendung kann verhindern, dass eine Warnung zur Bildschirmaufzeichnung für den Nutzer sichtbar ist. Dieses Problem hat den Schweregrad „Mittel“, da es dazu verwendet werden kann, unberechtigt erhöhte Berechtigungen zu erhalten.
| CVE | Fehler mit AOSP-Links | Schweregrad | Betroffene Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-3878 | ANDROID-23345192 | Moderat | 5.0–6.0 | 18. August 2015 |
Sicherheitslücke bei der Rechteausweitung in Bluetooth
Eine Sicherheitslücke in der Bluetooth-Komponente von Android kann es einer App ermöglichen, gespeicherte SMS zu löschen. Dieses Problem hat den Schweregrad „Mittel“, da es dazu verwendet werden kann, unberechtigt erhöhte Berechtigungen zu erhalten.
| CVE | Fehler mit AOSP-Links | Schweregrad | Betroffene Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-3847 | ANDROID-22343270 | Moderat | 5.1 und niedriger | 8. Juli 2015 |
Sicherheitslücken bei der Rechteausweitung in SQLite
In der SQLite-Parsing-Engine wurden mehrere Sicherheitslücken entdeckt. Diese Sicherheitslücken können von einer lokalen Anwendung ausgenutzt werden, die dazu führt, dass eine andere Anwendung oder ein anderer Dienst beliebige SQL-Abfragen ausführt. Eine erfolgreiche Ausnutzung kann zur Ausführung beliebigen Codes im Kontext der Zielanwendung führen.
Am 8. April 2015 wurde eine Korrektur in AOSP main hochgeladen, durch die die SQLite-Version auf 3.8.9 aktualisiert wurde: https://android-review.googlesource.com/#/c/145961/
Dieses Bulletin enthält Patches für die SQLite-Versionen in Android 4.4 (SQLite 3.7.11) und Android 5.0 und 5.1 (SQLite 3.8.6).
| CVE | Fehler mit AOSP-Links | Schweregrad | Betroffene Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-6607 | ANDROID-20099586 | Moderat | 5.1 und niedriger | 7. April 2015 Öffentlich bekannt |
Denial-of-Service-Sicherheitslücken im Mediaserver
Es gibt mehrere Sicherheitslücken im Mediaserver, die durch einen Absturz des Mediaserver-Prozesses zu einem Denial of Service führen können. Diese Probleme werden als gering eingestuft, da sie durch einen Absturz des Mediaservers verursacht werden, was zu einer vorübergehenden lokalen Dienstverweigerung führt.
| CVE | Fehler mit AOSP-Links | Schweregrad | Betroffene Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-6605 | ANDROID-20915134 | Geringe Anzahl | 5.1 und niedriger | Google Intern |
| ANDROID-23142203 | ||||
| ANDROID-22278703 | Geringe Anzahl | 5.0–6.0 | Google Intern | |
| CVE-2015-3862 | ANDROID-22954006 | Geringe Anzahl | 5.1 und niedriger | 2. August 2015 |
Überarbeitungen
- 5. Oktober 2015: Bulletin veröffentlicht.
- 7. Oktober 2015: Bulletin mit AOSP-Referenzen aktualisiert. Die Fehlerverweise für CVE-2014-9028 wurden klarer formuliert.
- 12. Oktober 2015: Aktualisierte Bestätigungen für CVE-2015-3868, CVE-2015-3869, CVE-2015-3865 und CVE-2015-3862.
- 22. Januar 2016: Aktualisierte Bestätigungen für CVE-2015-6606.
- 28. April 2016: CVE-2015-6603 hinzugefügt und Tippfehler bei CVE-2014-9028 korrigiert.