Publicado em 2 de novembro de 2015
Lançamos uma atualização de segurança para dispositivos Nexus por uma atualização OTA como parte do nosso processo de lançamento mensal do Boletim de segurança do Android. As imagens de firmware do Nexus também foram lançadas no site para desenvolvedores do Google. As versões LMY48X ou mais recentes e o Android Marshmallow com o nível do patch de segurança de 1º de novembro de 2015 ou mais recente resolvem esses problemas. Consulte a seção Perguntas e respostas comuns para mais detalhes.
Os parceiros foram notificados sobre esses problemas em 5 de outubro de 2015 ou antes. Os patches de código-fonte para esses problemas serão lançados no repositório do Android Open Source Project (AOSP) nas próximas 48 horas. Vamos revisar este boletim com os links do AOSP quando eles estiverem disponíveis.
O problema mais grave é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por vários métodos, como e-mail, navegação na Web e MMS ao processar arquivos de mídia. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade teria em um dispositivo afetado, supondo que as mitigações de plataforma e serviço estejam desativadas para fins de desenvolvimento ou se forem contornadas.
Não recebemos relatos de clientes que estão usando ativamente esses problemas recém relatados. Consulte a seção Mitigações para saber mais sobre as proteções da plataforma de segurança do Android e as proteções de serviço, como a SafetyNet, que melhoram a segurança da plataforma Android. Recomendamos que todos os clientes aceitem essas atualizações nos dispositivos.
Mitigações
Este é um resumo das mitigações fornecidas pela plataforma de segurança do Android e proteções de serviço, como a SafetyNet. Esses recursos reduzem a probabilidade de que vulnerabilidades de segurança sejam exploradas no Android.
- A exploração de muitos problemas no Android fica mais difícil devido a melhorias nas versões mais recentes da plataforma Android. Recomendamos que todos os usuários atualizem para a versão mais recente do Android, sempre que possível.
- A equipe de segurança do Android monitora ativamente o abuso com o Verify Apps e a SafetyNet, que alertam sobre aplicativos potencialmente nocivos que estão prestes a ser instalados. Ferramentas de acesso root a dispositivos são proibidas no Google Play. Para proteger os usuários que instalam apps de fora do Google Play, a verificação de apps está ativada por padrão e alerta os usuários sobre apps de acesso root conhecidos. O Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de elevação de privilégios. Se esse app já tiver sido instalado, o recurso "Verificar apps" vai notificar o usuário e tentar remover esses apps.
- Conforme apropriado, os aplicativos do Google Hangouts e do Messenger não transmitem mídia automaticamente para processos, como o mediaserver.
Agradecimentos
Agradecemos as contribuições dos seguintes pesquisadores:
- Abhishek Arya, Oliver Chang e Martin Barbella, equipe de segurança do Google Chrome: CVE-2015-6608
- Daniel Micay (daniel.micay@copperhead.co) na Copperhead Security: CVE-2015-6609
- Dongkwan Kim, do System Security Lab, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
- Hongil Kim, do System Security Lab, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
- Jack Tang, da Trend Micro (@jacktang310): CVE-2015-6611
- Peter Pi, da Trend Micro: CVE-2015-6611
- Natalie Silvanovich do Projeto Zero do Google: CVE-2015-6608
- Qidan He (@flanker_hqd) e Wen Xu (@antlr7) da KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
- Guang Gong (龚广) (@oldfresher, higongguang@gmail.com) da Qihoo 360 Technology CC o.Ltd: CVE-2015-6612
- Seven Shen, da Trend Micro: CVE-2015-6610
Detalhes da vulnerabilidade de segurança
Nas seções abaixo, fornecemos detalhes sobre cada uma das vulnerabilidades de segurança que se aplicam ao nível do patch 2015-11-01. Há uma descrição do problema, um raciocínio sobre a gravidade e uma tabela com a CVE, o bug associado, a gravidade, as versões afetadas e a data de notificação. Quando disponível, vinculamos a mudança do AOSP que corrigiu o problema ao ID do bug. Quando várias mudanças se relacionam a um único bug, outras referências do AOSP são vinculadas a números após o ID do bug.
Vulnerabilidades de execução remota de código no Mediaserver
Durante o processamento de arquivos de mídia e dados de um arquivo criado especialmente, as vulnerabilidades no mediaserver podem permitir que um invasor cause corrupção de memória e execução remota de código como o processo do mediaserver.
A funcionalidade afetada é fornecida como parte principal do sistema operacional e há vários aplicativos que permitem o acesso a ela com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador.
Esse problema tem gravidade crítica devido à possibilidade de execução remota de código no contexto do serviço do mediaserver. O serviço de mediaserver tem acesso a streams de áudio e vídeo, além de privilégios que apps de terceiros normalmente não podem acessar.
| CVE | Bugs com links do AOSP | Gravidade | Versões afetadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2015-6608 | ANDROID-19779574 | Crítico | 5.0, 5.1, 6.0 | Interno do Google |
| ANDROID-23680780 | ||||
| ANDROID-23876444 | ||||
| ANDROID-23881715 | Crítico | 4.4, 5.0, 5.1, 6.0 | Interno do Google | |
| ANDROID-14388161 | Crítico | 4.4 e 5.1 | Interno do Google | |
| ANDROID-23658148 | Crítico | 5.0, 5.1, 6.0 | Interno do Google |
Vulnerabilidade de execução remota de código no libutils
Uma vulnerabilidade no libutils, uma biblioteca genérica, pode ser explorada durante o processamento de arquivos de áudio. Essa vulnerabilidade pode permitir que um invasor cause corrupção de memória e execução remota de código durante o processamento de um arquivo criado especialmente.
A funcionalidade afetada é fornecida como uma API, e há vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador. Esse problema é classificado como de gravidade crítica devido à possibilidade de execução remota de código em um serviço privilegiado. O componente afetado tem acesso a streams de áudio e vídeo, além de privilégios que apps de terceiros normalmente não podem acessar.
| CVE | Bugs com links do AOSP | Gravidade | Versões afetadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2015-6609 | ANDROID-22953624 [2] | Crítico | 6.0 e versões anteriores | 3 de agosto de 2015 |
Vulnerabilidades de divulgação de informações no Mediaserver
Há vulnerabilidades de divulgação de informações no mediaserver que podem permitir a evasão de medidas de segurança para aumentar a dificuldade de invasores explorarem a plataforma.
| CVE | Bugs com links do AOSP | Gravidade | Versões afetadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2015-6611 | ANDROID-23905951 [2] [3] | Alta | 6.0 e versões anteriores | 7 de setembro de 2015 |
| ANDROID-23912202* | ||||
| ANDROID-23953967* | ||||
| ANDROID-23696300 | Alta | 6.0 e versões anteriores | 31 de agosto de 2015 | |
| ANDROID-23600291 | Alta | 6.0 e versões anteriores | 26 de agosto de 2015 | |
| ANDROID-23756261 [2] | Alta | 6.0 e versões anteriores | 26 de agosto de 2015 | |
| ANDROID-23540907 [2] | Alta | 5.1 e versões anteriores | 25 de agosto de 2015 | |
| ANDROID-23541506 | Alta | 6.0 e versões anteriores | 25 de agosto de 2015 | |
| ANDROID-23284974* | ||||
| ANDROID-23542351* | ||||
| ANDROID-23542352* | ||||
| ANDROID-23515142 | Alta | 5.1 e versões anteriores | 19 de agosto de 2015 |
* O patch para esse bug está incluído em outros links do AOSP fornecidos.
Vulnerabilidade de elevação de privilégios no libstagefright
Há uma elevação de vulnerabilidade de privilégio no libstagefright que pode permitir que um aplicativo malicioso local cause corrupção de memória e execução de código arbitrária no contexto do serviço do mediaserver. Embora esse problema normalmente seja classificado como crítico, avaliamos esse problema como de alta gravidade devido à menor probabilidade de exploração remota.
| CVE | Bugs com links do AOSP | Gravidade | Versões afetadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2015-6610 | ANDROID-23707088 [2] | Alta | 6.0 e versões anteriores | 19 de agosto de 2015 |
Vulnerabilidade de elevação de privilégios no libmedia
Há uma vulnerabilidade na libmedia que pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do serviço mediaserver. Esse problema tem uma gravidade alta porque pode ser usado para acessar privilégios que não são diretamente acessíveis a um aplicativo de terceiros.
| CVE | Bugs com links do AOSP | Gravidade | Versões afetadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2015-6612 | ANDROID-23540426 | Alta | 6.0 e versões anteriores | 23 de agosto de 2015 |
Vulnerabilidade de elevação de privilégio no Bluetooth
Há uma vulnerabilidade no Bluetooth que pode permitir que um aplicativo local envie comandos para uma porta de depuração de escuta no dispositivo. Esse problema foi classificado como de alta gravidade porque pode ser usado para elevar privilégios, como Signature ou SignatureOrSystem, que não são acessíveis a um aplicativo de terceiros.
| CVE | Bugs com links do AOSP | Gravidade | Versões afetadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2015-6613 | ANDROID-24371736 | Alta | 6.0 | Interno do Google |
Vulnerabilidade de elevação de privilégio em telefonia
Uma vulnerabilidade no componente de telefonia que pode permitir que um aplicativo local malicioso transmita dados não autorizados para as interfaces de rede restritas, o que pode afetar as cobranças de dados. Isso também pode impedir que o dispositivo receba ligações e permitir que um invasor controle as configurações de silêncio das ligações. Esse problema é classificado como de gravidade moderada porque pode ser usado para obter indevidamente permissões perigosas.
| CVE | Bugs com links do AOSP | Gravidade | Versões afetadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2015-6614 | ANDROID-21900139 [2] [3] | Moderada | 5.0, 5.1 | 8 de junho de 2015 |
Perguntas e respostas comuns
Esta seção vai revisar as respostas a perguntas comuns que podem surgir após a leitura deste boletim.
1. Como determino se meu dispositivo está atualizado para resolver esses problemas?
As versões LMY48X ou mais recentes e o Android Marshmallow com o nível do patch de segurança de 1º de novembro de 2015 ou mais recente resolvem esses problemas. Consulte a documentação do Nexus para instruções sobre como verificar o nível do patch de segurança. Os fabricantes de dispositivos que incluem essas atualizações precisam definir o nível da string de patch como: [ro.build.version.security_patch]:[2015-11-01]
Revisões
- 2 de novembro de 2015: publicação original