Pubblicato il 5 ottobre 2015 | Aggiornato il 28 aprile 2016
Abbiamo rilasciato un aggiornamento di sicurezza per i dispositivi Nexus tramite un aggiornamento over-the-air (OTA) come parte del nostro processo di rilascio mensile del bollettino sulla sicurezza di Android. Le immagini del firmware del Nexus sono state rilasciate anche sul sito degli sviluppatori di Google . Le build LMY48T o successive (come LMY48W) e Android M con livello di patch di sicurezza del 1 ottobre 2015 o successivo risolvono questi problemi. Fare riferimento alla documentazione del Nexus per istruzioni su come verificare il livello della patch di sicurezza.
I partner sono stati informati di questi problemi il 10 settembre 2015 o prima. Le patch del codice sorgente per questi problemi sono state rilasciate nel repository Android Open Source Project (AOSP).
Il più grave di questi problemi è una vulnerabilità critica della sicurezza che potrebbe consentire l'esecuzione di codice remoto su un dispositivo interessato attraverso più metodi come e-mail, navigazione Web e MMS durante l'elaborazione di file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, presupponendo che le mitigazioni della piattaforma e del servizio siano disabilitate per scopi di sviluppo o se aggirate con successo.
Non abbiamo ricevuto segnalazioni di sfruttamento attivo da parte dei clienti di questi problemi appena segnalati. Fare riferimento alla sezione Mitigazioni per dettagli sulle protezioni della piattaforma di sicurezza Android e sulle protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android. Incoraggiamo tutti i clienti ad accettare questi aggiornamenti sui propri dispositivi.
Mitigazioni
Questo è un riepilogo delle mitigazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni dei servizi come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità della sicurezza possano essere sfruttate con successo su Android.
- Lo sfruttamento di molti problemi su Android è reso più difficile dai miglioramenti apportati alle versioni più recenti della piattaforma Android. Incoraggiamo tutti gli utenti ad aggiornare all'ultima versione di Android, ove possibile.
- Il team di sicurezza Android sta monitorando attivamente eventuali abusi con Verify Apps e SafetyNet che avviseranno delle applicazioni potenzialmente dannose che stanno per essere installate. Gli strumenti di rooting del dispositivo sono vietati in Google Play. Per proteggere gli utenti che installano applicazioni dall'esterno di Google Play, Verifica app è abilitato per impostazione predefinita e avviserà gli utenti delle applicazioni di rooting note. Verify Apps tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di escalation dei privilegi. Se tale applicazione è già stata installata, Verify Apps avviserà l'utente e tenterà di rimuovere tali applicazioni.
- Se opportuno, Google ha aggiornato le applicazioni Hangouts e Messenger in modo che i media non vengano automaticamente passati a processi vulnerabili (come mediaserver).
Ringraziamenti
Desideriamo ringraziare questi ricercatori per il loro contributo:
- Brennan Lautner: CVE-2015-3863
- Chiachih Wu e Xuxian Jiang del C0RE Team di Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
- Yajin Zhou, Lei Wu e Xuxian Jiang del C0RE Team di Qihoo 360: CVE-2015-3865
- Daniel Micay (daniel.micay@copperhead.co) presso Copperhead Security: CVE-2015-3875
- dragonltx del team di sicurezza mobile di Alibaba: CVE-2015-6599
- Ian Beer e Steven Vittitoe di Google Project Zero: CVE-2015-6604
- Joaquín Rinaudo (@xeroxnir) e Iván Arce (@4Dgifts) di Programa STIC presso la Fundación Dr. Manuel Sadosky, Buenos Aires Argentina: CVE-2015-3870
- Josh Drake di Zimperium: CVE-2015-3876, CVE-2015-6602
- Jordan Gruskovnjak di Exodus Intelligence (@jgrusko): CVE-2015-3867
- Peter Pi di Trend Micro: CVE-2015-3872, CVE-2015-3871
- Ping Li di Qihoo 360 Technology Co. Ltd: CVE-2015-3878
- Sette Shen: CVE-2015-6600, CVE-2015-3847
- Wangtao(neobyte) di Baidu X-Team: CVE-2015-6598
- Wish Wu di Trend Micro Inc. (@wish_wu): CVE-2015-3823
- Michael Roland del JR-Center u'smile presso l'Università di Scienze Applicate, Alta Austria/ Hagenberg: CVE-2015-6606
Desideriamo inoltre riconoscere il contributo del team di sicurezza di Chrome, del team di sicurezza di Google, di Project Zero e di altre persone all'interno di Google per aver segnalato diversi problemi risolti in questo bollettino.
Dettagli sulla vulnerabilità della sicurezza
Nelle sezioni seguenti forniamo dettagli per ciascuna delle vulnerabilità della sicurezza che si applicano al livello di patch 2015-10-01. È presente una descrizione del problema, una motivazione relativa alla gravità e una tabella con il CVE, il bug associato, la gravità, le versioni interessate e la data segnalata. Ove disponibile, abbiamo collegato la modifica AOSP che risolveva il problema all'ID del bug. Quando più modifiche riguardano un singolo bug, ulteriori riferimenti AOSP sono collegati a numeri che seguono l'ID del bug.
Vulnerabilità legate all'esecuzione di codice in modalità remota in libstagefright
Esistono vulnerabilità in libstagefright che potrebbero consentire a un utente malintenzionato, durante l'elaborazione di file multimediali e dati di un file appositamente predisposto, di provocare il danneggiamento della memoria e l'esecuzione di codice remoto nel servizio mediaserver.
Questi problemi sono classificati come di gravità critica a causa della possibilità di esecuzione di codice in modalità remota come servizio privilegiato. I componenti interessati hanno accesso a flussi audio e video nonché accesso a privilegi a cui normalmente le applicazioni di terze parti non possono accedere.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-3873 | ANDROID-20674086 [ 2 , 3 , 4 ] | Critico | 5.1 e seguenti | Interno di Google |
| ANDROID-20674674 [ 2 , 3 , 4 ] | ||||
| ANDROID-20718524 | ||||
| ANDROID-21048776 | ||||
| ANDROID-21443020 | ||||
| ANDROID-21814993 | ||||
| ANDROID-22008959 | ||||
| ANDROID-22077698 | ||||
| ANDROID-22388975 | ||||
| ANDROID-22845824 | ||||
| ANDROID-23016072 | ||||
| ANDROID-23247055 | ||||
| ANDROID-23248776 | ||||
| ANDROID-20721050 | Critico | 5.0 e 5.1 | Interno di Google | |
| CVE-2015-3823 | ANDROID-21335999 | Critico | 5.1 e seguenti | 20 maggio 2015 |
| CVE-2015-6600 | ANDROID-22882938 | Critico | 5.1 e seguenti | 31 luglio 2015 |
| CVE-2015-6601 | ANDROID-22935234 | Critico | 5.1 e seguenti | 3 agosto 2015 |
| CVE-2015-3869 | ANDROID-23036083 | Critico | 5.1 e seguenti | 4 agosto 2015 |
| CVE-2015-3870 | ANDROID-22771132 | Critico | 5.1 e seguenti | 5 agosto 2015 |
| CVE-2015-3871 | ANDROID-23031033 | Critico | 5.1 e seguenti | 6 agosto 2015 |
| CVE-2015-3868 | ANDROID-23270724 | Critico | 5.1 e seguenti | 6 agosto 2015 |
| CVE-2015-6604 | ANDROID-23129786 | Critico | 5.1 e seguenti | 11 agosto 2015 |
| CVE-2015-3867 | ANDROID-23213430 | Critico | 5.1 e seguenti | 14 agosto 2015 |
| CVE-2015-6603 | ANDROID-23227354 | Critico | 5.1 e seguenti | 15 agosto 2015 |
| CVE-2015-3876 | ANDROID-23285192 | Critico | 5.1 e seguenti | 15 agosto 2015 |
| CVE-2015-6598 | ANDROID-23306638 | Critico | 5.1 e seguenti | 18 agosto 2015 |
| CVE-2015-3872 | ANDROID-23346388 | Critico | 5.1 e seguenti | 19 agosto 2015 |
| CVE-2015-6599 | ANDROID-23416608 | Critico | 5.1 e seguenti | 21 agosto 2015 |
Vulnerabilità legate all'esecuzione di codice in modalità remota in Sonivox
Esistono vulnerabilità in Sonivox che potrebbero consentire a un utente malintenzionato, durante l'elaborazione di file multimediali di un file appositamente predisposto, di causare il danneggiamento della memoria e l'esecuzione di codice remoto nel servizio mediaserver. Questo problema è classificato come grave a causa della possibilità di esecuzione di codice in modalità remota come servizio privilegiato. Il componente interessato ha accesso ai flussi audio e video nonché ai privilegi a cui normalmente le applicazioni di terze parti non possono accedere.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-3874 | ANDROID-23335715 | Critico | 5.1 e seguenti | Molteplici |
| ANDROID-23307276 [ 2 ] | ||||
| ANDROID-23286323 |
Vulnerabilità legate all'esecuzione di codice in modalità remota nelle libutils
Esistono vulnerabilità in libutils, una libreria generica, nell'elaborazione dei file audio. Queste vulnerabilità potrebbero consentire a un utente malintenzionato, durante l'elaborazione di un file appositamente predisposto, di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota in un servizio che utilizza questa libreria come mediaserver.
La funzionalità interessata viene fornita come API dell'applicazione ed esistono diverse applicazioni che consentono di raggiungerla con contenuti remoti, in particolare MMS e riproduzione di contenuti multimediali tramite browser. Questo problema è classificato come grave a causa della possibilità di esecuzione di codice remoto in un servizio privilegiato. Il componente interessato ha accesso ai flussi audio e video nonché ai privilegi a cui normalmente le app di terze parti non possono accedere.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-3875 | ANDROID-22952485 | Critico | 5.1 e seguenti | 15 agosto 2015 |
| CVE-2015-6602 | ANDROID-23290056 [ 2 ] | Critico | 5.1 e seguenti | 15 agosto 2015 |
Vulnerabilità legata all'esecuzione di codice in modalità remota a Skia
Potrebbe essere sfruttata una vulnerabilità nel componente Skia durante l'elaborazione di un file multimediale appositamente predisposto, che potrebbe portare al danneggiamento della memoria e all'esecuzione di codice remoto in un processo privilegiato. Questo problema è classificato come grave a causa della possibilità di esecuzione di codice in modalità remota tramite più metodi di attacco come e-mail, navigazione Web e MMS durante l'elaborazione di file multimediali.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-3877 | ANDROID-20723696 | Critico | 5.1 e seguenti | 30 luglio 2015 |
Vulnerabilità legate all'esecuzione di codice in modalità remota in libFLAC
Esiste una vulnerabilità in libFLAC nell'elaborazione dei file multimediali. Queste vulnerabilità potrebbero consentire a un utente malintenzionato, durante l'elaborazione di un file appositamente predisposto, di provocare il danneggiamento della memoria e l'esecuzione di codice in modalità remota.
La funzionalità interessata viene fornita come API dell'applicazione ed esistono più applicazioni che consentono di raggiungerla con contenuti remoti, come la riproduzione di contenuti multimediali tramite browser. Questo problema è classificato come grave a causa della possibilità di esecuzione di codice remoto in un servizio privilegiato. Il componente interessato ha accesso ai flussi audio e video nonché ai privilegi a cui normalmente le app di terze parti non possono accedere.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2014-9028 | ANDROID-18872897 [ 2 ] | Critico | 5.1 e seguenti | 14 novembre 2014 |
Elevazione della vulnerabilità dei privilegi in KeyStore
Una vulnerabilità relativa all'elevazione dei privilegi nel componente KeyStore può essere sfruttata da un'applicazione dannosa quando richiama le API KeyStore. Questa applicazione potrebbe causare il danneggiamento della memoria e l'esecuzione di codice arbitrario nel contesto di KeyStore. Questo problema è classificato come di gravità elevata perché può essere utilizzato per accedere a privilegi che non sono direttamente accessibili a un'applicazione di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | Alto | 5.1 e seguenti | 28 luglio 2015 |
Elevazione della vulnerabilità dei privilegi nel framework Media Player
Una vulnerabilità che aumenta i privilegi nel componente del framework del lettore multimediale potrebbe consentire a un'applicazione dannosa di eseguire codice arbitrario nel contesto del mediaserver. Questo problema è classificato con gravità elevata perché consente a un'applicazione dannosa di accedere a privilegi non accessibili a un'applicazione di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-3879 | ANDROID-23223325 [2]* | Alto | 5.1 e seguenti | 14 agosto 2015 |
* Una seconda modifica per questo problema non è presente in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito degli sviluppatori di Google .
Vulnerabilità relativa all'acquisizione di privilegi più elevati in Android Runtime
Una vulnerabilità legata all'elevazione dei privilegi in Android Runtime può consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto di un'applicazione di sistema con privilegi elevati. Questo problema è classificato come di gravità elevata perché può essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-3865 | ANDROID-23050463 [ 2 ] | Alto | 5.1 e seguenti | 8 agosto 2015 |
Elevazione delle vulnerabilità dei privilegi in Mediaserver
Esistono diverse vulnerabilità nel mediaserver che possono consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto di un servizio nativo privilegiato. Questo problema è classificato come di gravità elevata perché può essere utilizzato per accedere a privilegi che non sono direttamente accessibili a un'applicazione di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6596 | ANDROID-20731946 | Alto | 5.1 e seguenti | Molteplici |
| ANDROID-20719651* | ||||
| ANDROID-19573085 | Alto | 5.0 - 6.0 | Interno di Google |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito degli sviluppatori di Google .
Elevazione della vulnerabilità dei privilegi nel kit di valutazione degli elementi sicuri
Una vulnerabilità nel plug-in SEEK (Secure Element Evaluation Kit, ovvero l'API SmartCard) potrebbe consentire a un'applicazione di ottenere autorizzazioni elevate senza richiederle. Questo problema è classificato come di gravità elevata perché può essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili ad applicazioni di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6606 | ANDROID-22301786* | Alto | 5.1 e seguenti | 30 giugno 2015 |
*L'aggiornamento che risolve questo problema si trova nel sito SEEK per Android .
Elevazione della vulnerabilità dei privilegi nella proiezione dei media
Una vulnerabilità nel componente Proiezione multimediale può consentire la divulgazione dei dati dell'utente sotto forma di istantanee dello schermo. Il problema è dovuto al fatto che il sistema operativo consente nomi di applicazioni troppo lunghi. L'utilizzo di questi nomi lunghi da parte di un'applicazione dannosa locale potrebbe impedire all'utente di visualizzare un avviso relativo alla registrazione dello schermo. Questo problema è classificato con gravità moderata perché può essere utilizzato per ottenere in modo errato autorizzazioni elevate.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-3878 | ANDROID-23345192 | Moderare | 5.0 - 6.0 | 18 agosto 2015 |
Elevazione della vulnerabilità dei privilegi in Bluetooth
Una vulnerabilità nel componente Bluetooth di Android potrebbe consentire a un'applicazione di eliminare i messaggi SMS memorizzati. Questo problema è classificato con gravità moderata perché può essere utilizzato per ottenere in modo errato autorizzazioni elevate.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-3847 | ANDROID-22343270 | Moderare | 5.1 e seguenti | 8 luglio 2015 |
Elevazione delle vulnerabilità dei privilegi in SQLite
Sono state scoperte numerose vulnerabilità nel motore di analisi SQLite. Queste vulnerabilità possono essere sfruttate da un'applicazione locale che può far sì che un'altra applicazione o servizio esegua query SQL arbitrarie. Uno sfruttamento riuscito potrebbe comportare l'esecuzione di codice arbitrario nel contesto dell'applicazione di destinazione.
Una correzione è stata caricata su AOSP principale l'8 aprile 2015, aggiornando la versione SQLite alla 3.8.9: https://android-review.googlesource.com/#/c/145961/
Questo bollettino contiene patch per le versioni SQLite in Android 4.4 (SQLite 3.7.11) e Android 5.0 e 5.1 (SQLite 3.8.6).
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6607 | ANDROID-20099586 | Moderare | 5.1 e seguenti | 7 aprile 2015 Noto pubblicamente |
Vulnerabilità di tipo Denial of Service nel Mediaserver
Esistono più vulnerabilità nel mediaserver che possono causare un Denial of Service bloccando il processo mediaserver. Questi problemi sono classificati come di gravità bassa perché l'effetto si verifica con un arresto anomalo del server multimediale che provoca una negazione del servizio temporanea a livello locale.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6605 | ANDROID-20915134 | Basso | 5.1 e seguenti | Interno di Google |
| ANDROID-23142203 | ||||
| ANDROID-22278703 | Basso | 5.0 - 6.0 | Interno di Google | |
| CVE-2015-3862 | ANDROID-22954006 | Basso | 5.1 e seguenti | 2 agosto 2015 |
Revisioni
- 5 ottobre 2015: pubblicato il bollettino.
- 7 ottobre 2015: Bollettino aggiornato con i riferimenti AOSP. Chiariti i riferimenti ai bug per CVE-2014-9028.
- 12 ottobre 2015: riconoscimenti aggiornati per CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
- 22 gennaio 2016: riconoscimenti aggiornati per CVE-2015-6606.
- 28 aprile 2016: aggiunto CVE-2015-6603 e corretto errore di battitura con CVE-2014-9028.