Veröffentlicht am 07. Dezember 2015 | Aktualisiert am 7. März 2016
Im Rahmen unseres monatlichen Veröffentlichungsprozesses für Android Security Bulletin haben wir ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht. Builds LMY48Z oder höher und Android 6.0 mit Sicherheitspatch-Level vom 1. Dezember 2015 oder höher beheben diese Probleme. Weitere Einzelheiten finden Sie im Abschnitt „Häufige Fragen und Antworten“ .
Die Partner wurden am 2. November 2015 oder früher über diese Probleme informiert und haben entsprechende Updates bereitgestellt. Gegebenenfalls wurden Quellcode-Patches für diese Probleme im Android Open Source Project (AOSP)-Repository veröffentlicht.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die bei der Verarbeitung von Mediendateien die Remote-Codeausführung auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Webbrowsing und MMS ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät hätte, vorausgesetzt, dass die Plattform- und Service-Abhilfemaßnahmen für Entwicklungszwecke deaktiviert oder erfolgreich umgangen werden.
Uns liegen keine Berichte über eine aktive Ausnutzung dieser neu gemeldeten Probleme durch Kunden vor. Einzelheiten zu den Schutzmaßnahmen der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt „ Abhilfemaßnahmen “. Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.
Abhilfemaßnahmen
Dies ist eine Zusammenfassung der Abhilfemaßnahmen, die die Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bieten. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden können.
- Die Ausnutzung vieler Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
- Das Android-Sicherheitsteam überwacht aktiv Missbrauch mit Verify Apps und SafetyNet, das vor der Installation potenziell schädlicher Anwendungen warnt. Geräte-Rooting-Tools sind bei Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist Verify Apps standardmäßig aktiviert und warnt Benutzer vor bekannten Root-Anwendungen. Verify Apps versucht, die Installation bekannter schädlicher Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitslücke bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
- Gegebenenfalls leiten Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie Mediaserver weiter.
Danksagungen
Wir möchten diesen Forschern für ihre Beiträge danken:
- Abhishek Arya, Oliver Chang und Martin Barbella vom Google Chrome-Sicherheitsteam: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , CVE-2015-6634
- Flanker ( @flanker_hqd ) von KeenTeam ( @K33nTeam ): CVE-2015-6620
- Guang Gong (龚广) ( @oldfresher , higongguang@gmail.com) von Qihoo 360 Technology Co.Ltd : CVE-2015-6626
- Mark Carter ( @hanpingchinese ) von EmberMitre Ltd: CVE-2015-6630
- Michał Bednarski ( https://github.com/michalbednarski ): CVE-2015-6621
- Natalie Silvanovich von Google Project Zero: CVE-2015-6616
- Peter Pi von Trend Micro: CVE-2015-6616, CVE-2015-6628
- Qidan He ( @flanker_hqd ) und Marco Grassi ( @marcograss ) von KeenTeam ( @K33nTeam ): CVE-2015-6622
- Tzu-Yin (Nina) Tai: CVE-2015-6627
- Joaquín Rinaudo ( @xeroxnir ) von Programa STIC bei Fundación Dr. Manuel Sadosky, Buenos Aires, Argentinien: CVE-2015-6631
- Wangtao (Neobyte) von Baidu X-Team: CVE-2015-6626
Details zur Sicherheitslücke
In den folgenden Abschnitten stellen wir Einzelheiten zu den einzelnen Sicherheitslücken bereit, die für den Patch-Level 2015-12-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den aktualisierten Versionen und dem gemeldeten Datum. Sobald verfügbar, verknüpfen wir die AOSP-Änderung, die das Problem behoben hat, mit der Fehler-ID. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern verknüpft, die der Fehler-ID folgen.
Sicherheitslücken bei der Remotecodeausführung in Mediaserver
Während der Mediendatei und der Datenverarbeitung einer speziell gestalteten Datei könnten Schwachstellen im Medienserver einem Angreifer ermöglichen, Speicherbeschädigungen und Remotecodeausführung als Medienserverprozess zu verursachen.
Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt und es gibt mehrere Anwendungen, die den Zugriff auf Remote-Inhalte ermöglichen, insbesondere MMS und Browser-Wiedergabe von Medien.
Dieses Problem wird aufgrund der Möglichkeit einer Remotecodeausführung im Kontext des Mediaserver-Dienstes als „Kritisch“ eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6616 | ANDROID-24630158 | Kritisch | 6,0 und darunter | Google-intern |
| ANDROID-23882800 | Kritisch | 6,0 und darunter | Google-intern | |
| ANDROID-17769851 | Kritisch | 5.1 und darunter | Google-intern | |
| ANDROID-24441553 | Kritisch | 6,0 und darunter | 22. September 2015 | |
| ANDROID-24157524 | Kritisch | 6,0 | 08.09.2015 |
Sicherheitslücke bezüglich Remotecodeausführung in Skia
Bei der Verarbeitung einer speziell gestalteten Mediendatei kann eine Sicherheitslücke in der Skia-Komponente ausgenutzt werden, die zu Speicherbeschädigung und Remotecodeausführung in einem privilegierten Prozess führen kann. Dieses Problem wird als „Kritisch“ eingestuft, da bei der Verarbeitung von Mediendateien die Möglichkeit einer Remotecodeausführung durch mehrere Angriffsmethoden wie E-Mail, Webbrowsing und MMS besteht.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6617 | ANDROID-23648740 | Kritisch | 6,0 und darunter | Google-intern |
Erhöhung der Berechtigungen im Kernel
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Systemkernel könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Root-Kontext des Geräts auszuführen. Dieses Problem wird als kritisch eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht und das Gerät nur durch ein erneutes Flashen des Betriebssystems repariert werden konnte.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6619 | ANDROID-23520714 | Kritisch | 6,0 und darunter | 7. Juni 2015 |
Sicherheitslücken bei der Remotecodeausführung im Anzeigetreiber
Es gibt Schwachstellen in den Anzeigetreibern, die bei der Verarbeitung einer Mediendatei zu Speicherbeschädigungen und möglicherweise zur Ausführung willkürlichen Codes im Kontext des vom Medienserver geladenen Benutzermodustreibers führen können. Dieses Problem wird als „Kritisch“ eingestuft, da bei der Verarbeitung von Mediendateien die Möglichkeit einer Remotecodeausführung durch mehrere Angriffsmethoden wie E-Mail, Webbrowsing und MMS besteht.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6633 | ANDROID-23987307* | Kritisch | 6,0 und darunter | Google-intern |
| CVE-2015-6634 | ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] | Kritisch | 5.1 und darunter | Google-intern |
*Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücke bezüglich Remotecodeausführung in Bluetooth
Eine Sicherheitslücke in der Bluetooth-Komponente von Android könnte die Remote-Codeausführung ermöglichen. Bevor dies geschehen kann, sind jedoch mehrere manuelle Schritte erforderlich. Dazu ist ein erfolgreich gekoppeltes Gerät erforderlich, nachdem das PAN-Profil (Personal Area Network) aktiviert wurde (z. B. mithilfe von Bluetooth-Tethering) und das Gerät gekoppelt wurde. Die Remote-Codeausführung wäre dem Bluetooth-Dienst vorbehalten. Ein Gerät ist für dieses Problem nur durch ein erfolgreich gekoppeltes Gerät anfällig, wenn es sich in lokaler Nähe befindet.
Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da ein Angreifer aus der Ferne beliebigen Code nur dann ausführen kann, wenn mehrere manuelle Schritte ausgeführt werden, und zwar von einem lokal in der Nähe befindlichen Angreifer, dem es zuvor erlaubt war, ein Gerät zu koppeln.
| CVE | Fehler | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6618 | ANDROID-24595992* | Hoch | 4.4, 5.0 und 5.1 | 28. September 2015 |
*Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücken bezüglich der Erhöhung von Berechtigungen in libstagefright
Es gibt mehrere Schwachstellen in libstagefright, die es einer lokalen Schadanwendung ermöglichen könnten, beliebigen Code im Kontext des Mediaserver-Dienstes auszuführen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es dazu genutzt werden könnte, erweiterte Funktionen zu erlangen, wie z. B. Signature- oder SignatureOrSystem -Berechtigungen, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6620 | ANDROID-24123723 | Hoch | 6,0 und darunter | 10. September 2015 |
| ANDROID-24445127 | Hoch | 6,0 und darunter | 2. September 2015 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in SystemUI
Beim Einstellen eines Alarms mithilfe der Uhranwendung kann eine Sicherheitslücke in der SystemUI-Komponente dazu führen, dass eine Anwendung eine Aufgabe mit einer erhöhten Berechtigungsstufe ausführt. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es dazu genutzt werden könnte, erweiterte Funktionen zu erlangen, wie z. B. Signature- oder SignatureOrSystem -Berechtigungen, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6621 | ANDROID-23909438 | Hoch | 5.0, 5.1 und 6.0 | 7. September 2015 |
Sicherheitslücke bezüglich der Offenlegung von Informationen in der Native Frameworks-Bibliothek
Eine Sicherheitslücke bezüglich der Offenlegung von Informationen in der Android Native Frameworks Library könnte eine Umgehung bestehender Sicherheitsmaßnahmen ermöglichen, um die Schwierigkeit für Angreifer zu erhöhen, die Plattform auszunutzen. Diese Probleme werden als „Hoher Schweregrad“ eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen wie Signature- oder SignatureOrSystem -Berechtigungen zu erlangen, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6622 | ANDROID-23905002 | Hoch | 6,0 und darunter | 7. September 2015 |
Sicherheitslücke bezüglich der Erhöhung von Privilegien in Wi-Fi
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Wi-Fi könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext eines erhöhten Systemdienstes auszuführen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es dazu verwendet werden könnte, erweiterte Funktionen zu erlangen, wie z. B. Signature- oder SignatureOrSystem -Berechtigungen, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6623 | ANDROID-24872703 | Hoch | 6,0 | Google-intern |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Systemserver
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Systemserver-Komponente könnte es einer lokalen Schadanwendung ermöglichen, Zugriff auf dienstbezogene Informationen zu erhalten. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es dazu genutzt werden könnte, erweiterte Funktionen zu erlangen, wie z. B. Signature- oder SignatureOrSystem -Berechtigungen, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6624 | ANDROID-23999740 | Hoch | 6,0 | Google-intern |
Sicherheitslücken bei der Offenlegung von Informationen in libstagefright
In libstagefright gibt es Sicherheitslücken bei der Offenlegung von Informationen, die während der Kommunikation mit Mediaserver eine Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen könnten, um es Angreifern zu erschweren, die Plattform auszunutzen. Diese Probleme werden als „Hoher Schweregrad“ eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen wie Signature- oder SignatureOrSystem -Berechtigungen zu erlangen, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6632 | ANDROID-24346430 | Hoch | 6,0 und darunter | Google-intern |
| CVE-2015-6626 | ANDROID-24310423 | Hoch | 6,0 und darunter | 2. September 2015 |
| CVE-2015-6631 | ANDROID-24623447 | Hoch | 6,0 und darunter | 21. August 2015 |
Sicherheitslücke bei der Offenlegung von Informationen in Audio
Bei der Verarbeitung von Audiodateien könnte eine Schwachstelle in der Audiokomponente ausgenutzt werden. Diese Sicherheitslücke könnte es einer lokalen Schadanwendung ermöglichen, während der Verarbeitung einer speziell gestalteten Datei die Offenlegung von Informationen zu bewirken. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es dazu genutzt werden könnte, erweiterte Funktionen zu erlangen, wie z. B. Signature- oder SignatureOrSystem -Berechtigungen, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6627 | ANDROID-24211743 | Hoch | 6,0 und darunter | Google-intern |
Sicherheitslücke bei der Offenlegung von Informationen im Media Framework
Im Media Framework gibt es eine Sicherheitslücke bezüglich der Offenlegung von Informationen, die während der Kommunikation mit dem Medienserver eine Umgehung bestehender Sicherheitsmaßnahmen ermöglichen könnte, um es Angreifern zu erschweren, die Plattform auszunutzen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es auch dazu verwendet werden könnte, erweiterte Funktionen zu erlangen, wie z. B. Signature- oder SignatureOrSystem -Berechtigungen, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6628 | ANDROID-24074485 | Hoch | 6,0 und darunter | 8. September 2015 |
Sicherheitslücke bei der Offenlegung von Informationen im WLAN
Eine Schwachstelle in der Wi-Fi-Komponente könnte es einem Angreifer ermöglichen, den Wi-Fi-Dienst zur Offenlegung von Informationen zu veranlassen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es dazu genutzt werden könnte, erweiterte Funktionen zu erlangen, wie z. B. Signature- oder SignatureOrSystem -Berechtigungen, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6629 | ANDROID-22667667 | Hoch | 5.1 und 5.0 | Google-intern |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Systemserver
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Systemserver könnte es einer lokalen Schadanwendung ermöglichen, Zugriff auf Informationen zu Wi-Fi-Diensten zu erhalten. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es dazu genutzt werden könnte, auf unrechtmäßige Weise „ gefährliche “ Berechtigungen zu erlangen.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6625 | ANDROID-23936840 | Mäßig | 6,0 | Google-intern |
Sicherheitslücke bezüglich der Offenlegung von Informationen in SystemUI
Eine Sicherheitslücke zur Offenlegung von Informationen in der SystemUI könnte es einer lokalen Schadanwendung ermöglichen, Zugriff auf Screenshots zu erhalten. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es dazu genutzt werden könnte, auf unrechtmäßige Weise „ gefährliche “ Berechtigungen zu erlangen.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6630 | ANDROID-19121797 | Mäßig | 5.0, 5.1 und 6.0 | 22. Januar 2015 |
Häufige Fragen und Antworten
In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Bulletins auftreten können.
1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?
Builds LMY48Z oder höher und Android 6.0 mit Sicherheitspatch-Level vom 1. Dezember 2015 oder höher beheben diese Probleme. Anweisungen zum Überprüfen des Sicherheitspatch-Levels finden Sie in der Nexus-Dokumentation . Gerätehersteller, die diese Updates enthalten, sollten die Patch-String-Ebene auf Folgendes festlegen: [ro.build.version.security_patch]:[2015-12-01]
Überarbeitungen
- 7. Dezember 2015: Ursprünglich veröffentlicht
- 9. Dezember 2015: Bulletin überarbeitet, um AOSP-Links aufzunehmen.
- 22. Dezember 2015: Fehlende Quellenangabe zum Danksagungsabschnitt hinzugefügt.
- 7. März 2016: Fehlende Quellenangabe zum Abschnitt Danksagungen hinzugefügt.