Bollettino sulla sicurezza di Nexus - ottobre 2015

Pubblicato il 05 ottobre 2015 | Aggiornato il 28 aprile 2016

Abbiamo rilasciato un aggiornamento di sicurezza per i dispositivi Nexus tramite un aggiornamento over-the-air (OTA) come parte del nostro processo di rilascio mensile del Bollettino sulla sicurezza Android. Le immagini del firmware Nexus sono state rilasciate anche al sito degli sviluppatori di Google . Le build LMY48T o successive (come LMY48W) e Android M con Security Patch Level del 1 ottobre 2015 o successive risolvono questi problemi. Fare riferimento alla documentazione di Nexus per istruzioni su come controllare il livello di patch di sicurezza.

I partner sono stati informati di questi problemi il 10 settembre 2015 o prima. Le patch del codice sorgente per questi problemi sono state rilasciate nel repository Android Open Source Project (AOSP).

Il più grave di questi problemi è una vulnerabilità di sicurezza critica che potrebbe consentire l'esecuzione di codice in modalità remota su un dispositivo interessato tramite più metodi come e-mail, navigazione Web e MMS durante l'elaborazione di file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, supponendo che la piattaforma e le attenuazioni del servizio siano disabilitate per scopi di sviluppo o se bypassate correttamente.

Non abbiamo avuto segnalazioni di sfruttamento attivo da parte dei clienti di questi problemi appena segnalati. Fare riferimento alla sezione Mitigazioni per i dettagli sulle protezioni della piattaforma di sicurezza Android e sulle protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android. Invitiamo tutti i clienti ad accettare questi aggiornamenti sui propri dispositivi.

Mitigazioni

Questo è un riepilogo delle attenuazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni del servizio come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità della sicurezza possano essere sfruttate con successo su Android.

  • Lo sfruttamento per molti problemi su Android è reso più difficile dai miglioramenti nelle versioni più recenti della piattaforma Android. Incoraggiamo tutti gli utenti ad aggiornare all'ultima versione di Android, ove possibile.
  • Il team di sicurezza di Android sta monitorando attivamente gli abusi con Verifica app e SafetyNet che avviseranno di applicazioni potenzialmente dannose che stanno per essere installate. Gli strumenti di rooting del dispositivo sono vietati all'interno di Google Play. Per proteggere gli utenti che installano applicazioni al di fuori di Google Play, Verifica app è abilitato per impostazione predefinita e avviserà gli utenti delle applicazioni di rooting note. Verifica app tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di escalation dei privilegi. Se tale applicazione è già stata installata, Verifica app avviserà l'utente e tenterà di rimuovere tali applicazioni.
  • Se del caso, Google ha aggiornato le applicazioni Hangouts e Messenger in modo che i contenuti multimediali non vengano trasmessi automaticamente a processi vulnerabili (come mediaserver).

Ringraziamenti

Vorremmo ringraziare questi ricercatori per il loro contributo:

  • Brennan Lautner: CVE-2015-3863
  • Chiachih Wu e Xuxian Jiang del team C0RE di Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
  • Yajin Zhou, Lei Wu e Xuxian Jiang del team C0RE di Qihoo 360: CVE-2015-3865
  • Daniel Micay (daniel.micay@copperhead.co) presso Copperhead Security: CVE-2015-3875
  • dragonltx di Alibaba Mobile Security Team: CVE-2015-6599
  • Ian Beer e Steven Vittitoe di Google Project Zero: CVE-2015-6604
  • Joaquín Rinaudo (@xeroxnir) e Iván Arce (@4Dgifts) di Programa STIC alla Fundación Dr. Manuel Sadosky, Buenos Aires Argentina: CVE-2015-3870
  • Josh Drake di Zimperium: CVE-2015-3876, CVE-2015-6602
  • Jordan Gruskovnjak di Exodus Intelligence (@jgrusko): CVE-2015-3867
  • Peter Pi di Trend Micro: CVE-2015-3872, CVE-2015-3871
  • Ping Li di Qihoo 360 Technology Co. Ltd: CVE-2015-3878
  • Sette Shen: CVE-2015-6600, CVE-2015-3847
  • Wangtao (neobyte) di Baidu X-Team: CVE-2015-6598
  • Wish Wu di Trend Micro Inc. (@wish_wu): CVE-2015-3823
  • Michael Roland del JR-Center u'smile presso l'Università di Scienze Applicate, Alta Austria/ Hagenberg: CVE-2015-6606

Desideriamo inoltre ringraziare i contributi del team di sicurezza di Chrome, del team di sicurezza di Google, di Project Zero e di altre persone all'interno di Google per aver segnalato diversi problemi risolti in questo bollettino.

Dettagli vulnerabilità di sicurezza

Nelle sezioni seguenti, forniamo i dettagli per ciascuna delle vulnerabilità di sicurezza che si applicano al livello di patch 2015-10-01. C'è una descrizione del problema, una logica di gravità e una tabella con il CVE, il bug associato, la gravità, le versioni interessate e la data segnalata. Ove disponibile, abbiamo collegato la modifica AOSP che ha risolto il problema all'ID del bug. Quando più modifiche si riferiscono a un singolo bug, ulteriori riferimenti AOSP sono collegati a numeri che seguono l'ID del bug.

Vulnerabilità nell'esecuzione di codice in remoto in libstagefright

Esistono vulnerabilità in libstagefright che potrebbero consentire a un utente malintenzionato, durante l'elaborazione di file multimediali e dati di un file appositamente predisposto, di causare il danneggiamento della memoria e l'esecuzione di codice remoto nel servizio mediaserver.

Questi problemi sono classificati come gravità critica a causa della possibilità di esecuzione di codice in modalità remota come servizio privilegiato. I componenti interessati hanno accesso a flussi audio e video, nonché accesso a privilegi a cui normalmente le applicazioni di terze parti non possono accedere.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3873 ANDROID-20674086 [ 2 , 3 , 4 ] Critico 5.1 e seguenti Google interno
ANDROID-20674674 [ 2 , 3 , 4 ]
ANDROID-20718524
ANDROID-21048776
ANDROID-21443020
ANDROID-21814993
ANDROID-22008959
ANDROID-22077698
ANDROID-22388975
ANDROID-22845824
ANDROID-23016072
ANDROID-23247055
ANDROID-23248776
ANDROID-20721050 Critico 5.0 e 5.1 Google interno
CVE-2015-3823 ANDROID-21335999 Critico 5.1 e seguenti 20 maggio 2015
CVE-2015-6600 ANDROID-22882938 Critico 5.1 e seguenti 31 luglio 2015
CVE-2015-6601 ANDROID-22935234 Critico 5.1 e seguenti 3 agosto 2015
CVE-2015-3869 ANDROID-23036083 Critico 5.1 e seguenti 4 agosto 2015
CVE-2015-3870 ANDROID-22771132 Critico 5.1 e seguenti 5 agosto 2015
CVE-2015-3871 ANDROID-23031033 Critico 5.1 e seguenti 6 agosto 2015
CVE-2015-3868 ANDROID-23270724 Critico 5.1 e seguenti 6 agosto 2015
CVE-2015-6604 ANDROID-23129786 Critico 5.1 e seguenti 11 agosto 2015
CVE-2015-3867 ANDROID-23213430 Critico 5.1 e seguenti 14 agosto 2015
CVE-2015-6603 ANDROID-23227354 Critico 5.1 e seguenti 15 agosto 2015
CVE-2015-3876 ANDROID-23285192 Critico 5.1 e seguenti 15 agosto 2015
CVE-2015-6598 ANDROID-23306638 Critico 5.1 e seguenti 18 agosto 2015
CVE-2015-3872 ANDROID-23346388 Critico 5.1 e seguenti 19 agosto 2015
CVE-2015-6599 ANDROID-23416608 Critico 5.1 e seguenti 21 agosto 2015

Vulnerabilità nell'esecuzione di codice in remoto in Sonivox

Esistono vulnerabilità in Sonivox che potrebbero consentire a un utente malintenzionato, durante l'elaborazione di file multimediali di un file appositamente predisposto, di causare il danneggiamento della memoria e l'esecuzione di codice remoto nel servizio mediaserver. Questo problema è classificato come un livello di gravità Critico a causa della possibilità di esecuzione di codice in modalità remota come servizio privilegiato. Il componente interessato ha accesso ai flussi audio e video, nonché l'accesso ai privilegi a cui normalmente le applicazioni di terze parti non possono accedere.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3874 ANDROID-23335715 Critico 5.1 e seguenti Multiplo
ANDROID-23307276 [ 2 ]
ANDROID-23286323

Vulnerabilità nell'esecuzione di codice in remoto in libutils

Esistono vulnerabilità in libutils, una libreria generica, nell'elaborazione di file audio. Queste vulnerabilità possono consentire a un utente malintenzionato, durante l'elaborazione di un file appositamente predisposto, di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota in un servizio che utilizza questa libreria come mediaserver.

La funzionalità interessata viene fornita come un'API dell'applicazione e sono disponibili più applicazioni che consentono di raggiungerla con contenuto remoto, in particolare MMS e riproduzione di file multimediali tramite browser. Questo problema è classificato come Critico a causa della possibilità di esecuzione di codice in modalità remota in un servizio privilegiato. Il componente interessato ha accesso ai flussi audio e video, nonché ai privilegi a cui normalmente le app di terze parti non possono accedere.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3875 ANDROID-22952485 Critico 5.1 e seguenti 15 agosto 2015
CVE-2015-6602 ANDROID-23290056 [ 2 ] Critico 5.1 e seguenti 15 agosto 2015

Vulnerabilità nell'esecuzione di codice in remoto in Skia

Una vulnerabilità nel componente Skia può essere sfruttata durante l'elaborazione di un file multimediale appositamente predisposto, che potrebbe causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota in un processo con privilegi. Questo problema è considerato di gravità critica a causa della possibilità di esecuzione di codice in modalità remota tramite più metodi di attacco come e-mail, navigazione Web e MMS durante l'elaborazione di file multimediali.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3877 ANDROID-20723696 Critico 5.1 e seguenti 30 luglio 2015

Vulnerabilità nell'esecuzione di codice in remoto in libFLAC

Esiste una vulnerabilità in libFLAC nell'elaborazione dei file multimediali. Queste vulnerabilità possono consentire a un utente malintenzionato, durante l'elaborazione di un file appositamente predisposto, di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota.

La funzionalità interessata viene fornita come un'API dell'applicazione e sono disponibili più applicazioni che consentono di raggiungerla con contenuto remoto, come la riproduzione di file multimediali dal browser. Questo problema è classificato come Critico a causa della possibilità di esecuzione di codice in modalità remota in un servizio privilegiato. Il componente interessato ha accesso ai flussi audio e video, nonché ai privilegi a cui normalmente le app di terze parti non possono accedere.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2014-9028 ANDROID-18872897 [ 2 ] Critico 5.1 e seguenti 14 novembre 2014

Aumento della vulnerabilità dei privilegi in KeyStore

Una vulnerabilità legata all'acquisizione di privilegi più elevati nel componente KeyStore può essere sfruttata da un'applicazione dannosa durante la chiamata alle API KeyStore. Questa applicazione potrebbe causare il danneggiamento della memoria e l'esecuzione di codice arbitrario nel contesto di KeyStore. Questo problema è classificato con gravità elevata perché può essere utilizzato per accedere a privilegi che non sono direttamente accessibili a un'applicazione di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3863 ANDROID-22802399 Alto 5.1 e seguenti 28 luglio 2015

Aumento della vulnerabilità dei privilegi in Media Player Framework

Una vulnerabilità legata all'acquisizione di privilegi più elevati nel componente del framework del lettore multimediale potrebbe consentire a un'applicazione dannosa di eseguire codice arbitrario nel contesto di mediaserver. Questo problema è classificato come di gravità elevata perché consente a un'applicazione dannosa di accedere a privilegi non accessibili a un'applicazione di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3879 ANDROID-23223325 [2]* Alto 5.1 e seguenti 14 agosto 2015

* Una seconda modifica per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito Google Developer .

Aumento della vulnerabilità dei privilegi nel runtime di Android

Una vulnerabilità legata all'acquisizione di privilegi più elevati in Android Runtime può consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto di un'applicazione di sistema con privilegi elevati. Questo problema è classificato con gravità elevata perché può essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Firma o Firma o Sistema, che non sono accessibili a un'applicazione di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3865 ANDROID-23050463 [ 2 ] Alto 5.1 e seguenti 8 agosto 2015

Elevazione delle vulnerabilità dei privilegi in Mediaserver

Esistono molteplici vulnerabilità in mediaserver che possono consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto di un servizio nativo privilegiato. Questo problema è classificato con gravità elevata perché può essere utilizzato per accedere a privilegi che non sono direttamente accessibili a un'applicazione di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6596 ANDROID-20731946 Alto 5.1 e seguenti Multiplo
ANDROID-20719651*
ANDROID-19573085 Alto 5.0 - 6.0 Google interno

* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito Google Developer .

Aumento della vulnerabilità dei privilegi nel kit di valutazione degli elementi sicuri

Una vulnerabilità nel plug-in SEEK (Secure Element Evaluation Kit, noto anche come API SmartCard) potrebbe consentire a un'applicazione di ottenere autorizzazioni elevate senza richiederle. Questo problema è classificato come severità elevata perché può essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Firma o Firma o Sistema, che non sono accessibili ad applicazioni di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6606 ANDROID-22301786* Alto 5.1 e seguenti 30 giugno 2015

* L'aggiornamento che risolve questo problema si trova nel sito SEEK per Android .

Elevazione della vulnerabilità dei privilegi nella proiezione dei media

Una vulnerabilità nel componente Proiezione multimediale può consentire la divulgazione dei dati dell'utente sotto forma di istantanee dello schermo. Il problema è il risultato del sistema operativo che consente nomi di applicazioni troppo lunghi. L'uso di questi nomi lunghi da parte di un'applicazione dannosa locale può impedire all'utente di visualizzare un avviso sulla registrazione dello schermo. Questo problema è classificato come di gravità moderata perché può essere utilizzato per ottenere autorizzazioni elevate in modo improprio.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3878 ANDROID-23345192 Moderare 5.0 - 6.0 18 agosto 2015

Aumento della vulnerabilità dei privilegi in Bluetooth

Una vulnerabilità nel componente Bluetooth di Android potrebbe consentire a un'applicazione di eliminare i messaggi SMS archiviati. Questo problema è classificato come di gravità moderata perché può essere utilizzato per ottenere autorizzazioni elevate in modo improprio.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3847 ANDROID-22343270 Moderare 5.1 e seguenti 8 luglio 2015

Aumento delle vulnerabilità dei privilegi in SQLite

Sono state rilevate più vulnerabilità nel motore di analisi SQLite. Queste vulnerabilità possono essere sfruttate da un'applicazione locale che può far sì che un'altra applicazione o servizio esegua query SQL arbitrarie. Un corretto sfruttamento potrebbe comportare l'esecuzione arbitraria di codice nel contesto dell'applicazione di destinazione.

L'8 aprile 2015 è stata caricata una correzione su AOSP master, aggiornando la versione SQLite alla 3.8.9: https://android-review.googlesource.com/#/c/145961/

Questo bollettino contiene le patch per le versioni SQLite in Android 4.4 (SQLite 3.7.11) e Android 5.0 e 5.1 (SQLite 3.8.6).

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6607 ANDROID-20099586 Moderare 5.1 e seguenti 7 aprile 2015
Conosciuto pubblicamente

Vulnerabilità di Denial of Service in Mediaserver

Esistono diverse vulnerabilità in mediaserver che possono causare un Denial of Service provocando l'arresto anomalo del processo mediaserver. Questi problemi sono classificati come di gravità Bassa perché l'effetto è causato da un arresto anomalo del server multimediale con conseguente negazione temporanea del servizio locale.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6605 ANDROID-20915134 Basso 5.1 e seguenti Google interno
ANDROID-23142203
ANDROID-22278703 Basso 5.0 - 6.0 Google interno
CVE-2015-3862 ANDROID-22954006 Basso 5.1 e seguenti 2 agosto 2015

Revisioni

  • 05 ottobre 2015: pubblicato il bollettino.
  • 07 ottobre 2015: Bollettino aggiornato con riferimenti AOSP. Chiariti i riferimenti ai bug per CVE-2014-9028.
  • 12 ottobre 2015: Ringraziamenti aggiornati per CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
  • 22 gennaio 2016: Ringraziamenti aggiornati per CVE-2015-6606.
  • 28 aprile 2016: aggiunto CVE-2015-6603 e corretto errore di battitura con CVE-2014-9028.