Bollettino sulla sicurezza di Nexus - novembre 2015

Pubblicato il 2 novembre 2015

Abbiamo rilasciato un aggiornamento di sicurezza per i dispositivi Nexus tramite un aggiornamento over-the-air (OTA) come parte del nostro processo di rilascio mensile del bollettino sulla sicurezza di Android. Le immagini del firmware del Nexus sono state rilasciate anche sul sito degli sviluppatori di Google . Le build LMY48X o successive e Android Marshmallow con livello di patch di sicurezza del 1° novembre 2015 o successivo risolvono questi problemi. Fare riferimento alla sezione Domande e risposte comuni per maggiori dettagli.

I partner sono stati informati di questi problemi il 5 ottobre 2015 o prima. Le patch del codice sorgente per questi problemi verranno rilasciate nel repository Android Open Source Project (AOSP) nelle prossime 48 ore. Modificheremo questo bollettino con i collegamenti AOSP quando saranno disponibili.

Il più grave di questi problemi è una vulnerabilità critica della sicurezza che potrebbe consentire l'esecuzione di codice remoto su un dispositivo interessato attraverso più metodi come e-mail, navigazione Web e MMS durante l'elaborazione di file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, presupponendo che le mitigazioni della piattaforma e del servizio siano disabilitate per scopi di sviluppo o se aggirate con successo.

Non abbiamo ricevuto segnalazioni di sfruttamento attivo da parte dei clienti di questi problemi appena segnalati. Fare riferimento alla sezione Mitigazioni per dettagli sulle protezioni della piattaforma di sicurezza Android e sulle protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android. Incoraggiamo tutti i clienti ad accettare questi aggiornamenti sui propri dispositivi.

Mitigazioni

Questo è un riepilogo delle mitigazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni dei servizi come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità della sicurezza possano essere sfruttate con successo su Android.

  • Lo sfruttamento di molti problemi su Android è reso più difficile dai miglioramenti apportati alle versioni più recenti della piattaforma Android. Incoraggiamo tutti gli utenti ad aggiornare all'ultima versione di Android, ove possibile.
  • Il team di sicurezza Android sta monitorando attivamente eventuali abusi con Verify Apps e SafetyNet che avviseranno delle applicazioni potenzialmente dannose che stanno per essere installate. Gli strumenti di rooting del dispositivo sono vietati in Google Play. Per proteggere gli utenti che installano applicazioni dall'esterno di Google Play, Verifica app è abilitato per impostazione predefinita e avviserà gli utenti delle applicazioni di rooting note. Verify Apps tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di escalation dei privilegi. Se tale applicazione è già stata installata, Verify Apps avviserà l'utente e tenterà di rimuovere tali applicazioni.
  • A seconda dei casi, le applicazioni Google Hangouts e Messenger non trasmettono automaticamente i contenuti multimediali a processi come mediaserver.

Ringraziamenti

Desideriamo ringraziare questi ricercatori per il loro contributo:

  • Abhishek Arya, Oliver Chang e Martin Barbella, team di sicurezza di Google Chrome: CVE-2015-6608
  • Daniel Micay (daniel.micay@copperhead.co) presso Copperhead Security: CVE-2015-6609
  • Dongkwan Kim del System Security Lab, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
  • Hongil Kim del System Security Lab, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
  • Jack Tang di Trend Micro (@jacktang310): CVE-2015-6611
  • Peter Pi di Trend Micro: CVE-2015-6611
  • Natalie Silvanovich di Google Project Zero: CVE-2015-6608
  • Qidan He (@flanker_hqd) e Wen Xu (@antlr7) da KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
  • Guang Gong (龚广) ( @oldfresher , higongguang@gmail.com) di Qihoo 360 Technology CC o.Ltd : CVE-2015-6612
  • Sette Shen di Trend Micro: CVE-2015-6610

Dettagli sulla vulnerabilità della sicurezza

Nelle sezioni seguenti forniamo dettagli per ciascuna delle vulnerabilità della sicurezza che si applicano al livello di patch 2015-11-01. È presente una descrizione del problema, una motivazione relativa alla gravità e una tabella con il CVE, il bug associato, la gravità, le versioni interessate e la data segnalata. Ove disponibile, abbiamo collegato la modifica AOSP che risolveva il problema all'ID del bug. Quando più modifiche riguardano un singolo bug, ulteriori riferimenti AOSP sono collegati a numeri che seguono l'ID del bug.

Vulnerabilità legate all'esecuzione di codice in modalità remota nel Mediaserver

Durante l'elaborazione di file multimediali e dati di un file appositamente predisposto, le vulnerabilità nel mediaserver potrebbero consentire a un utente malintenzionato di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota come processo del mediaserver.

La funzionalità interessata viene fornita come parte fondamentale del sistema operativo ed esistono diverse applicazioni che consentono di raggiungerla con contenuti remoti, in particolare MMS e riproduzione di contenuti multimediali tramite browser.

Questo problema è classificato come grave a causa della possibilità di esecuzione di codice remoto nel contesto del servizio mediaserver. Il servizio mediaserver ha accesso a flussi audio e video, nonché accesso a privilegi a cui normalmente le app di terze parti non possono accedere.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6608 ANDROID-19779574 Critico 5.0, 5.1, 6.0 Interno di Google
ANDROID-23680780
ANDROID-23876444
ANDROID-23881715 Critico 4.4, 5.0, 5.1, 6.0 Interno di Google
ANDROID-14388161 Critico 4.4 e 5.1 Interno di Google
ANDROID-23658148 Critico 5.0, 5.1, 6.0 Interno di Google

Vulnerabilità legata all'esecuzione di codice in modalità remota in libutils

Una vulnerabilità in libutils, una libreria generica, può essere sfruttata durante l'elaborazione dei file audio. Questa vulnerabilità potrebbe consentire a un utente malintenzionato, durante l'elaborazione di un file appositamente predisposto, di provocare il danneggiamento della memoria e l'esecuzione di codice in modalità remota.

La funzionalità interessata viene fornita come API ed esistono diverse applicazioni che consentono di raggiungerla con contenuti remoti, in particolare MMS e riproduzione di contenuti multimediali tramite browser. Questo problema è classificato come problema di gravità critica a causa della possibilità di esecuzione di codice in modalità remota in un servizio privilegiato. Il componente interessato ha accesso ai flussi audio e video nonché ai privilegi a cui normalmente le app di terze parti non possono accedere.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6609 ANDROID-22953624 [ 2 ] Critico 6.0 e versioni precedenti 3 agosto 2015

Vulnerabilità nella divulgazione di informazioni nel Mediaserver

Esistono vulnerabilità nella divulgazione di informazioni nel mediaserver che possono consentire di aggirare le misure di sicurezza in atto per aumentare la difficoltà degli aggressori nello sfruttamento della piattaforma.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6611 ANDROID-23905951 [ 2 ] [ 3 ] Alto 6.0 e versioni precedenti 07 settembre 2015
ANDROID-23912202*
ANDROID-23953967*
ANDROID-23696300 Alto 6.0 e versioni precedenti 31 agosto 2015
ANDROID-23600291 Alto 6.0 e versioni precedenti 26 agosto 2015
ANDROID-23756261 [ 2 ] Alto 6.0 e versioni precedenti 26 agosto 2015
ANDROID-23540907 [ 2 ] Alto 5.1 e seguenti 25 agosto 2015
ANDROID-23541506 Alto 6.0 e versioni precedenti 25 agosto 2015
ANDROID-23284974*
ANDROID-23542351*
ANDROID-23542352*
ANDROID-23515142 Alto 5.1 e seguenti 19 agosto 2015

* La patch per questo bug è inclusa in altri collegamenti AOSP forniti.

Vulnerabilità dell'elevazione dei privilegi in libstagefright

Esiste un'elevazione dei privilegi di vulnerabilità in libstagefright che può consentire a un'applicazione dannosa locale di causare il danneggiamento della memoria e l'esecuzione di codice arbitrario nel contesto del servizio mediaserver. Sebbene questo problema venga normalmente classificato come critico, lo abbiamo valutato come di gravità elevata a causa della minore probabilità che possa essere sfruttato in remoto.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6610 ANDROID-23707088 [ 2 ] Alto 6.0 e versioni precedenti 19 agosto 2015

Vulnerabilità dell'elevazione dei privilegi in libmedia

Esiste una vulnerabilità in libmedia che può consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto del servizio mediaserver. Questo problema è classificato come di gravità elevata perché può essere utilizzato per accedere a privilegi che non sono direttamente accessibili a un'applicazione di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6612 ANDROID-23540426 Alto 6.0 e versioni precedenti 23 agosto 2015

Elevazione della vulnerabilità dei privilegi in Bluetooth

Esiste una vulnerabilità nel Bluetooth che può consentire a un'applicazione locale di inviare comandi a una porta di debug in ascolto sul dispositivo. Questo problema è classificato come di gravità elevata perché può essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili a un'applicazione di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6613 ANDROID-24371736 Alto 6.0 Interno di Google

Vulnerabilità dell'elevazione dei privilegi nella telefonia

Una vulnerabilità nel componente Telefonia che può consentire a un'applicazione dannosa locale di passare dati non autorizzati alle interfacce di rete limitate, con un potenziale impatto sui costi dei dati. Potrebbe anche impedire al dispositivo di ricevere chiamate e consentire a un utente malintenzionato di controllare le impostazioni di disattivazione dell'audio delle chiamate. Questo problema è classificato con gravità moderata perché può essere utilizzato per ottenere in modo improprio autorizzazioni " pericolose ".

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6614 ANDROID-21900139 [ 2 ] [ 3 ] Moderare 5.0, 5.1 8 giugno 2015

Domande e risposte comuni

In questa sezione verranno esaminate le risposte alle domande più comuni che potrebbero sorgere dopo aver letto questo bollettino.

1. Come posso determinare se il mio dispositivo è aggiornato per risolvere questi problemi?

Le build LMY48X o successive e Android Marshmallow con livello di patch di sicurezza del 1° novembre 2015 o successivo risolvono questi problemi. Fare riferimento alla documentazione del Nexus per istruzioni su come verificare il livello della patch di sicurezza. I produttori di dispositivi che includono questi aggiornamenti dovrebbero impostare il livello della stringa di patch su: [ro.build.version.security_patch]:[2015-11-01]

Revisioni

  • 2 novembre 2015: pubblicazione originale