Pubblicato il 05 ottobre 2015 | Aggiornato il 28 aprile 2016
Abbiamo rilasciato un aggiornamento di sicurezza per i dispositivi Nexus tramite un aggiornamento over-the-air (OTA) come parte del nostro processo di rilascio mensile del Bollettino sulla sicurezza Android. Le immagini del firmware Nexus sono state rilasciate anche al sito degli sviluppatori di Google . Le build LMY48T o successive (come LMY48W) e Android M con Security Patch Level del 1 ottobre 2015 o successive risolvono questi problemi. Fare riferimento alla documentazione di Nexus per istruzioni su come controllare il livello di patch di sicurezza.
I partner sono stati informati di questi problemi il 10 settembre 2015 o prima. Le patch del codice sorgente per questi problemi sono state rilasciate nel repository Android Open Source Project (AOSP).
Il più grave di questi problemi è una vulnerabilità di sicurezza critica che potrebbe consentire l'esecuzione di codice in modalità remota su un dispositivo interessato tramite più metodi come e-mail, navigazione Web e MMS durante l'elaborazione di file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, supponendo che la piattaforma e le attenuazioni del servizio siano disabilitate per scopi di sviluppo o se bypassate correttamente.
Non abbiamo avuto segnalazioni di sfruttamento attivo da parte dei clienti di questi problemi appena segnalati. Fare riferimento alla sezione Mitigazioni per i dettagli sulle protezioni della piattaforma di sicurezza Android e sulle protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android. Invitiamo tutti i clienti ad accettare questi aggiornamenti sui propri dispositivi.
Mitigazioni
Questo è un riepilogo delle attenuazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni del servizio come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità della sicurezza possano essere sfruttate con successo su Android.
- Lo sfruttamento per molti problemi su Android è reso più difficile dai miglioramenti nelle versioni più recenti della piattaforma Android. Incoraggiamo tutti gli utenti ad aggiornare all'ultima versione di Android, ove possibile.
- Il team di sicurezza di Android sta monitorando attivamente gli abusi con Verifica app e SafetyNet che avviseranno di applicazioni potenzialmente dannose che stanno per essere installate. Gli strumenti di rooting del dispositivo sono vietati all'interno di Google Play. Per proteggere gli utenti che installano applicazioni al di fuori di Google Play, Verifica app è abilitato per impostazione predefinita e avviserà gli utenti delle applicazioni di rooting note. Verifica app tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di escalation dei privilegi. Se tale applicazione è già stata installata, Verifica app avviserà l'utente e tenterà di rimuovere tali applicazioni.
- Se del caso, Google ha aggiornato le applicazioni Hangouts e Messenger in modo che i contenuti multimediali non vengano trasmessi automaticamente a processi vulnerabili (come mediaserver).
Ringraziamenti
Vorremmo ringraziare questi ricercatori per il loro contributo:
- Brennan Lautner: CVE-2015-3863
- Chiachih Wu e Xuxian Jiang del team C0RE di Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
- Yajin Zhou, Lei Wu e Xuxian Jiang del team C0RE di Qihoo 360: CVE-2015-3865
- Daniel Micay (daniel.micay@copperhead.co) presso Copperhead Security: CVE-2015-3875
- dragonltx di Alibaba Mobile Security Team: CVE-2015-6599
- Ian Beer e Steven Vittitoe di Google Project Zero: CVE-2015-6604
- Joaquín Rinaudo (@xeroxnir) e Iván Arce (@4Dgifts) di Programa STIC alla Fundación Dr. Manuel Sadosky, Buenos Aires Argentina: CVE-2015-3870
- Josh Drake di Zimperium: CVE-2015-3876, CVE-2015-6602
- Jordan Gruskovnjak di Exodus Intelligence (@jgrusko): CVE-2015-3867
- Peter Pi di Trend Micro: CVE-2015-3872, CVE-2015-3871
- Ping Li di Qihoo 360 Technology Co. Ltd: CVE-2015-3878
- Sette Shen: CVE-2015-6600, CVE-2015-3847
- Wangtao (neobyte) di Baidu X-Team: CVE-2015-6598
- Wish Wu di Trend Micro Inc. (@wish_wu): CVE-2015-3823
- Michael Roland del JR-Center u'smile presso l'Università di Scienze Applicate, Alta Austria/ Hagenberg: CVE-2015-6606
Desideriamo inoltre ringraziare i contributi del team di sicurezza di Chrome, del team di sicurezza di Google, di Project Zero e di altre persone all'interno di Google per aver segnalato diversi problemi risolti in questo bollettino.
Dettagli vulnerabilità di sicurezza
Nelle sezioni seguenti, forniamo i dettagli per ciascuna delle vulnerabilità di sicurezza che si applicano al livello di patch 2015-10-01. C'è una descrizione del problema, una logica di gravità e una tabella con il CVE, il bug associato, la gravità, le versioni interessate e la data segnalata. Ove disponibile, abbiamo collegato la modifica AOSP che ha risolto il problema all'ID del bug. Quando più modifiche si riferiscono a un singolo bug, ulteriori riferimenti AOSP sono collegati a numeri che seguono l'ID del bug.
Vulnerabilità nell'esecuzione di codice in remoto in libstagefright
Esistono vulnerabilità in libstagefright che potrebbero consentire a un utente malintenzionato, durante l'elaborazione di file multimediali e dati di un file appositamente predisposto, di causare il danneggiamento della memoria e l'esecuzione di codice remoto nel servizio mediaserver.
Questi problemi sono classificati come gravità critica a causa della possibilità di esecuzione di codice in modalità remota come servizio privilegiato. I componenti interessati hanno accesso a flussi audio e video, nonché accesso a privilegi a cui normalmente le applicazioni di terze parti non possono accedere.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-3873 | ANDROID-20674086 [ 2 , 3 , 4 ] | Critico | 5.1 e seguenti | Google interno |
| ANDROID-20674674 [ 2 , 3 , 4 ] | ||||
| ANDROID-20718524 | ||||
| ANDROID-21048776 | ||||
| ANDROID-21443020 | ||||
| ANDROID-21814993 | ||||
| ANDROID-22008959 | ||||
| ANDROID-22077698 | ||||
| ANDROID-22388975 | ||||
| ANDROID-22845824 | ||||
| ANDROID-23016072 | ||||
| ANDROID-23247055 | ||||
| ANDROID-23248776 | ||||
| ANDROID-20721050 | Critico | 5.0 e 5.1 | Google interno | |
| CVE-2015-3823 | ANDROID-21335999 | Critico | 5.1 e seguenti | 20 maggio 2015 |
| CVE-2015-6600 | ANDROID-22882938 | Critico | 5.1 e seguenti | 31 luglio 2015 |
| CVE-2015-6601 | ANDROID-22935234 | Critico | 5.1 e seguenti | 3 agosto 2015 |
| CVE-2015-3869 | ANDROID-23036083 | Critico | 5.1 e seguenti | 4 agosto 2015 |
| CVE-2015-3870 | ANDROID-22771132 | Critico | 5.1 e seguenti | 5 agosto 2015 |
| CVE-2015-3871 | ANDROID-23031033 | Critico | 5.1 e seguenti | 6 agosto 2015 |
| CVE-2015-3868 | ANDROID-23270724 | Critico | 5.1 e seguenti | 6 agosto 2015 |
| CVE-2015-6604 | ANDROID-23129786 | Critico | 5.1 e seguenti | 11 agosto 2015 |
| CVE-2015-3867 | ANDROID-23213430 | Critico | 5.1 e seguenti | 14 agosto 2015 |
| CVE-2015-6603 | ANDROID-23227354 | Critico | 5.1 e seguenti | 15 agosto 2015 |
| CVE-2015-3876 | ANDROID-23285192 | Critico | 5.1 e seguenti | 15 agosto 2015 |
| CVE-2015-6598 | ANDROID-23306638 | Critico | 5.1 e seguenti | 18 agosto 2015 |
| CVE-2015-3872 | ANDROID-23346388 | Critico | 5.1 e seguenti | 19 agosto 2015 |
| CVE-2015-6599 | ANDROID-23416608 | Critico | 5.1 e seguenti | 21 agosto 2015 |
Vulnerabilità nell'esecuzione di codice in remoto in Sonivox
Esistono vulnerabilità in Sonivox che potrebbero consentire a un utente malintenzionato, durante l'elaborazione di file multimediali di un file appositamente predisposto, di causare il danneggiamento della memoria e l'esecuzione di codice remoto nel servizio mediaserver. Questo problema è classificato come un livello di gravità Critico a causa della possibilità di esecuzione di codice in modalità remota come servizio privilegiato. Il componente interessato ha accesso ai flussi audio e video, nonché l'accesso ai privilegi a cui normalmente le applicazioni di terze parti non possono accedere.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-3874 | ANDROID-23335715 | Critico | 5.1 e seguenti | Multiplo |
| ANDROID-23307276 [ 2 ] | ||||
| ANDROID-23286323 |
Vulnerabilità nell'esecuzione di codice in remoto in libutils
Esistono vulnerabilità in libutils, una libreria generica, nell'elaborazione di file audio. Queste vulnerabilità possono consentire a un utente malintenzionato, durante l'elaborazione di un file appositamente predisposto, di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota in un servizio che utilizza questa libreria come mediaserver.
La funzionalità interessata viene fornita come un'API dell'applicazione e sono disponibili più applicazioni che consentono di raggiungerla con contenuto remoto, in particolare MMS e riproduzione di file multimediali tramite browser. Questo problema è classificato come Critico a causa della possibilità di esecuzione di codice in modalità remota in un servizio privilegiato. Il componente interessato ha accesso ai flussi audio e video, nonché ai privilegi a cui normalmente le app di terze parti non possono accedere.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-3875 | ANDROID-22952485 | Critico | 5.1 e seguenti | 15 agosto 2015 |
| CVE-2015-6602 | ANDROID-23290056 [ 2 ] | Critico | 5.1 e seguenti | 15 agosto 2015 |
Vulnerabilità nell'esecuzione di codice in remoto in Skia
Una vulnerabilità nel componente Skia può essere sfruttata durante l'elaborazione di un file multimediale appositamente predisposto, che potrebbe causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota in un processo con privilegi. Questo problema è considerato di gravità critica a causa della possibilità di esecuzione di codice in modalità remota tramite più metodi di attacco come e-mail, navigazione Web e MMS durante l'elaborazione di file multimediali.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-3877 | ANDROID-20723696 | Critico | 5.1 e seguenti | 30 luglio 2015 |
Vulnerabilità nell'esecuzione di codice in remoto in libFLAC
Esiste una vulnerabilità in libFLAC nell'elaborazione dei file multimediali. Queste vulnerabilità possono consentire a un utente malintenzionato, durante l'elaborazione di un file appositamente predisposto, di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota.
La funzionalità interessata viene fornita come un'API dell'applicazione e sono disponibili più applicazioni che consentono di raggiungerla con contenuto remoto, come la riproduzione di file multimediali dal browser. Questo problema è classificato come Critico a causa della possibilità di esecuzione di codice in modalità remota in un servizio privilegiato. Il componente interessato ha accesso ai flussi audio e video, nonché ai privilegi a cui normalmente le app di terze parti non possono accedere.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2014-9028 | ANDROID-18872897 [ 2 ] | Critico | 5.1 e seguenti | 14 novembre 2014 |
Aumento della vulnerabilità dei privilegi in KeyStore
Una vulnerabilità legata all'acquisizione di privilegi più elevati nel componente KeyStore può essere sfruttata da un'applicazione dannosa durante la chiamata alle API KeyStore. Questa applicazione potrebbe causare il danneggiamento della memoria e l'esecuzione di codice arbitrario nel contesto di KeyStore. Questo problema è classificato con gravità elevata perché può essere utilizzato per accedere a privilegi che non sono direttamente accessibili a un'applicazione di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | Alto | 5.1 e seguenti | 28 luglio 2015 |
Aumento della vulnerabilità dei privilegi in Media Player Framework
Una vulnerabilità legata all'acquisizione di privilegi più elevati nel componente del framework del lettore multimediale potrebbe consentire a un'applicazione dannosa di eseguire codice arbitrario nel contesto di mediaserver. Questo problema è classificato come di gravità elevata perché consente a un'applicazione dannosa di accedere a privilegi non accessibili a un'applicazione di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-3879 | ANDROID-23223325 [2]* | Alto | 5.1 e seguenti | 14 agosto 2015 |
* Una seconda modifica per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito Google Developer .
Aumento della vulnerabilità dei privilegi nel runtime di Android
Una vulnerabilità legata all'acquisizione di privilegi più elevati in Android Runtime può consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto di un'applicazione di sistema con privilegi elevati. Questo problema è classificato con gravità elevata perché può essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Firma o Firma o Sistema, che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-3865 | ANDROID-23050463 [ 2 ] | Alto | 5.1 e seguenti | 8 agosto 2015 |
Elevazione delle vulnerabilità dei privilegi in Mediaserver
Esistono molteplici vulnerabilità in mediaserver che possono consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto di un servizio nativo privilegiato. Questo problema è classificato con gravità elevata perché può essere utilizzato per accedere a privilegi che non sono direttamente accessibili a un'applicazione di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6596 | ANDROID-20731946 | Alto | 5.1 e seguenti | Multiplo |
| ANDROID-20719651* | ||||
| ANDROID-19573085 | Alto | 5.0 - 6.0 | Google interno |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito Google Developer .
Aumento della vulnerabilità dei privilegi nel kit di valutazione degli elementi sicuri
Una vulnerabilità nel plug-in SEEK (Secure Element Evaluation Kit, noto anche come API SmartCard) potrebbe consentire a un'applicazione di ottenere autorizzazioni elevate senza richiederle. Questo problema è classificato come severità elevata perché può essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Firma o Firma o Sistema, che non sono accessibili ad applicazioni di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6606 | ANDROID-22301786* | Alto | 5.1 e seguenti | 30 giugno 2015 |
* L'aggiornamento che risolve questo problema si trova nel sito SEEK per Android .
Elevazione della vulnerabilità dei privilegi nella proiezione dei media
Una vulnerabilità nel componente Proiezione multimediale può consentire la divulgazione dei dati dell'utente sotto forma di istantanee dello schermo. Il problema è il risultato del sistema operativo che consente nomi di applicazioni troppo lunghi. L'uso di questi nomi lunghi da parte di un'applicazione dannosa locale può impedire all'utente di visualizzare un avviso sulla registrazione dello schermo. Questo problema è classificato come di gravità moderata perché può essere utilizzato per ottenere autorizzazioni elevate in modo improprio.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-3878 | ANDROID-23345192 | Moderare | 5.0 - 6.0 | 18 agosto 2015 |
Aumento della vulnerabilità dei privilegi in Bluetooth
Una vulnerabilità nel componente Bluetooth di Android potrebbe consentire a un'applicazione di eliminare i messaggi SMS archiviati. Questo problema è classificato come di gravità moderata perché può essere utilizzato per ottenere autorizzazioni elevate in modo improprio.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-3847 | ANDROID-22343270 | Moderare | 5.1 e seguenti | 8 luglio 2015 |
Aumento delle vulnerabilità dei privilegi in SQLite
Sono state rilevate più vulnerabilità nel motore di analisi SQLite. Queste vulnerabilità possono essere sfruttate da un'applicazione locale che può far sì che un'altra applicazione o servizio esegua query SQL arbitrarie. Un corretto sfruttamento potrebbe comportare l'esecuzione arbitraria di codice nel contesto dell'applicazione di destinazione.
L'8 aprile 2015 è stata caricata una correzione su AOSP master, aggiornando la versione SQLite alla 3.8.9: https://android-review.googlesource.com/#/c/145961/
Questo bollettino contiene le patch per le versioni SQLite in Android 4.4 (SQLite 3.7.11) e Android 5.0 e 5.1 (SQLite 3.8.6).
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6607 | ANDROID-20099586 | Moderare | 5.1 e seguenti | 7 aprile 2015 Conosciuto pubblicamente |
Vulnerabilità di Denial of Service in Mediaserver
Esistono diverse vulnerabilità in mediaserver che possono causare un Denial of Service provocando l'arresto anomalo del processo mediaserver. Questi problemi sono classificati come di gravità Bassa perché l'effetto è causato da un arresto anomalo del server multimediale con conseguente negazione temporanea del servizio locale.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6605 | ANDROID-20915134 | Basso | 5.1 e seguenti | Google interno |
| ANDROID-23142203 | ||||
| ANDROID-22278703 | Basso | 5.0 - 6.0 | Google interno | |
| CVE-2015-3862 | ANDROID-22954006 | Basso | 5.1 e seguenti | 2 agosto 2015 |
Revisioni
- 05 ottobre 2015: pubblicato il bollettino.
- 07 ottobre 2015: Bollettino aggiornato con riferimenti AOSP. Chiariti i riferimenti ai bug per CVE-2014-9028.
- 12 ottobre 2015: Ringraziamenti aggiornati per CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
- 22 gennaio 2016: Ringraziamenti aggiornati per CVE-2015-6606.
- 28 aprile 2016: aggiunto CVE-2015-6603 e corretto errore di battitura con CVE-2014-9028.