Veröffentlicht am 07. Dezember 2015 | Aktualisiert am 7. März 2016
Wir haben ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) als Teil unseres monatlichen Veröffentlichungsprozesses für das Android Security Bulletin veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Site veröffentlicht. Builds LMY48Z oder höher und Android 6.0 mit Sicherheits-Patch-Level vom 1. Dezember 2015 oder höher beheben diese Probleme. Weitere Einzelheiten finden Sie im Abschnitt Häufige Fragen und Antworten .
Partner wurden am 2. November 2015 oder früher über diese Probleme benachrichtigt und stellten Updates zu diesen Problemen bereit. Wo zutreffend, wurden Quellcode-Patches für diese Probleme im Repository des Android Open Source Project (AOSP) veröffentlicht.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät durch mehrere Methoden wie E-Mail, Webbrowsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstmitigationen werden zu Entwicklungszwecken deaktiviert oder erfolgreich umgangen.
Uns liegen keine Berichte über eine aktive Nutzung dieser neu gemeldeten Probleme durch Kunden vor. Einzelheiten zum Schutz der Android-Sicherheitsplattform und zu Dienstschutzmaßnahmen wie SafetyNet , die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Abschwächungen. Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.
Abmilderungen
Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bereitgestellten Risikominderungen. Diese Fähigkeiten verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden könnten.
- Die Nutzung für viele Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
- Das Android-Sicherheitsteam überwacht aktiv auf Missbrauch mit Verify Apps und SafetyNet, die vor potenziell schädlichen Anwendungen warnen, die installiert werden sollen. Geräte-Rooting-Tools sind bei Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist „Apps überprüfen“ standardmäßig aktiviert und warnt Benutzer vor bekannten rootenden Anwendungen. Verify Apps versucht, die Installation bekannter bösartiger Anwendungen zu identifizieren und zu blockieren, die eine Schwachstelle bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
- Entsprechend leiten Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie mediaserver weiter.
Danksagungen
Wir möchten diesen Forschern für ihre Beiträge danken:
- Abhishek Arya, Oliver Chang und Martin Barbella vom Google Chrome Security Team: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , CVE-2015-6634
- Flanker ( @flaker_hqd ) von KeenTeam ( @K33nTeam ): CVE-2015-6620
- Guang Gong (龚广) ( @oldfresher , higongguang@gmail.com) von Qihoo 360 Technology Co.Ltd : CVE-2015-6626
- Mark Carter ( @hanpingchinese ) von EmberMitre Ltd: CVE-2015-6630
- Michał Bednarski ( https://github.com/michalbednarski ): CVE-2015-6621
- Natalie Silvanovich von Google Project Zero: CVE-2015-6616
- Peter Pi von Trend Micro: CVE-2015-6616, CVE-2015-6628
- Qidan He ( @flaker_hqd ) und Marco Grassi ( @marcograss ) von KeenTeam ( @K33nTeam ): CVE-2015-6622
- Tzu-Yin (Nina) Tai: CVE-2015-6627
- Joaquín Rinaudo ( @xeroxnir ) von Programa STIC bei Fundación Dr. Manuel Sadosky, Buenos Aires, Argentinien: CVE-2015-6631
- Wangtao (Neobyte) vom Baidu X-Team: CVE-2015-6626
Details zu Sicherheitslücken
In den folgenden Abschnitten stellen wir Details zu allen Sicherheitsschwachstellen bereit, die für das Patch-Level 2015-12-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den aktualisierten Versionen und dem gemeldeten Datum. Wenn verfügbar, werden wir die AOSP-Änderung, die das Problem behebt, mit der Fehler-ID verknüpfen. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern nach der Fehler-ID verknüpft.
Sicherheitslücken bei Remote-Codeausführung in Mediaserver
Während der Mediendatei- und Datenverarbeitung einer speziell gestalteten Datei könnten Schwachstellen im Mediaserver einem Angreifer ermöglichen, Speicherbeschädigungen und Remote-Codeausführung als Mediaserver-Prozess zu verursachen.
Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt und es gibt mehrere Anwendungen, die es ermöglichen, sie mit Remote-Inhalten zu erreichen, insbesondere MMS und Browser-Wiedergabe von Medien.
Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Dienstes als Kritisch eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Bug(s) mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6616 | ANDROID-24630158 | Kritisch | 6.0 und darunter | Google-intern |
| ANDROID-23882800 | Kritisch | 6.0 und darunter | Google-intern | |
| ANDROID-17769851 | Kritisch | 5.1 und darunter | Google-intern | |
| ANDROID-24441553 | Kritisch | 6.0 und darunter | 22. September 2015 | |
| ANDROID-24157524 | Kritisch | 6.0 | 08.09.2015 |
Schwachstelle bezüglich Remotecodeausführung in Skia
Eine Schwachstelle in der Skia-Komponente kann ausgenutzt werden, wenn eine speziell gestaltete Mediendatei verarbeitet wird, die zu einer Speicherbeschädigung und Remotecodeausführung in einem privilegierten Prozess führen kann. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung durch mehrere Angriffsmethoden wie E-Mail, Webbrowsing und MMS bei der Verarbeitung von Mediendateien als kritischer Schweregrad eingestuft.
| CVE | Bug(s) mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6617 | ANDROID-23648740 | Kritisch | 6.0 und darunter | Google-intern |
Erhöhung von Privilegien im Kernel
Eine Schwachstelle bezüglich Rechteerweiterungen im Systemkern könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Root-Kontext des Geräts auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als kritischer Schweregrad eingestuft und das Gerät konnte nur durch erneutes Flashen des Betriebssystems repariert werden.
| CVE | Bug(s) mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6619 | ANDROID-23520714 | Kritisch | 6.0 und darunter | 7. Juni 2015 |
Schwachstellen bezüglich Remotecodeausführung im Anzeigetreiber
Es gibt Schwachstellen in den Anzeigetreibern, die bei der Verarbeitung einer Mediendatei zu Speicherbeschädigungen und möglicherweise zur Ausführung willkürlichen Codes im Kontext des von Mediaserver geladenen Benutzermodustreibers führen können. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung durch mehrere Angriffsmethoden wie E-Mail, Webbrowsing und MMS bei der Verarbeitung von Mediendateien als kritischer Schweregrad eingestuft.
| CVE | Bug(s) mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6633 | ANDROID-23987307* | Kritisch | 6.0 und darunter | Google-intern |
| CVE-2015-6634 | ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] | Kritisch | 5.1 und darunter | Google-intern |
*Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Schwachstelle bezüglich Remote-Code-Ausführung in Bluetooth
Eine Schwachstelle in der Bluetooth-Komponente von Android könnte die Ausführung von Code aus der Ferne ermöglichen. Es sind jedoch mehrere manuelle Schritte erforderlich, bevor dies geschehen kann. Dazu wäre ein erfolgreich gekoppeltes Gerät erforderlich, nachdem das Personal Area Network (PAN)-Profil aktiviert wurde (z. B. über Bluetooth-Tethering) und das Gerät gekoppelt wurde. Die Remote-Code-Ausführung wäre dem Bluetooth-Dienst vorbehalten. Ein Gerät ist nur von einem erfolgreich gekoppelten Gerät in lokaler Nähe für dieses Problem anfällig.
Dieses Problem wird als hoher Schweregrad eingestuft, da ein Angreifer beliebigen Code nur dann aus der Ferne ausführen kann, nachdem mehrere manuelle Schritte ausgeführt wurden, und zwar von einem lokal nahen Angreifer, dem zuvor erlaubt wurde, ein Gerät zu koppeln.
| CVE | Fehler | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6618 | ANDROID-24595992* | Hoch | 4.4, 5.0 und 5.1 | 28. September 2015 |
*Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege Schwachstellen in libstagefright
Es gibt mehrere Schwachstellen in libstagefright, die es einer lokalen bösartigen Anwendung ermöglichen könnten, beliebigen Code im Kontext des Mediaserver-Dienstes auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungsrechte zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Bug(s) mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6620 | ANDROID-24123723 | Hoch | 6.0 und darunter | 10. September 2015 |
| ANDROID-24445127 | Hoch | 6.0 und darunter | 2. September 2015 |
Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in SystemUI
Beim Einstellen eines Alarms mit der Uhranwendung kann eine Schwachstelle in der SystemUI-Komponente es einer Anwendung ermöglichen, eine Aufgabe mit einer erhöhten Berechtigungsstufe auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungsrechte zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Bug(s) mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6621 | ANDROID-23909438 | Hoch | 5.0, 5.1 und 6.0 | 7. September 2015 |
Schwachstelle bezüglich der Offenlegung von Informationen in der nativen Frameworks-Bibliothek
Eine Schwachstelle zur Offenlegung von Informationen in der Android Native Frameworks Library könnte eine Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen, um Angreifern die Nutzung der Plattform zu erschweren. Diese Probleme werden als hoher Schweregrad eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen zu erlangen, wie z. B. Signatur- oder SignatureOrSystem -Berechtigungsrechte, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Bug(s) mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6622 | ANDROID-23905002 | Hoch | 6.0 und darunter | 7. September 2015 |
Elevation of Privilege-Schwachstelle in Wi-Fi
Eine Schwachstelle bezüglich der Erhöhung von Berechtigungen in Wi-Fi könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines erhöhten Systemdienstes auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungsrechte zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Bug(s) mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6623 | ANDROID-24872703 | Hoch | 6.0 | Google-intern |
Sicherheitslücke bezüglich Erhöhung von Berechtigungen im Systemserver
Eine Schwachstelle bezüglich Rechteerweiterungen in der System Server-Komponente könnte es einer lokalen bösartigen Anwendung ermöglichen, Zugriff auf dienstbezogene Informationen zu erhalten. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungen zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Bug(s) mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6624 | ANDROID-23999740 | Hoch | 6.0 | Google-intern |
Offenlegung von Informationen Schwachstellen in libstagefright
In libstagefright gibt es Schwachstellen zur Offenlegung von Informationen, die während der Kommunikation mit Mediaserver eine Umgehung der vorhandenen Sicherheitsmaßnahmen ermöglichen könnten, um Angreifern das Ausnutzen der Plattform zu erschweren. Diese Probleme werden als hoher Schweregrad eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen zu erlangen, wie z. B. Signatur- oder SignatureOrSystem -Berechtigungsrechte, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Bug(s) mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6632 | ANDROID-24346430 | Hoch | 6.0 und darunter | Google-intern |
| CVE-2015-6626 | ANDROID-24310423 | Hoch | 6.0 und darunter | 2. September 2015 |
| CVE-2015-6631 | ANDROID-24623447 | Hoch | 6.0 und darunter | 21. August 2015 |
Schwachstelle bei der Offenlegung von Informationen in Audio
Eine Schwachstelle in der Audio-Komponente könnte bei der Verarbeitung von Audiodateien ausgenutzt werden. Diese Sicherheitsanfälligkeit kann es einer lokalen Schadanwendung ermöglichen, während der Verarbeitung einer speziell gestalteten Datei Informationen offenzulegen. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungen zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Bug(s) mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6627 | ANDROID-24211743 | Hoch | 6.0 und darunter | Google-intern |
Sicherheitsanfälligkeit bezüglich Offenlegung von Informationen in Media Framework
Es gibt eine Schwachstelle bezüglich der Offenlegung von Informationen in Media Framework, die während der Kommunikation mit Mediaserver eine Umgehung der vorhandenen Sicherheitsmaßnahmen ermöglichen könnte, um Angreifern die Nutzung der Plattform zu erschweren. Dieses Problem wird als hoher Schweregrad eingestuft, da es auch verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungsrechte zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Bug(s) mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6628 | ANDROID-24074485 | Hoch | 6.0 und darunter | 8. September 2015 |
Informationsoffenlegungs-Schwachstelle in Wi-Fi
Eine Schwachstelle in der Wi-Fi-Komponente könnte es einem Angreifer ermöglichen, den Wi-Fi-Dienst dazu zu bringen, Informationen preiszugeben. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungsrechte zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Bug(s) mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6629 | ANDROID-22667667 | Hoch | 5.1 und 5.0 | Google-intern |
Sicherheitslücke bezüglich Erhöhung von Berechtigungen im Systemserver
Eine Schwachstelle bezüglich der Erhöhung von Berechtigungen im Systemserver könnte es einer lokalen bösartigen Anwendung ermöglichen, Zugriff auf Informationen zu Wi-Fi-Diensten zu erhalten. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es dazu verwendet werden könnte, unsachgemäß „ gefährliche “ Berechtigungen zu erlangen.
| CVE | Bug(s) mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6625 | ANDROID-23936840 | Mäßig | 6.0 | Google-intern |
Offenlegung von Informationen Sicherheitslücke in SystemUI
Eine Schwachstelle zur Offenlegung von Informationen in der SystemUI könnte es einer lokalen bösartigen Anwendung ermöglichen, Zugriff auf Screenshots zu erhalten. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es dazu verwendet werden könnte, unsachgemäß „ gefährliche “ Berechtigungen zu erlangen.
| CVE | Bug(s) mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6630 | ANDROID-19121797 | Mäßig | 5.0, 5.1 und 6.0 | 22. Januar 2015 |
Häufige Fragen und Antworten
In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Bulletins auftreten können.
1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?
Builds LMY48Z oder höher und Android 6.0 mit Sicherheits-Patch-Level vom 1. Dezember 2015 oder höher beheben diese Probleme. Anweisungen zum Überprüfen des Sicherheits-Patch-Levels finden Sie in der Nexus-Dokumentation . Gerätehersteller, die diese Updates enthalten, sollten die Patch-String-Ebene auf Folgendes festlegen: [ro.build.version.security_patch]:[2015-12-01]
Revisionen
- 7. Dezember 2015: Ursprünglich veröffentlicht
- 9. Dezember 2015: Bulletin überarbeitet, um AOSP-Links aufzunehmen.
- 22. Dezember 2015: Fehlender Hinweis zum Abschnitt „Danksagungen“ hinzugefügt.
- 7. März 2016: Fehlender Hinweis zum Abschnitt „Danksagungen“ hinzugefügt.