Veröffentlicht am 2. November 2015
Im Rahmen unseres monatlichen Veröffentlichungsprozesses für Android Security Bulletin haben wir ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht. Builds LMY48X oder höher und Android Marshmallow mit Sicherheitspatch-Level vom 1. November 2015 oder höher beheben diese Probleme. Weitere Einzelheiten finden Sie im Abschnitt „Häufige Fragen und Antworten“ .
Die Partner wurden am 5. Oktober 2015 oder früher über diese Probleme informiert. Quellcode-Patches für diese Probleme werden in den nächsten 48 Stunden im Android Open Source Project (AOSP)-Repository veröffentlicht. Wir werden dieses Bulletin mit den AOSP-Links überarbeiten, sobald diese verfügbar sind.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die bei der Verarbeitung von Mediendateien die Remote-Codeausführung auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Webbrowsing und MMS ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät hätte, vorausgesetzt, dass die Plattform- und Service-Abhilfemaßnahmen für Entwicklungszwecke deaktiviert oder erfolgreich umgangen werden.
Uns liegen keine Berichte über eine aktive Ausnutzung dieser neu gemeldeten Probleme durch Kunden vor. Einzelheiten zu den Schutzmaßnahmen der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt „ Abhilfemaßnahmen “. Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.
Abhilfemaßnahmen
Dies ist eine Zusammenfassung der Abhilfemaßnahmen, die die Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bieten. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden können.
- Die Ausnutzung vieler Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
- Das Android-Sicherheitsteam überwacht aktiv Missbrauch mit Verify Apps und SafetyNet, das vor der Installation potenziell schädlicher Anwendungen warnt. Geräte-Rooting-Tools sind bei Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist Verify Apps standardmäßig aktiviert und warnt Benutzer vor bekannten Root-Anwendungen. Verify Apps versucht, die Installation bekannter schädlicher Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitslücke bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
- Gegebenenfalls leiten Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie Mediaserver weiter.
Danksagungen
Wir möchten diesen Forschern für ihre Beiträge danken:
- Abhishek Arya, Oliver Chang und Martin Barbella, Google Chrome-Sicherheitsteam: CVE-2015-6608
- Daniel Micay (daniel.micay@copperhead.co) bei Copperhead Security: CVE-2015-6609
- Dongkwan Kim vom System Security Lab, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
- Hongil Kim vom System Security Lab, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
- Jack Tang von Trend Micro (@jacktang310): CVE-2015-6611
- Peter Pi von Trend Micro: CVE-2015-6611
- Natalie Silvanovich von Google Project Zero: CVE-2015-6608
- Qidan He (@flanker_hqd) und Wen Xu (@antlr7) von KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
- Guang Gong (龚广) ( @oldfresher , higongguang@gmail.com) von Qihoo 360 Technology CC o.Ltd : CVE-2015-6612
- Sieben Shen von Trend Micro: CVE-2015-6610
Details zur Sicherheitslücke
In den folgenden Abschnitten stellen wir Einzelheiten zu den einzelnen Sicherheitslücken bereit, die für den Patch-Level 2015-11-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den betroffenen Versionen und dem gemeldeten Datum. Sofern verfügbar, haben wir die AOSP-Änderung, die das Problem behoben hat, mit der Fehler-ID verknüpft. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern verknüpft, die der Fehler-ID folgen.
Sicherheitslücken bei der Remotecodeausführung in Mediaserver
Während der Mediendatei und der Datenverarbeitung einer speziell gestalteten Datei könnten Schwachstellen im Medienserver einem Angreifer ermöglichen, Speicherbeschädigungen und Remotecodeausführung als Medienserverprozess zu verursachen.
Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt und es gibt mehrere Anwendungen, die den Zugriff auf Remote-Inhalte ermöglichen, insbesondere MMS und Browser-Wiedergabe von Medien.
Dieses Problem wird aufgrund der Möglichkeit einer Remotecodeausführung im Kontext des Mediaserver-Dienstes als „Kritisch“ eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6608 | ANDROID-19779574 | Kritisch | 5,0, 5,1, 6,0 | Google-intern |
| ANDROID-23680780 | ||||
| ANDROID-23876444 | ||||
| ANDROID-23881715 | Kritisch | 4,4, 5,0, 5,1, 6,0 | Google-intern | |
| ANDROID-14388161 | Kritisch | 4.4 und 5.1 | Google-intern | |
| ANDROID-23658148 | Kritisch | 5,0, 5,1, 6,0 | Google-intern |
Sicherheitslücke bezüglich Remotecodeausführung in libutils
Eine Schwachstelle in libutils, einer generischen Bibliothek, kann bei der Verarbeitung von Audiodateien ausgenutzt werden. Diese Sicherheitslücke könnte es einem Angreifer ermöglichen, während der Verarbeitung einer speziell gestalteten Datei eine Speicherbeschädigung und eine Remotecodeausführung zu verursachen.
Die betroffene Funktionalität wird als API bereitgestellt und es gibt mehrere Anwendungen, die den Zugriff auf Remote-Inhalte ermöglichen, insbesondere MMS und Browser-Wiedergabe von Medien. Dieses Problem wird als Problem mit dem Schweregrad „Kritisch“ eingestuft, da die Möglichkeit einer Remotecodeausführung in einem privilegierten Dienst besteht. Die betroffene Komponente hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6609 | ANDROID-22953624 [ 2 ] | Kritisch | 6,0 und darunter | 3. August 2015 |
Sicherheitslücken bei der Offenlegung von Informationen in Mediaserver
Es gibt Schwachstellen bei der Offenlegung von Informationen im Mediaserver, die eine Umgehung bestehender Sicherheitsmaßnahmen ermöglichen können, um es Angreifern zu erschweren, die Plattform auszunutzen.
| CVE | Fehler mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6611 | ANDROID-23905951 [ 2 ] [ 3 ] | Hoch | 6,0 und darunter | 07. September 2015 |
| ANDROID-23912202* | ||||
| ANDROID-23953967* | ||||
| ANDROID-23696300 | Hoch | 6,0 und darunter | 31. August 2015 | |
| ANDROID-23600291 | Hoch | 6,0 und darunter | 26. August 2015 | |
| ANDROID-23756261 [ 2 ] | Hoch | 6,0 und darunter | 26. August 2015 | |
| ANDROID-23540907 [ 2 ] | Hoch | 5.1 und darunter | 25. August 2015 | |
| ANDROID-23541506 | Hoch | 6,0 und darunter | 25. August 2015 | |
| ANDROID-23284974* | ||||
| ANDROID-23542351* | ||||
| ANDROID-23542352* | ||||
| ANDROID-23515142 | Hoch | 5.1 und darunter | 19. August 2015 |
* Der Patch für diesen Fehler ist in anderen bereitgestellten AOSP-Links enthalten.
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in libstagefright
In libstagefright besteht eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen, die es einer lokalen Schadanwendung ermöglichen kann, Speicherbeschädigung und die Ausführung willkürlichen Codes im Kontext des Mediaserver-Dienstes zu verursachen. Während dieses Problem normalerweise als „Kritisch“ eingestuft wird, haben wir es als „Hoher Schweregrad“ eingestuft, da die Wahrscheinlichkeit, dass es aus der Ferne ausgenutzt werden kann, geringer ist.
| CVE | Fehler mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6610 | ANDROID-23707088 [ 2 ] | Hoch | 6,0 und darunter | 19. August 2015 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in libmedia
In libmedia besteht eine Sicherheitslücke, die es einer lokalen Schadanwendung ermöglichen kann, beliebigen Code im Kontext des Mediaserver-Dienstes auszuführen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es für den Zugriff auf Berechtigungen verwendet werden kann, auf die eine Drittanbieteranwendung nicht direkt zugreifen kann.
| CVE | Fehler mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6612 | ANDROID-23540426 | Hoch | 6,0 und darunter | 23. August 2015 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Bluetooth
Es gibt eine Schwachstelle in Bluetooth, die es einer lokalen Anwendung ermöglichen kann, Befehle an einen lauschenden Debug-Port auf dem Gerät zu senden. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es verwendet werden kann, um erweiterte Funktionen wie Signature- oder SignatureOrSystem -Berechtigungen zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6613 | ANDROID-24371736 | Hoch | 6,0 | Google-intern |
Sicherheitslücke bezüglich der Erhöhung von Privilegien in der Telefonie
Eine Sicherheitslücke in der Telefoniekomponente, die es einer lokalen Schadanwendung ermöglichen kann, nicht autorisierte Daten an die eingeschränkten Netzwerkschnittstellen weiterzuleiten, was möglicherweise Auswirkungen auf die Datengebühren hat. Es könnte auch verhindern, dass das Gerät Anrufe empfängt, und es einem Angreifer ermöglichen, die Stummschaltungseinstellungen von Anrufen zu steuern. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es dazu missbraucht werden kann, auf unrechtmäßige Weise „ gefährliche “ Berechtigungen zu erlangen.
| CVE | Fehler mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6614 | ANDROID-21900139 [ 2 ] [ 3 ] | Mäßig | 5.0, 5.1 | 8. Juni 2015 |
Häufige Fragen und Antworten
In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Bulletins auftreten können.
1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?
Builds LMY48X oder höher und Android Marshmallow mit Sicherheitspatch-Level vom 1. November 2015 oder höher beheben diese Probleme. Anweisungen zum Überprüfen des Sicherheitspatch-Levels finden Sie in der Nexus-Dokumentation . Gerätehersteller, die diese Updates enthalten, sollten die Patch-String-Ebene auf Folgendes festlegen: [ro.build.version.security_patch]:[2015-11-01]
Überarbeitungen
- 2. November 2015: Ursprünglich veröffentlicht