Nexus-Sicherheitsbulletin – Dezember 2015

Veröffentlicht am 07. Dezember 2015 | Aktualisiert am 7. März 2016

Wir haben ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) als Teil unseres monatlichen Veröffentlichungsprozesses für das Android Security Bulletin veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Site veröffentlicht. Builds LMY48Z oder höher und Android 6.0 mit Sicherheits-Patch-Level vom 1. Dezember 2015 oder höher beheben diese Probleme. Weitere Einzelheiten finden Sie im Abschnitt Häufige Fragen und Antworten .

Partner wurden am 2. November 2015 oder früher über diese Probleme benachrichtigt und stellten Updates zu diesen Problemen bereit. Wo zutreffend, wurden Quellcode-Patches für diese Probleme im Repository des Android Open Source Project (AOSP) veröffentlicht.

Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät durch mehrere Methoden wie E-Mail, Webbrowsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstmitigationen werden zu Entwicklungszwecken deaktiviert oder erfolgreich umgangen.

Uns liegen keine Berichte über eine aktive Nutzung dieser neu gemeldeten Probleme durch Kunden vor. Einzelheiten zum Schutz der Android-Sicherheitsplattform und zu Dienstschutzmaßnahmen wie SafetyNet , die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Abschwächungen. Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.

Abmilderungen

Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bereitgestellten Risikominderungen. Diese Fähigkeiten verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden könnten.

  • Die Nutzung für viele Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht aktiv auf Missbrauch mit Verify Apps und SafetyNet, die vor potenziell schädlichen Anwendungen warnen, die installiert werden sollen. Geräte-Rooting-Tools sind bei Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist „Apps überprüfen“ standardmäßig aktiviert und warnt Benutzer vor bekannten rootenden Anwendungen. Verify Apps versucht, die Installation bekannter bösartiger Anwendungen zu identifizieren und zu blockieren, die eine Schwachstelle bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
  • Entsprechend leiten Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie mediaserver weiter.

Danksagungen

Wir möchten diesen Forschern für ihre Beiträge danken:

  • Abhishek Arya, Oliver Chang und Martin Barbella vom Google Chrome Security Team: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , CVE-2015-6634
  • Flanker ( @flaker_hqd ) von KeenTeam ( @K33nTeam ): CVE-2015-6620
  • Guang Gong (龚广) ( @oldfresher , higongguang@gmail.com) von Qihoo 360 Technology Co.Ltd : CVE-2015-6626
  • Mark Carter ( @hanpingchinese ) von EmberMitre Ltd: CVE-2015-6630
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2015-6621
  • Natalie Silvanovich von Google Project Zero: CVE-2015-6616
  • Peter Pi von Trend Micro: CVE-2015-6616, CVE-2015-6628
  • Qidan He ( @flaker_hqd ) und Marco Grassi ( @marcograss ) von KeenTeam ( @K33nTeam ): CVE-2015-6622
  • Tzu-Yin (Nina) Tai: CVE-2015-6627
  • Joaquín Rinaudo ( @xeroxnir ) von Programa STIC bei Fundación Dr. Manuel Sadosky, Buenos Aires, Argentinien: CVE-2015-6631
  • Wangtao (Neobyte) vom Baidu X-Team: CVE-2015-6626

Details zu Sicherheitslücken

In den folgenden Abschnitten stellen wir Details zu allen Sicherheitsschwachstellen bereit, die für das Patch-Level 2015-12-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den aktualisierten Versionen und dem gemeldeten Datum. Wenn verfügbar, werden wir die AOSP-Änderung, die das Problem behebt, mit der Fehler-ID verknüpfen. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern nach der Fehler-ID verknüpft.

Sicherheitslücken bei Remote-Codeausführung in Mediaserver

Während der Mediendatei- und Datenverarbeitung einer speziell gestalteten Datei könnten Schwachstellen im Mediaserver einem Angreifer ermöglichen, Speicherbeschädigungen und Remote-Codeausführung als Mediaserver-Prozess zu verursachen.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt und es gibt mehrere Anwendungen, die es ermöglichen, sie mit Remote-Inhalten zu erreichen, insbesondere MMS und Browser-Wiedergabe von Medien.

Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Dienstes als Kritisch eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

CVE Bug(s) mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6616 ANDROID-24630158 Kritisch 6.0 und darunter Google-intern
ANDROID-23882800 Kritisch 6.0 und darunter Google-intern
ANDROID-17769851 Kritisch 5.1 und darunter Google-intern
ANDROID-24441553 Kritisch 6.0 und darunter 22. September 2015
ANDROID-24157524 Kritisch 6.0 08.09.2015

Schwachstelle bezüglich Remotecodeausführung in Skia

Eine Schwachstelle in der Skia-Komponente kann ausgenutzt werden, wenn eine speziell gestaltete Mediendatei verarbeitet wird, die zu einer Speicherbeschädigung und Remotecodeausführung in einem privilegierten Prozess führen kann. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung durch mehrere Angriffsmethoden wie E-Mail, Webbrowsing und MMS bei der Verarbeitung von Mediendateien als kritischer Schweregrad eingestuft.

CVE Bug(s) mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6617 ANDROID-23648740 Kritisch 6.0 und darunter Google-intern

Erhöhung von Privilegien im Kernel

Eine Schwachstelle bezüglich Rechteerweiterungen im Systemkern könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Root-Kontext des Geräts auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als kritischer Schweregrad eingestuft und das Gerät konnte nur durch erneutes Flashen des Betriebssystems repariert werden.

CVE Bug(s) mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6619 ANDROID-23520714 Kritisch 6.0 und darunter 7. Juni 2015

Schwachstellen bezüglich Remotecodeausführung im Anzeigetreiber

Es gibt Schwachstellen in den Anzeigetreibern, die bei der Verarbeitung einer Mediendatei zu Speicherbeschädigungen und möglicherweise zur Ausführung willkürlichen Codes im Kontext des von Mediaserver geladenen Benutzermodustreibers führen können. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung durch mehrere Angriffsmethoden wie E-Mail, Webbrowsing und MMS bei der Verarbeitung von Mediendateien als kritischer Schweregrad eingestuft.

CVE Bug(s) mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6633 ANDROID-23987307* Kritisch 6.0 und darunter Google-intern
CVE-2015-6634 ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] Kritisch 5.1 und darunter Google-intern

*Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Schwachstelle bezüglich Remote-Code-Ausführung in Bluetooth

Eine Schwachstelle in der Bluetooth-Komponente von Android könnte die Ausführung von Code aus der Ferne ermöglichen. Es sind jedoch mehrere manuelle Schritte erforderlich, bevor dies geschehen kann. Dazu wäre ein erfolgreich gekoppeltes Gerät erforderlich, nachdem das Personal Area Network (PAN)-Profil aktiviert wurde (z. B. über Bluetooth-Tethering) und das Gerät gekoppelt wurde. Die Remote-Code-Ausführung wäre dem Bluetooth-Dienst vorbehalten. Ein Gerät ist nur von einem erfolgreich gekoppelten Gerät in lokaler Nähe für dieses Problem anfällig.

Dieses Problem wird als hoher Schweregrad eingestuft, da ein Angreifer beliebigen Code nur dann aus der Ferne ausführen kann, nachdem mehrere manuelle Schritte ausgeführt wurden, und zwar von einem lokal nahen Angreifer, dem zuvor erlaubt wurde, ein Gerät zu koppeln.

CVE Fehler Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6618 ANDROID-24595992* Hoch 4.4, 5.0 und 5.1 28. September 2015

*Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege Schwachstellen in libstagefright

Es gibt mehrere Schwachstellen in libstagefright, die es einer lokalen bösartigen Anwendung ermöglichen könnten, beliebigen Code im Kontext des Mediaserver-Dienstes auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungsrechte zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Bug(s) mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6620 ANDROID-24123723 Hoch 6.0 und darunter 10. September 2015
ANDROID-24445127 Hoch 6.0 und darunter 2. September 2015

Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in SystemUI

Beim Einstellen eines Alarms mit der Uhranwendung kann eine Schwachstelle in der SystemUI-Komponente es einer Anwendung ermöglichen, eine Aufgabe mit einer erhöhten Berechtigungsstufe auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungsrechte zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Bug(s) mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6621 ANDROID-23909438 Hoch 5.0, 5.1 und 6.0 7. September 2015

Schwachstelle bezüglich der Offenlegung von Informationen in der nativen Frameworks-Bibliothek

Eine Schwachstelle zur Offenlegung von Informationen in der Android Native Frameworks Library könnte eine Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen, um Angreifern die Nutzung der Plattform zu erschweren. Diese Probleme werden als hoher Schweregrad eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen zu erlangen, wie z. B. Signatur- oder SignatureOrSystem -Berechtigungsrechte, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Bug(s) mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6622 ANDROID-23905002 Hoch 6.0 und darunter 7. September 2015

Elevation of Privilege-Schwachstelle in Wi-Fi

Eine Schwachstelle bezüglich der Erhöhung von Berechtigungen in Wi-Fi könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines erhöhten Systemdienstes auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungsrechte zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Bug(s) mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6623 ANDROID-24872703 Hoch 6.0 Google-intern

Sicherheitslücke bezüglich Erhöhung von Berechtigungen im Systemserver

Eine Schwachstelle bezüglich Rechteerweiterungen in der System Server-Komponente könnte es einer lokalen bösartigen Anwendung ermöglichen, Zugriff auf dienstbezogene Informationen zu erhalten. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungen zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Bug(s) mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6624 ANDROID-23999740 Hoch 6.0 Google-intern

Offenlegung von Informationen Schwachstellen in libstagefright

In libstagefright gibt es Schwachstellen zur Offenlegung von Informationen, die während der Kommunikation mit Mediaserver eine Umgehung der vorhandenen Sicherheitsmaßnahmen ermöglichen könnten, um Angreifern das Ausnutzen der Plattform zu erschweren. Diese Probleme werden als hoher Schweregrad eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen zu erlangen, wie z. B. Signatur- oder SignatureOrSystem -Berechtigungsrechte, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Bug(s) mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6632 ANDROID-24346430 Hoch 6.0 und darunter Google-intern
CVE-2015-6626 ANDROID-24310423 Hoch 6.0 und darunter 2. September 2015
CVE-2015-6631 ANDROID-24623447 Hoch 6.0 und darunter 21. August 2015

Schwachstelle bei der Offenlegung von Informationen in Audio

Eine Schwachstelle in der Audio-Komponente könnte bei der Verarbeitung von Audiodateien ausgenutzt werden. Diese Sicherheitsanfälligkeit kann es einer lokalen Schadanwendung ermöglichen, während der Verarbeitung einer speziell gestalteten Datei Informationen offenzulegen. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungen zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Bug(s) mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6627 ANDROID-24211743 Hoch 6.0 und darunter Google-intern

Sicherheitsanfälligkeit bezüglich Offenlegung von Informationen in Media Framework

Es gibt eine Schwachstelle bezüglich der Offenlegung von Informationen in Media Framework, die während der Kommunikation mit Mediaserver eine Umgehung der vorhandenen Sicherheitsmaßnahmen ermöglichen könnte, um Angreifern die Nutzung der Plattform zu erschweren. Dieses Problem wird als hoher Schweregrad eingestuft, da es auch verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungsrechte zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Bug(s) mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6628 ANDROID-24074485 Hoch 6.0 und darunter 8. September 2015

Informationsoffenlegungs-Schwachstelle in Wi-Fi

Eine Schwachstelle in der Wi-Fi-Komponente könnte es einem Angreifer ermöglichen, den Wi-Fi-Dienst dazu zu bringen, Informationen preiszugeben. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungsrechte zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Bug(s) mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6629 ANDROID-22667667 Hoch 5.1 und 5.0 Google-intern

Sicherheitslücke bezüglich Erhöhung von Berechtigungen im Systemserver

Eine Schwachstelle bezüglich der Erhöhung von Berechtigungen im Systemserver könnte es einer lokalen bösartigen Anwendung ermöglichen, Zugriff auf Informationen zu Wi-Fi-Diensten zu erhalten. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es dazu verwendet werden könnte, unsachgemäß „ gefährliche “ Berechtigungen zu erlangen.

CVE Bug(s) mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6625 ANDROID-23936840 Mäßig 6.0 Google-intern

Offenlegung von Informationen Sicherheitslücke in SystemUI

Eine Schwachstelle zur Offenlegung von Informationen in der SystemUI könnte es einer lokalen bösartigen Anwendung ermöglichen, Zugriff auf Screenshots zu erhalten. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es dazu verwendet werden könnte, unsachgemäß „ gefährliche “ Berechtigungen zu erlangen.

CVE Bug(s) mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6630 ANDROID-19121797 Mäßig 5.0, 5.1 und 6.0 22. Januar 2015

Häufige Fragen und Antworten

In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Bulletins auftreten können.

1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?

Builds LMY48Z oder höher und Android 6.0 mit Sicherheits-Patch-Level vom 1. Dezember 2015 oder höher beheben diese Probleme. Anweisungen zum Überprüfen des Sicherheits-Patch-Levels finden Sie in der Nexus-Dokumentation . Gerätehersteller, die diese Updates enthalten, sollten die Patch-String-Ebene auf Folgendes festlegen: [ro.build.version.security_patch]:[2015-12-01]

Revisionen

  • 7. Dezember 2015: Ursprünglich veröffentlicht
  • 9. Dezember 2015: Bulletin überarbeitet, um AOSP-Links aufzunehmen.
  • 22. Dezember 2015: Fehlender Hinweis zum Abschnitt „Danksagungen“ hinzugefügt.
  • 7. März 2016: Fehlender Hinweis zum Abschnitt „Danksagungen“ hinzugefügt.