Veröffentlicht am 2. November 2015
Im Rahmen unseres monatlichen Release-Prozesses für Android-Sicherheitsbulletins haben wir ein Sicherheitsupdate für Nexus-Geräte als Over-the-air-Update (OTA-Update) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google-Entwicklerwebsite veröffentlicht. Diese Probleme wurden in Builds ab LMY48X und in Android Marshmallow mit dem Stand der Sicherheitsupdates vom 1. November 2015 oder höher behoben. Weitere Informationen finden Sie im Abschnitt Häufig gestellte Fragen und Antworten.
Partner wurden am 5. Oktober 2015 oder früher über diese Probleme informiert. Quellcode-Patches für diese Probleme werden innerhalb der nächsten 48 Stunden im AOSP-Repository (Android Open Source Project) veröffentlicht. Wir aktualisieren dieses Bulletin, sobald die AOSP-Links verfügbar sind.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Ausführung von Remote-Code auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Web-Browsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Bewertung des Schweregrads basiert auf der Auswirkung, die die Ausnutzung der Sicherheitslücke auf ein betroffenes Gerät haben könnte, vorausgesetzt, die Plattform- und Dienstmitigationen sind zu Entwicklungszwecken deaktiviert oder werden erfolgreich umgangen.
Wir haben keine Berichte über eine aktive Ausnutzung dieser neu gemeldeten Probleme durch Kunden erhalten. Im Abschnitt Maßnahmen finden Sie Details zu den Sicherheitsmechanismen der Android-Plattform und zu Dienstmechanismen wie SafetyNet, die die Sicherheit der Android-Plattform verbessern. Wir empfehlen allen Kunden, diese Updates auf ihren Geräten zu akzeptieren.
Abhilfemaßnahmen
Hier finden Sie eine Zusammenfassung der Schutzmaßnahmen, die von der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bereitgestellt werden. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android-Geräten erfolgreich ausgenutzt werden können.
- Die Ausnutzung vieler Probleme auf Android-Geräten wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Nutzern, nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
- Das Android-Sicherheitsteam überwacht mithilfe von Verify Apps und SafetyNet aktiv den Missbrauch und warnt vor potenziell schädlichen Apps, die installiert werden sollen. Tools zum Rooten von Geräten sind bei Google Play verboten. Zum Schutz von Nutzern, die Apps von außerhalb von Google Play installieren, ist „Apps prüfen“ standardmäßig aktiviert. Nutzer werden dann vor bekannten Rooting-Apps gewarnt. Verify Apps versucht, die Installation bekannter schädlicher Anwendungen zu erkennen und zu blockieren, die eine Sicherheitslücke zur Berechtigungserweiterung ausnutzen. Wenn eine solche App bereits installiert ist, wird der Nutzer von Verify Apps benachrichtigt und die App wird entfernt.
- Die Google Hangouts- und Messenger-Anwendungen übergeben Medien nicht automatisch an Prozesse wie den Medienserver.
Danksagungen
Wir möchten uns bei den folgenden Forschern für ihre Beiträge bedanken:
- Abhishek Arya, Oliver Chang und Martin Barbella vom Google Chrome-Sicherheitsteam: CVE-2015-6608
- Daniel Micay (daniel.micay@copperhead.co) von Copperhead Security: CVE-2015-6609
- Dongkwan Kim vom System Security Lab, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
- Hongil Kim vom System Security Lab, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
- Jack Tang von Trend Micro (@jacktang310): CVE-2015-6611
- Peter Pi von Trend Micro: CVE-2015-6611
- Natalie Silvanovich von Google Project Zero: CVE-2015-6608
- Qidan He (@flanker_hqd) und Wen Xu (@antlr7) vom KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
- Guang Gong (龚广) (@oldfresher, higongguang@gmail.com) von Qihoo 360 Technology CCo.Ltd: CVE-2015-6612
- Seven Shen von Trend Micro: CVE-2015-6610
Details zur Sicherheitslücke
In den folgenden Abschnitten finden Sie Details zu den einzelnen Sicherheitslücken, die für das Patchlevel vom 01.11.2015 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den betroffenen Versionen und dem Meldedatum. Sofern verfügbar, haben wir die AOSP-Änderung, mit der das Problem behoben wurde, mit der Fehler-ID verknüpft. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit den Zahlen verknüpft, die auf die Fehler-ID folgen.
Sicherheitslücken bei der Remote-Codeausführung im Mediaserver
Bei der Verarbeitung von Mediendateien und Daten einer speziell erstellten Datei können Sicherheitslücken im Mediaserver es einem Angreifer ermöglichen, den Arbeitsspeicher zu beschädigen und Remote-Code im Rahmen des Mediaserver-Prozesses auszuführen.
Die betroffenen Funktionen sind ein zentraler Bestandteil des Betriebssystems und es gibt mehrere Anwendungen, über die sie mit Remote-Inhalten erreicht werden können, insbesondere MMS und die Browserwiedergabe von Medien.
Dieses Problem wird aufgrund der Möglichkeit der Remote-Codeausführung im Kontext des Mediaserver-Dienstes als kritisch eingestuft. Der Mediaserverdienst hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schweregrad | Betroffene Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-6608 | ANDROID-19779574 | Kritisch | 5.0, 5.1, 6.0 | Google Intern |
| ANDROID-23680780 | ||||
| ANDROID-23876444 | ||||
| ANDROID-23881715 | Kritisch | 4.4, 5.0, 5.1, 6.0 | Google Intern | |
| ANDROID-14388161 | Kritisch | 4.4 und 5.1 | Google Intern | |
| ANDROID-23658148 | Kritisch | 5.0, 5.1, 6.0 | Google Intern |
Sicherheitslücke bei der Remote-Codeausführung in libutils
Eine Sicherheitslücke in libutils, einer generischen Bibliothek, kann bei der Verarbeitung von Audiodateien ausgenutzt werden. Diese Sicherheitslücke kann es einem Angreifer ermöglichen, während der Verarbeitung einer speziell erstellten Datei eine Speicherbeschädigung und die Ausführung von Remote-Code zu verursachen.
Die betroffene Funktion wird als API bereitgestellt und es gibt mehrere Anwendungen, über die sie mit Remote-Inhalten aufgerufen werden kann, insbesondere MMS und die Browserwiedergabe von Medien. Dieses Problem wird aufgrund der Möglichkeit der Remote-Codeausführung in einem privilegierten Dienst als kritisch eingestuft. Die betroffene Komponente hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Drittanbieter-Apps normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schweregrad | Betroffene Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-6609 | ANDROID-22953624 [2] | Kritisch | 6.0 und niedriger | 3. August 2015 |
Sicherheitslücken bei der Offenlegung von Informationen im Mediaserver
Es gibt Sicherheitslücken im Mediaserver, die eine Umgehung der Sicherheitsmaßnahmen ermöglichen, die die Ausnutzung der Plattform durch Angreifer erschweren sollen.
| CVE | Fehler mit AOSP-Links | Schweregrad | Betroffene Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-6611 | ANDROID-23905951 [2] [3] | Hoch | 6.0 und niedriger | 7. September 2015 |
| ANDROID-23912202* | ||||
| ANDROID-23953967* | ||||
| ANDROID-23696300 | Hoch | 6.0 und niedriger | 31. August 2015 | |
| ANDROID-23600291 | Hoch | 6.0 und niedriger | 26. August 2015 | |
| ANDROID-23756261 [2] | Hoch | 6.0 und niedriger | 26. August 2015 | |
| ANDROID-23540907 [2] | Hoch | 5.1 und niedriger | 25. August 2015 | |
| ANDROID-23541506 | Hoch | 6.0 und niedriger | 25. August 2015 | |
| ANDROID-23284974* | ||||
| ANDROID-23542351* | ||||
| ANDROID-23542352* | ||||
| ANDROID-23515142 | Hoch | 5.1 und niedriger | 19. August 2015 |
* Der Patch für diesen Fehler ist in anderen bereitgestellten AOSP-Links enthalten.
Sicherheitslücke vom Typ „Ausweitung von Berechtigungen“ in libstagefright
In libstagefright gibt es eine Sicherheitslücke, durch die eine lokale schädliche Anwendung Speicherbeschädigungen und die Ausführung beliebigen Codes im Kontext des Mediaserver-Dienstes verursachen kann. Normalerweise würde dieses Problem als „Kritisch“ eingestuft. Wir haben es jedoch aufgrund der geringeren Wahrscheinlichkeit, dass es aus der Ferne ausgenutzt werden kann, als „Hoch“ eingestuft.
| CVE | Fehler mit AOSP-Links | Schweregrad | Betroffene Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-6610 | ANDROID-23707088 [2] | Hoch | 6.0 und niedriger | 19. August 2015 |
Sicherheitslücke vom Typ „Ausweitung von Berechtigungen“ in libmedia
In libmedia gibt es eine Sicherheitslücke, die es einer lokalen schädlichen Anwendung ermöglicht, beliebigen Code im Kontext des Mediaserver-Dienstes auszuführen. Dieses Problem hat den Schweregrad „Hoch“, da es zum Zugriff auf Berechtigungen verwendet werden kann, auf die eine Drittanbieter-App nicht direkt zugreifen kann.
| CVE | Fehler mit AOSP-Links | Schweregrad | Betroffene Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-6612 | ANDROID-23540426 | Hoch | 6.0 und niedriger | 23. August 2015 |
Sicherheitslücke bei der Rechteausweitung in Bluetooth
Es gibt eine Sicherheitslücke in Bluetooth, die es einer lokalen Anwendung ermöglicht, Befehle an einen überwachten Debug-Port auf dem Gerät zu senden. Dieses Problem hat den Schweregrad „Hoch“, da es dazu verwendet werden kann, erweiterte Funktionen zu erhalten, z. B. Berechtigungen für Signature oder SignatureOrSystem, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Links | Schweregrad | Betroffene Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-6613 | ANDROID-24371736 | Hoch | 6.0 | Google Intern |
Rechteausweitungslücke in der Telefonie
Eine Sicherheitslücke in der Telefonkomponente, die es einer lokalen schädlichen Anwendung ermöglicht, nicht autorisierte Daten an die eingeschränkten Netzwerkschnittstellen weiterzuleiten, was sich möglicherweise auf die Datennutzungskosten auswirkt. Außerdem kann ein Angreifer so verhindern, dass das Gerät Anrufe empfängt, und die Stummschaltungseinstellungen von Anrufen steuern. Dieses Problem hat den Schweregrad „Mittel“, da es dazu verwendet werden kann, unberechtigt gefährliche Berechtigungen zu erlangen.
| CVE | Fehler mit AOSP-Links | Schweregrad | Betroffene Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-6614 | ANDROID-21900139 [2] [3] | Moderat | 5.0, 5.1 | 8. Juni 2015 |
Häufig gestellte Fragen und Antworten
In diesem Abschnitt werden häufige Fragen zu diesem Bulletin beantwortet.
1. Wie finde ich heraus, ob mein Gerät entsprechend aktualisiert wurde?
Diese Probleme wurden in Builds ab LMY48X und in Android Marshmallow mit dem Stand der Sicherheitsupdates vom 1. November 2015 oder höher behoben. Eine Anleitung zum Prüfen des Sicherheitspatches finden Sie in der Nexus-Dokumentation. Gerätehersteller, die diese Updates einbinden, sollten die Patch-Stringebene auf Folgendes festlegen: [ro.build.version.security_patch]:[2015-11-01]
Überarbeitungen
- 2. November 2015: Erstveröffentlichung