Veröffentlicht am 02. November 2015
Wir haben ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) als Teil unseres monatlichen Veröffentlichungsprozesses für das Android Security Bulletin veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht. Builds LMY48X oder höher und Android Marshmallow mit Security Patch Level vom 1. November 2015 oder höher beheben diese Probleme. Weitere Einzelheiten finden Sie im Abschnitt Häufige Fragen und Antworten .
Partner wurden über diese Probleme am 5. Oktober 2015 oder früher benachrichtigt. Quellcode-Patches für diese Probleme werden in den nächsten 48 Stunden im Repository des Android Open Source Project (AOSP) veröffentlicht. Wir werden dieses Bulletin mit den AOSP-Links überarbeiten, sobald sie verfügbar sind.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät durch mehrere Methoden wie E-Mail, Webbrowsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstmitigationen werden zu Entwicklungszwecken deaktiviert oder erfolgreich umgangen.
Uns liegen keine Berichte über eine aktive Nutzung dieser neu gemeldeten Probleme durch Kunden vor. Einzelheiten zum Schutz der Android-Sicherheitsplattform und zu Dienstschutzmaßnahmen wie SafetyNet , die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Abschwächungen. Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.
Abmilderungen
Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bereitgestellten Risikominderungen. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden können.
- Die Nutzung für viele Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
- Das Android-Sicherheitsteam überwacht aktiv auf Missbrauch mit Verify Apps und SafetyNet, die vor potenziell schädlichen Anwendungen warnen, die installiert werden sollen. Geräte-Rooting-Tools sind bei Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist „Apps überprüfen“ standardmäßig aktiviert und warnt Benutzer vor bekannten rootenden Anwendungen. Verify Apps versucht, die Installation bekannter bösartiger Anwendungen zu identifizieren und zu blockieren, die eine Schwachstelle bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
- Entsprechend leiten Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie mediaserver weiter.
Danksagungen
Wir möchten diesen Forschern für ihre Beiträge danken:
- Abhishek Arya, Oliver Chang und Martin Barbella, Google Chrome-Sicherheitsteam: CVE-2015-6608
- Daniel Micay (daniel.micay@copperhead.co) bei Copperhead Security: CVE-2015-6609
- Dongkwan Kim vom System Security Lab, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
- Hongil Kim vom System Security Lab, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
- Jack Tang von Trend Micro (@jacktang310): CVE-2015-6611
- Peter Pi von Trend Micro: CVE-2015-6611
- Natalie Silvanovich von Google Project Zero: CVE-2015-6608
- Qidan He (@flanker_hqd) und Wen Xu (@antlr7) von KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
- Guang Gong (龚广) ( @oldfresher , higongguang@gmail.com) von Qihoo 360 Technology CC o.Ltd : CVE-2015-6612
- Sieben Shen von Trend Micro: CVE-2015-6610
Details zu Sicherheitslücken
In den folgenden Abschnitten stellen wir Details für jede der Sicherheitsschwachstellen bereit, die für das Patch-Level 2015-11-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den betroffenen Versionen und dem gemeldeten Datum. Wo verfügbar, haben wir die AOSP-Änderung, die das Problem behebt, mit der Fehler-ID verknüpft. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern nach der Fehler-ID verknüpft.
Sicherheitslücken bei Remote-Codeausführung in Mediaserver
Während der Mediendatei- und Datenverarbeitung einer speziell gestalteten Datei könnten Schwachstellen im Mediaserver einem Angreifer ermöglichen, Speicherbeschädigungen und Remote-Codeausführung als Mediaserver-Prozess zu verursachen.
Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt und es gibt mehrere Anwendungen, die es ermöglichen, sie mit Remote-Inhalten zu erreichen, insbesondere MMS und Browser-Wiedergabe von Medien.
Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Dienstes als Kritisch eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Bug(s) mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6608 | ANDROID-19779574 | Kritisch | 5.0, 5.1, 6.0 | Google-intern |
| ANDROID-23680780 | ||||
| ANDROID-23876444 | ||||
| ANDROID-23881715 | Kritisch | 4.4, 5.0, 5.1, 6.0 | Google-intern | |
| ANDROID-14388161 | Kritisch | 4.4 und 5.1 | Google-intern | |
| ANDROID-23658148 | Kritisch | 5.0, 5.1, 6.0 | Google-intern |
Schwachstelle bezüglich Remote-Codeausführung in libutils
Eine Schwachstelle in libutils, einer generischen Bibliothek, kann bei der Verarbeitung von Audiodateien ausgenutzt werden. Diese Sicherheitsanfälligkeit kann es einem Angreifer ermöglichen, während der Verarbeitung einer speziell gestalteten Datei eine Speicherbeschädigung und Remotecodeausführung zu verursachen.
Die betroffene Funktionalität wird als API bereitgestellt und es gibt mehrere Anwendungen, die es ermöglichen, sie mit Remote-Inhalten zu erreichen, insbesondere MMS und Browser-Wiedergabe von Medien. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung in einem privilegierten Dienst als Problem mit kritischem Schweregrad eingestuft. Die betroffene Komponente hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Bug(s) mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6609 | ANDROID-22953624 [ 2 ] | Kritisch | 6.0 und darunter | 3. August 2015 |
Offenlegung von Informationen Sicherheitslücken in Mediaserver
Es gibt Schwachstellen bei der Offenlegung von Informationen in Mediaserver, die eine Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen können, um Angreifern die Nutzung der Plattform zu erschweren.
| CVE | Bug(s) mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6611 | ANDROID-23905951 [ 2 ] [ 3 ] | Hoch | 6.0 und darunter | 07.09.2015 |
| ANDROID-23912202* | ||||
| ANDROID-23953967* | ||||
| ANDROID-23696300 | Hoch | 6.0 und darunter | 31. August 2015 | |
| ANDROID-23600291 | Hoch | 6.0 und darunter | 26. August 2015 | |
| ANDROID-23756261 [ 2 ] | Hoch | 6.0 und darunter | 26. August 2015 | |
| ANDROID-23540907 [ 2 ] | Hoch | 5.1 und darunter | 25. August 2015 | |
| ANDROID-23541506 | Hoch | 6.0 und darunter | 25. August 2015 | |
| ANDROID-23284974* | ||||
| ANDROID-23542351* | ||||
| ANDROID-23542352* | ||||
| ANDROID-23515142 | Hoch | 5.1 und darunter | 19. August 2015 |
* Der Patch für diesen Fehler ist in anderen bereitgestellten AOSP-Links enthalten.
Elevation of Privilege-Schwachstelle in libstagefright
In libstagefright gibt es eine Sicherheitslücke bezüglich Rechteerweiterungen, die es einer lokalen bösartigen Anwendung ermöglichen kann, Speicherbeschädigungen und die Ausführung willkürlichen Codes im Kontext des Mediaserver-Dienstes zu verursachen. Obwohl dieses Problem normalerweise als Kritisch eingestuft wird, haben wir dieses Problem aufgrund der geringeren Wahrscheinlichkeit, dass es aus der Ferne ausgenutzt werden kann, als Hoch eingestuft.
| CVE | Bug(s) mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6610 | ANDROID-23707088 [ 2 ] | Hoch | 6.0 und darunter | 19. August 2015 |
Elevation of Privilege-Schwachstelle in libmedia
Es gibt eine Schwachstelle in libmedia, die es einer lokalen bösartigen Anwendung ermöglichen kann, beliebigen Code im Kontext des Mediaserver-Dienstes auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da es für den Zugriff auf Berechtigungen verwendet werden kann, auf die eine Anwendung eines Drittanbieters nicht direkt zugreifen kann.
| CVE | Bug(s) mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6612 | ANDROID-23540426 | Hoch | 6.0 und darunter | 23. August 2015 |
Elevation of Privilege-Schwachstelle in Bluetooth
Es gibt eine Schwachstelle in Bluetooth, die es einer lokalen Anwendung ermöglichen kann, Befehle an einen lauschenden Debug-Port auf dem Gerät zu senden. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden kann, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungsrechte zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Bug(s) mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6613 | ANDROID-24371736 | Hoch | 6.0 | Google-intern |
Elevation of Privilege-Schwachstelle in der Telefonie
Eine Schwachstelle in der Telefoniekomponente, die es einer lokalen bösartigen Anwendung ermöglichen kann, nicht autorisierte Daten an die eingeschränkten Netzwerkschnittstellen weiterzuleiten, was sich möglicherweise auf die Datengebühren auswirkt. Es könnte auch verhindern, dass das Gerät Anrufe entgegennimmt, und es einem Angreifer ermöglichen, die Stummschaltungseinstellungen von Anrufen zu steuern. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es dazu verwendet werden kann, unsachgemäß „ gefährliche “ Berechtigungen zu erlangen.
| CVE | Bug(s) mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6614 | ANDROID-21900139 [ 2 ] [ 3 ] | Mäßig | 5.0, 5.1 | 8. Juni 2015 |
Häufige Fragen und Antworten
In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Bulletins auftreten können.
1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?
Builds LMY48X oder höher und Android Marshmallow mit Security Patch Level vom 1. November 2015 oder höher beheben diese Probleme. Anweisungen zum Überprüfen des Sicherheits-Patch-Levels finden Sie in der Nexus-Dokumentation . Gerätehersteller, die diese Updates enthalten, sollten die Patch-String-Ebene auf Folgendes festlegen: [ro.build.version.security_patch]:[2015-11-01]
Revisionen
- 02. November 2015: Ursprünglich veröffentlicht