Pubblicato il 5 ottobre 2015 | Aggiornato il 28 aprile 2016
Abbiamo rilasciato un aggiornamento della sicurezza per i dispositivi Nexus tramite un aggiornamento over-the-air (OTA) nell'ambito della nostra procedura di rilascio mensile del Bollettino sulla sicurezza di Android. Le immagini del firmware di Nexus sono state rilasciate anche sul sito Google for Developers. Le build LMY48T o successive (ad esempio LMY48W) e Android M con il livello della patch di sicurezza del 1° ottobre 2015 o successivo risolvono questi problemi. Per istruzioni su come controllare il livello della patch di sicurezza, consulta la documentazione di Nexus.
I partner sono stati informati di questi problemi prima del 10 settembre 2015. Le patch del codice sorgente per questi problemi sono state rilasciate nel repository Android Open Source Project (AOSP).
Il più grave di questi problemi è una vulnerabilità di sicurezza critica che potrebbe consentire l'esecuzione di codice remoto su un dispositivo interessato tramite diversi metodi, come email, navigazione web e MMS durante l'elaborazione di file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, supponendo che le mitigazioni della piattaforma e del servizio siano disattivate a scopo di sviluppo o se sono state aggirate.
Non abbiamo ricevuto segnalazioni di sfruttamento attivo da parte dei clienti di questi problemi appena segnalati. Consulta la sezione Mitigazioni per informazioni dettagliate sulle protezioni della piattaforma di sicurezza Android e sulle protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android. Invitiamo tutti i clienti ad accettare questi aggiornamenti sui propri dispositivi.
Mitigazioni
Questo è un riepilogo delle mitigazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni dei servizi come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità di sicurezza possano essere sfruttate con successo su Android.
- Lo sfruttamento di molti problemi su Android è reso più difficile dai miglioramenti nelle versioni più recenti della piattaforma Android. Invitiamo tutti gli utenti a eseguire l'aggiornamento all'ultima versione di Android, se possibile.
- Il team di Android Security monitora attivamente gli abusi con Verifica app e SafetyNet, che avvisano dell'imminente installazione di applicazioni potenzialmente dannose. Gli strumenti per il rooting dei dispositivi sono vietati su Google Play. Per proteggere gli utenti che installano applicazioni da origini diverse da Google Play, Verifica app è attivata per impostazione predefinita e avvisa gli utenti delle applicazioni di rooting note. Verifica App tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di elevazione dei privilegi. Se un'app di questo tipo è già stata installata, Verifica app invierà una notifica all'utente e tenterà di rimuoverla.
- A seconda dei casi, Google ha aggiornato le applicazioni Hangouts e Messenger in modo che i contenuti multimediali non vengano trasmessi automaticamente a processi vulnerabili (come mediaserver).
Ringraziamenti
Vogliamo ringraziare per il loro contributo i seguenti ricercatori:
- Brennan Lautner: CVE-2015-3863
- Chiachih Wu e Xuxian Jiang del team C0RE di Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
- Yajin Zhou, Lei Wu e Xuxian Jiang del team C0RE di Qihoo 360: CVE-2015-3865
- Daniel Micay (daniel.micay@copperhead.co) di Copperhead Security: CVE-2015-3875
- dragonltx del team di sicurezza mobile di Alibaba: CVE-2015-6599
- Ian Beer e Steven Vittitoe di Google Project Zero: CVE-2015-6604
- Joaquín Rinaudo (@xeroxnir) e Iván Arce (@4Dgifts) del Programma STIC presso la Fondazione Dr. Manuel Sadosky, Buenos Aires, Argentina: CVE-2015-3870
- Josh Drake di Zimperium: CVE-2015-3876, CVE-2015-6602
- Jordan Gruskovnjak di Exodus Intelligence (@jgrusko): CVE-2015-3867
- Peter Pi di Trend Micro: CVE-2015-3872, CVE-2015-3871
- Ping Li di Qihoo 360 Technology Co. Ltd: CVE-2015-3878
- Seven Shen: CVE-2015-6600, CVE-2015-3847
- Wangtao(neobyte) del team X di Baidu: CVE-2015-6598
- Wish Wu di Trend Micro Inc. (@wish_wu): CVE-2015-3823
- Michael Roland di JR-Center u'smile presso l'Università di Scienze Applicate, Alta Austria/ Hagenberg: CVE-2015-6606
Ringraziamo inoltre il team di sicurezza di Chrome, il team di sicurezza di Google, Project Zero e altre persone all'interno di Google per aver segnalato diversi problemi risolti in questo bollettino.
Dettagli sulla vulnerabilità di sicurezza
Nelle sezioni seguenti sono riportati i dettagli di ciascuna delle vulnerabilità di sicurezza che si applicano al livello del patch del 1° ottobre 2015. Sono presenti una descrizione del problema, una motivazione della gravità e una tabella con il CVE, il bug associato, la gravità, le versioni interessate e la data di segnalazione. Se disponibile, abbiamo collegato la modifica AOSP che ha risolto il problema all'ID bug. Quando più modifiche si riferiscono a un singolo bug, i riferimenti AOSP aggiuntivi sono collegati ai numeri che seguono l'ID bug.
Vulnerabilità di esecuzione di codice remoto in libstagefright
Esistono vulnerabilità in libstagefright che potrebbero consentire a un malintenzionato, durante l'elaborazione di dati e file multimediali di un file appositamente creato, di causare la corruzione della memoria e l'esecuzione di codice remoto nel servizio mediaserver.
Questi problemi sono classificati come critici a causa della possibilità di esecuzione di codice da remoto come servizio privilegiato. I componenti interessati hanno accesso ai flussi audio e video, nonché ai privilegi a cui normalmente non possono accedere le applicazioni di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-3873 | ANDROID-20674086 [2,3,4] | Critico | 5.1 e versioni precedenti | Interno Google |
| ANDROID-20674674 [2,3,4] | ||||
| ANDROID-20718524 | ||||
| ANDROID-21048776 | ||||
| ANDROID-21443020 | ||||
| ANDROID-21814993 | ||||
| ANDROID-22008959 | ||||
| ANDROID-22077698 | ||||
| ANDROID-22388975 | ||||
| ANDROID-22845824 | ||||
| ANDROID-23016072 | ||||
| ANDROID-23247055 | ||||
| ANDROID-23248776 | ||||
| ANDROID-20721050 | Critico | 5.0 e 5.1 | Interno Google | |
| CVE-2015-3823 | ANDROID-21335999 | Critico | 5.1 e versioni precedenti | 20 maggio 2015 |
| CVE-2015-6600 | ANDROID-22882938 | Critico | 5.1 e versioni precedenti | 31 luglio 2015 |
| CVE-2015-6601 | ANDROID-22935234 | Critico | 5.1 e versioni precedenti | 3 agosto 2015 |
| CVE-2015-3869 | ANDROID-23036083 | Critico | 5.1 e versioni precedenti | 4 agosto 2015 |
| CVE-2015-3870 | ANDROID-22771132 | Critico | 5.1 e versioni precedenti | 5 agosto 2015 |
| CVE-2015-3871 | ANDROID-23031033 | Critico | 5.1 e versioni precedenti | 6 agosto 2015 |
| CVE-2015-3868 | ANDROID-23270724 | Critico | 5.1 e versioni precedenti | 6 agosto 2015 |
| CVE-2015-6604 | ANDROID-23129786 | Critico | 5.1 e versioni precedenti | 11 agosto 2015 |
| CVE-2015-3867 | ANDROID-23213430 | Critico | 5.1 e versioni precedenti | 14 agosto 2015 |
| CVE-2015-6603 | ANDROID-23227354 | Critico | 5.1 e versioni precedenti | 15 agosto 2015 |
| CVE-2015-3876 | ANDROID-23285192 | Critico | 5.1 e versioni precedenti | 15 agosto 2015 |
| CVE-2015-6598 | ANDROID-23306638 | Critico | 5.1 e versioni precedenti | 18 agosto 2015 |
| CVE-2015-3872 | ANDROID-23346388 | Critico | 5.1 e versioni precedenti | 19 agosto 2015 |
| CVE-2015-6599 | ANDROID-23416608 | Critico | 5.1 e versioni precedenti | 21 agosto 2015 |
Vulnerabilità di esecuzione di codice remoto in Sonivox
In Sonivox esistono vulnerabilità che potrebbero consentire a un malintenzionato, durante l'elaborazione di un file multimediale appositamente creato, di causare la corruzione della memoria e l'esecuzione di codice remoto nel servizio mediaserver. Questo problema è classificato come di gravità Critica a causa della possibilità di esecuzione di codice remoto come servizio privilegiato. Il componente interessato ha accesso agli stream audio e video, nonché ai privilegi a cui le applicazioni di terze parti non possono accedere normalmente.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-3874 | ANDROID-23335715 | Critico | 5.1 e versioni precedenti | Più di uno |
| ANDROID-23307276 [2] | ||||
| ANDROID-23286323 |
Vulnerabilità di esecuzione di codice remoto in libutils
Esistono vulnerabilità in libutils, una libreria generica, nell'elaborazione dei file audio. Queste vulnerabilità potrebbero consentire a un utente malintenzionato, durante l'elaborazione di un file appositamente creato, di causare la corruzione della memoria e l'esecuzione di codice remoto in un servizio che utilizza questa libreria, ad esempio mediaserver.
La funzionalità interessata è fornita come API di applicazione e esistono più applicazioni che consentono di raggiungerla con contenuti remoti, in particolare MMS e riproduzione di contenuti multimediali nel browser. Questo problema è classificato come di gravità Critica a causa della possibilità di esecuzione di codice da remoto in un servizio con privilegi. Il componente interessato ha accesso agli stream audio e video, nonché ai privilegi a cui le app di terze parti non possono accedere normalmente.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-3875 | ANDROID-22952485 | Critico | 5.1 e versioni precedenti | 15 agosto 2015 |
| CVE-2015-6602 | ANDROID-23290056 [2] | Critico | 5.1 e versioni precedenti | 15 agosto 2015 |
Vulnerabilità di esecuzione di codice remoto in Skia
Una vulnerabilità nel componente Skia potrebbe essere sfruttata durante l'elaborazione di un file multimediale appositamente creato, che potrebbe causare la corruzione della memoria e l'esecuzione di codice da remoto in un processo privilegiato. Questo problema è classificato come di gravità critica a causa della possibilità di esecuzione di codice remoto tramite più metodi di attacco, come email, navigazione web e MMS, durante l'elaborazione di file multimediali.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-3877 | ANDROID-20723696 | Critico | 5.1 e versioni precedenti | 30 luglio 2015 |
Vulnerabilità di esecuzione di codice remoto in libFLAC
Esiste una vulnerabilità in libFLAC nell'elaborazione dei file multimediali. Queste vulnerabilità potrebbero consentire a un utente malintenzionato, durante l'elaborazione di un file appositamente creato, di causare la corruzione della memoria e l'esecuzione di codice da remoto.
La funzionalità interessata è fornita come API di applicazione e esistono più applicazioni che consentono di raggiungerla con contenuti remoti, ad esempio la riproduzione di contenuti multimediali nel browser. Questo problema è classificato come di gravità Critica a causa della possibilità di esecuzione di codice da remoto in un servizio con privilegi. Il componente interessato ha accesso agli stream audio e video, nonché ai privilegi a cui le app di terze parti non possono accedere normalmente.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate | Data segnalazione |
|---|---|---|---|---|
| CVE-2014-9028 | ANDROID-18872897 [2] | Critico | 5.1 e versioni precedenti | 14 novembre 2014 |
Vulnerabilità di elevazione dei privilegi nell'archivio chiavi
Una vulnerabilità di elevazione dei privilegi nel componente KeyStore potrebbe essere sfruttata da un'applicazione dannosa durante le chiamate alle API KeyStore. Questa applicazione potrebbe causare la corruzione della memoria e l'esecuzione di codice arbitrario nel contesto di KeyStore. Questo problema è classificato come di gravità elevata perché può essere utilizzato per accedere a privilegi non direttamente accessibili a un'applicazione di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | Alto | 5.1 e versioni precedenti | 28 luglio 2015 |
Vulnerabilità di elevazione dei privilegi nel framework Media Player
Una vulnerabilità di elevazione dei privilegi nel componente del framework del media player potrebbe consentire a un'applicazione dannosa di eseguire codice arbitrario nel contesto di mediaserver. Questo problema è classificato come di gravità Alta perché consente a un'applicazione dannosa di accedere a privilegi non accessibili a un'applicazione di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-3879 | ANDROID-23223325 [2]* | Alto | 5.1 e versioni precedenti | 14 agosto 2015 |
* Una seconda modifica per questo problema non è presente in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi nel runtime di Android
Una vulnerabilità di elevazione dei privilegi in Android Runtime può consentire a un'applicazione local maligna di eseguire codice arbitrario nel contesto di un'applicazione di sistema con privilegi elevati. Questo problema è classificato come di gravità Alta perché può essere utilizzato per ottenere funzionalità elevate, ad esempio i privilegi delle autorizzazioni Signature o SignatureOrSystem, che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-3865 | ANDROID-23050463 [2] | Alto | 5.1 e versioni precedenti | 8 agosto 2015 |
Vulnerabilità di elevazione dei privilegi in Mediaserver
In mediaserver sono presenti diverse vulnerabilità che possono consentire a un'applicazione malevola locale di eseguire codice arbitrario nel contesto di un servizio nativo privilegiato. Questo problema è classificato come di gravità elevata perché può essere utilizzato per accedere a privilegi non direttamente accessibili a un'applicazione di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6596 | ANDROID-20731946 | Alto | 5.1 e versioni precedenti | Più di uno |
| ANDROID-20719651* | ||||
| ANDROID-19573085 | Alto | 5,0 - 6,0 | Interno Google |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi nel kit di valutazione dell'elemento sicuro
Una vulnerabilità nel plug-in SEEK (Secure Element Evaluation Kit, noto anche come API SmartCard) potrebbe consentire a un'applicazione di ottenere autorizzazioni elevate senza richiederle. Questo problema è classificato come di gravità Alta perché può essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem, che non sono accessibili alle applicazioni di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6606 | ANDROID-22301786* | Alto | 5.1 e versioni precedenti | 30 giugno 2015 |
* L'upgrade che risolve il problema si trova sul sito SEEK per Android.
Vulnerabilità di elevazione dei privilegi nella proiezione di contenuti multimediali
Una vulnerabilità nel componente Media Projection può consentire la divulgazione dei dati utente sotto forma di istantanee dello schermo. Il problema è dovuto al fatto che il sistema operativo consente nomi di applicazioni eccessivamente lunghi. L'uso di questi nomi lunghi da parte di un'applicazione locale dannosa potrebbe impedire all'utente di vedere un avviso sulla registrazione dello schermo. Questo problema è classificato come di gravità moderata perché può essere utilizzato per ottenere impropriamente autorizzazioni elevate.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-3878 | ANDROID-23345192 | Moderata | 5,0 - 6,0 | 18 agosto 2015 |
Vulnerabilità di elevazione dei privilegi nel Bluetooth
Una vulnerabilità nel componente Bluetooth di Android potrebbe consentire a un'applicazione di eliminare i messaggi SMS memorizzati. Questo problema è classificato come di gravità moderata perché può essere utilizzato per ottenere impropriamente autorizzazioni elevate.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-3847 | ANDROID-22343270 | Moderata | 5.1 e versioni precedenti | 8 luglio 2015 |
Vulnerabilità di elevazione dei privilegi in SQLite
Sono state scoperte diverse vulnerabilità nel motore di analisi di SQLite. Queste vulnerabilità possono essere sfruttate da un'applicazione locale che può causare l'esecuzione di query SQL arbitrarie da parte di un'altra applicazione o di un altro servizio. L'exploiting riuscito potrebbe comportare l'esecuzione di codice arbitrario nel contesto dell'applicazione di destinazione.
L'8 aprile 2015 è stata caricata una correzione in AOSP main, con l'upgrade della versione di SQLite a 3.8.9: https://android-review.googlesource.com/#/c/145961/
Questo bollettino contiene patch per le versioni di SQLite in Android 4.4 (SQLite 3.7.11) e Android 5.0 e 5.1 (SQLite 3.8.6).
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6607 | ANDROID-20099586 | Moderata | 5.1 e versioni precedenti | 7 aprile 2015 Noti pubblicamente |
Vulnerabilità Denial of Service in Mediaserver
In mediaserver sono presenti diverse vulnerabilità che possono causare un Denial of Service facendo arrestare in modo anomalo il processo mediaserver. Questi problemi sono classificati come di bassa gravità perché l'effetto è causato da un arresto anomalo del server multimediale che comporta un attacco di denial of service locale temporaneo.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6605 | ANDROID-20915134 | Bassa | 5.1 e versioni precedenti | Interno Google |
| ANDROID-23142203 | ||||
| ANDROID-22278703 | Bassa | 5,0 - 6,0 | Interno Google | |
| CVE-2015-3862 | ANDROID-22954006 | Bassa | 5.1 e versioni precedenti | 2 agosto 2015 |
Revisioni
- 5 ottobre 2015: pubblicazione del bollettino.
- 7 ottobre 2015: bollettino aggiornato con riferimenti AOSP. Sono stati chiariti i riferimenti ai bug per CVE-2014-9028.
- 12 ottobre 2015: sono stati aggiornati i riconoscimenti per CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
- 22 gennaio 2016: sono stati aggiornati i riconoscimenti per CVE-2015-6606.
- 28 aprile 2016: è stato aggiunto CVE-2015-6603 ed è stato corretto l'errore ortografico in CVE-2014-9028.