Pubblicato il 2 novembre 2015
Abbiamo rilasciato un aggiornamento della sicurezza per i dispositivi Nexus tramite un aggiornamento over-the-air (OTA) nell'ambito della nostra procedura di rilascio mensile del Bollettino sulla sicurezza di Android. Le immagini del firmware di Nexus sono state rilasciate anche sul sito Google for Developers. Le build LMY48X o successive e Android Marshmallow con livello patch di sicurezza del 1° novembre 2015 o successivo risolvono questi problemi. Per ulteriori dettagli, consulta la sezione Domande frequenti e risposte.
I partner sono stati informati di questi problemi prima del 5 ottobre 2015. Le patch del codice sorgente per questi problemi verranno rilasciate nel repository Android Open Source Project (AOSP) nelle prossime 48 ore. Aggiorneremo questo bollettino con i link AOSP non appena saranno disponibili.
Il più grave di questi problemi è una vulnerabilità di sicurezza critica che potrebbe consentire l'esecuzione di codice remoto su un dispositivo interessato tramite diversi metodi, come email, navigazione web e MMS durante l'elaborazione di file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, supponendo che le mitigazioni della piattaforma e del servizio siano disattivate a scopo di sviluppo o se sono state aggirate.
Non abbiamo ricevuto segnalazioni di sfruttamento attivo da parte dei clienti di questi problemi appena segnalati. Consulta la sezione Mitigazioni per informazioni dettagliate sulle protezioni della piattaforma di sicurezza Android e sulle protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android. Invitiamo tutti i clienti ad accettare questi aggiornamenti sui propri dispositivi.
Mitigazioni
Questo è un riepilogo delle mitigazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni dei servizi come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità di sicurezza possano essere sfruttate con successo su Android.
- Lo sfruttamento di molti problemi su Android è reso più difficile dai miglioramenti nelle versioni più recenti della piattaforma Android. Invitiamo tutti gli utenti a eseguire l'aggiornamento all'ultima versione di Android, se possibile.
- Il team di Android Security monitora attivamente gli abusi con Verifica app e SafetyNet, che avvisano dell'imminente installazione di applicazioni potenzialmente dannose. Gli strumenti per il rooting dei dispositivi sono vietati su Google Play. Per proteggere gli utenti che installano applicazioni da origini diverse da Google Play, Verifica app è attivata per impostazione predefinita e avvisa gli utenti delle applicazioni di rooting note. Verifica App tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di elevazione dei privilegi. Se un'app di questo tipo è già stata installata, Verifica app invierà una notifica all'utente e tenterà di rimuoverla.
- A seconda dei casi, le applicazioni Google Hangouts e Messenger non trasmettono automaticamente i contenuti multimediali a processi come mediaserver.
Ringraziamenti
Vogliamo ringraziare per il loro contributo i seguenti ricercatori:
- Abhishek Arya, Oliver Chang e Martin Barbella, team di sicurezza di Google Chrome: CVE-2015-6608
- Daniel Micay (daniel.micay@copperhead.co) di Copperhead Security: CVE-2015-6609
- Dongkwan Kim del System Security Lab, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
- Hongil Kim del System Security Lab, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
- Jack Tang di Trend Micro (@jacktang310): CVE-2015-6611
- Peter Pi di Trend Micro: CVE-2015-6611
- Natalie Silvanovich di Google Project Zero: CVE-2015-6608
- Qidan He (@flanker_hqd) e Wen Xu (@antlr7) del team KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
- Guang Gong (龚广) (@oldfresher, higongguang@gmail.com) di Qihoo 360 Technology CC o.Ltd: CVE-2015-6612
- Seven Shen di Trend Micro: CVE-2015-6610
Dettagli sulla vulnerabilità di sicurezza
Nelle sezioni seguenti sono riportati i dettagli di ciascuna delle vulnerabilità di sicurezza che si applicano al livello del patch del 1° novembre 2015. Sono presenti una descrizione del problema, una motivazione della gravità e una tabella con il CVE, il bug associato, la gravità, le versioni interessate e la data di segnalazione. Se disponibile, abbiamo collegato la modifica AOSP che ha risolto il problema all'ID bug. Quando più modifiche si riferiscono a un singolo bug, i riferimenti AOSP aggiuntivi sono collegati ai numeri che seguono l'ID bug.
Vulnerabilità di esecuzione di codice remoto in Mediaserver
Durante l'elaborazione di file multimediali e dati di un file appositamente creato, le vulnerabilità in mediaserver potrebbero consentire a un utente malintenzionato di causare la corruzione della memoria e l'esecuzione di codice da remoto come processo mediaserver.
La funzionalità interessata è fornita come parte integrante del sistema operativo e sono disponibili più applicazioni che consentono di accedervi con contenuti remote, tra cui MMS e riproduzione di contenuti multimediali nel browser.
Questo problema è classificato come di gravità Critica a causa della possibilità di eseguire codice remoto nel contesto del servizio mediaserver. Il servizio MediaServer ha accesso agli stream audio e video, nonché ai privilegi a cui le app di terze parti non possono accedere normalmente.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6608 | ANDROID-19779574 | Critico | 5.0, 5.1, 6.0 | Interno Google |
| ANDROID-23680780 | ||||
| ANDROID-23876444 | ||||
| ANDROID-23881715 | Critico | 4.4, 5.0, 5.1, 6.0 | Interno Google | |
| ANDROID-14388161 | Critico | 4.4 e 5.1 | Interno Google | |
| ANDROID-23658148 | Critico | 5.0, 5.1, 6.0 | Interno Google |
Vulnerabilità di esecuzione di codice remoto in libutils
Una vulnerabilità in libutils, una libreria generica, può essere sfruttata durante l'elaborazione dei file audio. Questa vulnerabilità potrebbe consentire a un utente malintenzionato, durante l'elaborazione di un file appositamente creato, di causare la corruzione della memoria e l'esecuzione di codice da remoto.
La funzionalità interessata è fornita come API e sono disponibili più applicazioni che consentono di raggiungerla con contenuti remoti, in particolare MMS e riproduzione di contenuti multimediali nel browser. Questo problema è classificato come di gravità Critica a causa della possibilità di esecuzione di codice da remoto in un servizio con privilegi. Il componente interessato ha accesso agli stream audio e video, nonché ai privilegi a cui le app di terze parti non possono accedere normalmente.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6609 | ANDROID-22953624 [2] | Critico | 6.0 e versioni precedenti | 3 agosto 2015 |
Vulnerabilità di divulgazione di informazioni in Mediaserver
In mediaserver sono presenti vulnerabilità di divulgazione di informazioni che possono consentire un aggiramento delle misure di sicurezza in atto per aumentare la difficoltà per gli attaccanti di sfruttare la piattaforma.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6611 | ANDROID-23905951 [2] [3] | Alto | 6.0 e versioni precedenti | 7 settembre 2015 |
| ANDROID-23912202* | ||||
| ANDROID-23953967* | ||||
| ANDROID-23696300 | Alto | 6.0 e versioni precedenti | 31 agosto 2015 | |
| ANDROID-23600291 | Alto | 6.0 e versioni precedenti | 26 agosto 2015 | |
| ANDROID-23756261 [2] | Alto | 6.0 e versioni precedenti | 26 agosto 2015 | |
| ANDROID-23540907 [2] | Alto | 5.1 e versioni precedenti | 25 agosto 2015 | |
| ANDROID-23541506 | Alto | 6.0 e versioni precedenti | 25 agosto 2015 | |
| ANDROID-23284974* | ||||
| ANDROID-23542351* | ||||
| ANDROID-23542352* | ||||
| ANDROID-23515142 | Alto | 5.1 e versioni precedenti | 19 agosto 2015 |
* La patch per questo bug è inclusa in altri link AOSP forniti.
Vulnerabilità di elevazione dei privilegi in libstagefright
In libstagefright è presente una vulnerabilità di elevazione dei privilegi che può consentire a un'applicazione locale dannosa di causare la corruzione della memoria e l'esecuzione di codice arbitrario nel contesto del servizio mediaserver. Sebbene questo problema normalmente verrebbe classificato come Critico, lo abbiamo valutato come di Grave gravità a causa di una minore probabilità che possa essere sfruttato da remoto.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6610 | ANDROID-23707088 [2] | Alto | 6.0 e versioni precedenti | 19 agosto 2015 |
Vulnerabilità di elevazione dei privilegi in libmedia
In libmedia è presente una vulnerabilità che può consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del servizio mediaserver. Questo problema è classificato come di gravità Alta perché può essere utilizzato per accedere a privilegi che non sono direttamente accessibili a un'applicazione di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6612 | ANDROID-23540426 | Alto | 6.0 e versioni precedenti | 23 agosto 2015 |
Vulnerabilità di elevazione dei privilegi nel Bluetooth
Esiste una vulnerabilità nel Bluetooth che può consentire a un'applicazione locale di inviare comandi a una porta di debug in ascolto sul dispositivo. Questo problema è classificato come di gravità alta perché può essere utilizzato per ottenere funzionalità elevate, ad esempio i privilegi delle autorizzazioni Signature o SignatureOrSystem, che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6613 | ANDROID-24371736 | Alto | 6.0 | Interno Google |
Vulnerabilità di Elevation of Privilege nella telefonia
Una vulnerabilità nel componente Telefonia che può consentire a un'applicazione locale dannosa di trasmettere dati non autorizzati alle interfacce di rete con limitazioni, con potenziali ripercussioni sui costi di dati. Potrebbe anche impedire al dispositivo di ricevere chiamate e consentire a un malintenzionato di controllare le impostazioni di disattivazione dell'audio delle chiamate. Questo problema è classificato come di gravità moderata perché può essere utilizzato per ottenere impropriamente autorizzazioni "pericolose".
| CVE | Bug relativi ai link AOSP | Gravità | Versioni interessate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6614 | ANDROID-21900139 [2] [3] | Moderata | 5.0, 5.1 | 8 giugno 2015 |
Domande frequenti e risposte
Questa sezione esamina le risposte alle domande frequenti che potrebbero sorgere dopo aver letto questo bollettino.
1. Come faccio a stabilire se il mio dispositivo è aggiornato per risolvere questi problemi?
Le build LMY48X o successive e Android Marshmallow con livello patch di sicurezza del 1° novembre 2015 o successivo risolvono questi problemi. Per istruzioni su come controllare il livello della patch di sicurezza, consulta la documentazione di Nexus. I produttori di dispositivi che includono questi aggiornamenti devono impostare il livello della stringa della patch su: [ro.build.version.security_patch]:[2015-11-01]
Revisioni
- 2 novembre 2015: prima pubblicazione