Pubblicato il 7 dicembre 2015 | Aggiornato il 7 marzo 2016
Abbiamo rilasciato un aggiornamento della sicurezza per i dispositivi Nexus tramite un aggiornamento over-the-air (OTA) nell'ambito della nostra procedura di rilascio mensile del Bollettino sulla sicurezza di Android. Le immagini del firmware di Nexus sono state rilasciate anche sul sito per sviluppatori Google. Le build LMY48Z o successive e Android 6.0 con livello della patch di sicurezza del 1° dicembre 2015 o successivo risolvono questi problemi. Per ulteriori dettagli, consulta la sezione Domande frequenti e risposte.
I partner sono stati informati di questi problemi e hanno ricevuto aggiornamenti in merito il 2 novembre 2015 o prima. Ove applicabile, le patch del codice sorgente per questi problemi sono state rilasciate nel repository Android Open Source Project (AOSP).
Il più grave di questi problemi è una vulnerabilità di sicurezza critica che potrebbe consentire l'esecuzione di codice remoto su un dispositivo interessato tramite diversi metodi, come email, navigazione web e MMS durante l'elaborazione di file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, supponendo che le mitigazioni della piattaforma e del servizio siano disattivate a scopo di sviluppo o se sono state aggirate.
Non abbiamo ricevuto segnalazioni di sfruttamento attivo da parte dei clienti di questi problemi appena segnalati. Consulta la sezione Mitigazioni per informazioni dettagliate sulle protezioni della piattaforma di sicurezza Android e sulle protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android. Invitiamo tutti i clienti ad accettare questi aggiornamenti sui propri dispositivi.
Mitigazioni
Questo è un riepilogo delle mitigazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni dei servizi come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità di sicurezza possano essere sfruttate con successo su Android.
- Lo sfruttamento di molti problemi su Android è reso più difficile dai miglioramenti nelle versioni più recenti della piattaforma Android. Invitiamo tutti gli utenti a eseguire l'aggiornamento all'ultima versione di Android, se possibile.
- Il team di Android Security monitora attivamente gli abusi con Verifica app e SafetyNet, che avvisano dell'imminente installazione di applicazioni potenzialmente dannose. Gli strumenti per il rooting dei dispositivi sono vietati su Google Play. Per proteggere gli utenti che installano applicazioni da origini diverse da Google Play, Verifica app è attivata per impostazione predefinita e avvisa gli utenti delle applicazioni di rooting note. Verifica App tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di elevazione dei privilegi. Se un'app di questo tipo è già stata installata, Verifica app invierà una notifica all'utente e tenterà di rimuoverla.
- A seconda dei casi, le applicazioni Google Hangouts e Messenger non trasmettono automaticamente i contenuti multimediali a processi come mediaserver.
Ringraziamenti
Vogliamo ringraziare per il loro contributo i seguenti ricercatori:
- Abhishek Arya, Oliver Chang e Martin Barbella del team di sicurezza di Google Chrome: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633, CVE-2015-6634
- Flanker (@flanker_hqd) del KeenTeam (@K33nTeam): CVE-2015-6620
- Guang Gong (龚广) (@oldfresher, higongguang@gmail.com) di Qihoo 360 Technology Co.Ltd: CVE-2015-6626
- Mark Carter (@hanpingchinese) di EmberMitre Ltd: CVE-2015-6630
- Michał Bednarski (https://github.com/michalbednarski): CVE-2015-6621
- Natalie Silvanovich di Google Project Zero: CVE-2015-6616
- Peter Pi di Trend Micro: CVE-2015-6616, CVE-2015-6628
- Qidan He (@flanker_hqd) e Marco Grassi (@marcograss) di KeenTeam (@K33nTeam): CVE-2015-6622
- Tzu-Yin (Nina) Tai: CVE-2015-6627
- Joaquín Rinaudo (@xeroxnir) del Programma STIC della Fondazione Dr. Manuel Sadosky, Buenos Aires, Argentina: CVE-2015-6631
- Wangtao (neobyte) del team X di Baidu: CVE-2015-6626
Dettagli sulla vulnerabilità di sicurezza
Nelle sezioni seguenti sono riportati i dettagli di ciascuna delle vulnerabilità di sicurezza che si applicano al livello del patch del 1° dicembre 2015. Sono presenti una descrizione del problema, una motivazione della gravità e una tabella con il CVE, il bug associato, la gravità, le versioni aggiornate e la data di segnalazione. Se disponibile, collegheremo la modifica AOSP che ha risolto il problema all'ID bug. Quando più modifiche si riferiscono a un singolo bug, i riferimenti AOSP aggiuntivi sono collegati ai numeri che seguono l'ID bug.
Vulnerabilità di esecuzione di codice remoto in Mediaserver
Durante l'elaborazione di file multimediali e dati di un file appositamente creato, le vulnerabilità in mediaserver potrebbero consentire a un utente malintenzionato di causare la corruzione della memoria e l'esecuzione di codice da remoto come processo mediaserver.
La funzionalità interessata è fornita come parte integrante del sistema operativo e sono disponibili più applicazioni che consentono di accedervi con contenuti remote, tra cui MMS e riproduzione di contenuti multimediali nel browser.
Questo problema è classificato come di gravità Critica a causa della possibilità di eseguire codice remoto nel contesto del servizio mediaserver. Il servizio MediaServer ha accesso agli stream audio e video, nonché ai privilegi a cui le app di terze parti non possono accedere normalmente.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6616 | ANDROID-24630158 | Critico | 6.0 e versioni precedenti | Interno Google |
| ANDROID-23882800 | Critico | 6.0 e versioni precedenti | Interno Google | |
| ANDROID-17769851 | Critico | 5.1 e versioni precedenti | Interno Google | |
| ANDROID-24441553 | Critico | 6.0 e versioni precedenti | 22 settembre 2015 | |
| ANDROID-24157524 | Critico | 6.0 | 8 settembre 2015 |
Vulnerabilità di esecuzione di codice remoto in Skia
Una vulnerabilità nel componente Skia potrebbe essere sfruttata durante l'elaborazione di un file multimediale appositamente creato, che potrebbe causare la corruzione della memoria e l'esecuzione di codice da remoto in un processo privilegiato. Questo problema è classificato come di gravità critica a causa della possibilità di esecuzione di codice remoto tramite più metodi di attacco, come email, navigazione web e MMS, durante l'elaborazione di file multimediali.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6617 | ANDROID-23648740 | Critico | 6.0 e versioni precedenti | Interno Google |
Elevazione dei privilegi nel kernel
Una vulnerabilità di elevazione dei privilegi nel kernel di sistema potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto di root del dispositivo. Questo problema è classificato come di gravità critica a causa della possibilità di un compromesso permanente locale del dispositivo e il dispositivo potrebbe essere riparato solo riflashando il sistema operativo.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6619 | ANDROID-23520714 | Critico | 6.0 e versioni precedenti | 7 giugno 2015 |
Vulnerabilità di esecuzione di codice remoto nel driver del display
Esistono vulnerabilità nei driver di visualizzazione che, durante l'elaborazione di un file multimediale, potrebbero causare la corruzione della memoria e la potenziale esecuzione di codice arbitrario nel contesto del driver in modalità utente caricato da mediaserver. Questo problema è classificato come di gravità critica a causa della possibilità di esecuzione di codice remoto tramite diversi metodi di attacco come email, navigazione web e MMS durante l'elaborazione di file multimediali.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6633 | ANDROID-23987307* | Critico | 6.0 e versioni precedenti | Interno Google |
| CVE-2015-6634 | ANDROID-24163261 [2] [3] [4] | Critico | 5.1 e versioni precedenti | Interno Google |
*La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di esecuzione di codice remoto nel Bluetooth
Una vulnerabilità nel componente Bluetooth di Android potrebbe consentire l'esecuzione di codice remoto. Tuttavia, prima che ciò possa accadere sono necessari diversi passaggi manuali. Per farlo, è necessario un dispositivo accoppiato correttamente, dopo aver attivato il profilo Personal Area Network (PAN) (ad esempio utilizzando il tethering Bluetooth) e accoppiato il dispositivo. L'esecuzione di codice da remoto sarebbe un privilegio del servizio Bluetooth. Un dispositivo è vulnerabile a questo problema solo se si trova nelle vicinanze di un dispositivo accoppiato correttamente.
Questo problema è classificato come di gravità Alta perché un malintenzionato potrebbe eseguire da remoto codice arbitrario solo dopo aver eseguito più passaggi manuali e da un malintenzionato nelle vicinanze che in precedenza era stato autorizzato ad accoppiare un dispositivo.
| CVE | Bug | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6618 | ANDROID-24595992* | Alto | 4.4, 5.0 e 5.1 | 28 settembre 2015 |
*La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi in libstagefright
In libstagefright sono presenti più vulnerabilità che potrebbero consentire a un'applicazione local malvagia di eseguire codice arbitrario nel contesto del servizio mediaserver. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, ad esempio i privilegi delle autorizzazioni Signature o SignatureOrSystem, che non sono accessibili alle applicazioni di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6620 | ANDROID-24123723 | Alto | 6.0 e versioni precedenti | 10 settembre 2015 |
| ANDROID-24445127 | Alto | 6.0 e versioni precedenti | 2 settembre 2015 |
Vulnerabilità di elevazione dei privilegi in SystemUI
Quando imposti una sveglia utilizzando l'applicazione Orologio, una vulnerabilità nel componente SystemUI potrebbe consentire a un'applicazione di eseguire un'attività con un livello di privilegio elevato. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, ad esempio i privilegi delle autorizzazioni Signature o SignatureOrSystem, che non sono accessibili alle applicazioni di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6621 | ANDROID-23909438 | Alto | 5.0, 5.1 e 6.0 | 7 settembre 2015 |
Vulnerabilità di divulgazione di informazioni nella libreria dei framework nativi
Una vulnerabilità di divulgazione di informazioni nella libreria Android Native Frameworks potrebbe consentire il bypass delle misure di sicurezza in atto per aumentare la difficoltà degli utenti malintenzionati nell'exploitare la piattaforma. Questi problemi sono classificati come di gravità Alta perché potrebbero essere utilizzati anche per ottenere funzionalità elevate, come i privilegi delle autorizzazioni Signature o SignatureOrSystem, che non sono accessibili alle applicazioni di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6622 | ANDROID-23905002 | Alto | 6.0 e versioni precedenti | 7 settembre 2015 |
Vulnerabilità di elevazione dei privilegi nel Wi-Fi
Una vulnerabilità di elevazione dei privilegi nel Wi-Fi potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto di un servizio di sistema con privilegi elevati. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, ad esempio i privilegi delle autorizzazioni Signature o SignatureOrSystem, che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6623 | ANDROID-24872703 | Alto | 6.0 | Interno Google |
Vulnerabilità di elevazione dei privilegi nel server di sistema
Una vulnerabilità di elevazione dei privilegi nel componente System Server potrebbe consentire a un'applicazione locale dannosa di accedere alle informazioni relative al servizio. Questo problema è classificato come di gravità Alta perché potrebbe essere utilizzato per ottenere funzionalità elevate, ad esempio i privilegi delle autorizzazioni Signature o SignatureOrSystem, che non sono accessibili alle applicazioni di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6624 | ANDROID-23999740 | Alto | 6.0 | Interno Google |
Vulnerabilità di divulgazione di informazioni in libstagefright
In libstagefright sono presenti vulnerabilità di divulgazione di informazioni che, durante la comunicazione con mediaserver, potrebbero consentire il bypass delle misure di sicurezza in atto per aumentare la difficoltà degli utenti malintenzionati di sfruttare la piattaforma. Questi problemi sono classificati come di gravità elevata perché potrebbero essere utilizzati anche per ottenere funzionalità elevate, come i privilegi delle autorizzazioni Signature o SignatureOrSystem, che non sono accessibili alle applicazioni di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6632 | ANDROID-24346430 | Alto | 6.0 e versioni precedenti | Interno Google |
| CVE-2015-6626 | ANDROID-24310423 | Alto | 6.0 e versioni precedenti | 2 settembre 2015 |
| CVE-2015-6631 | ANDROID-24623447 | Alto | 6.0 e versioni precedenti | 21 agosto 2015 |
Vulnerabilità di divulgazione di informazioni nell'audio
Una vulnerabilità nel componente Audio potrebbe essere sfruttata durante l'elaborazione dei file audio. Questa vulnerabilità potrebbe consentire a un'applicazione locale dannosa di causare la divulgazione di informazioni durante l'elaborazione di un file appositamente creato. Questo problema è classificato come di gravità Alta perché potrebbe essere utilizzato per ottenere funzionalità elevate, ad esempio i privilegi delle autorizzazioni Signature o SignatureOrSystem, che non sono accessibili alle applicazioni di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6627 | ANDROID-24211743 | Alto | 6.0 e versioni precedenti | Interno Google |
Vulnerabilità di divulgazione di informazioni nel framework multimediale
In Media Framework è presente una vulnerabilità di divulgazione di informazioni che, durante la comunicazione con il mediaserver, potrebbe consentire il bypass delle misure di sicurezza in atto per aumentare la difficoltà degli utenti malintenzionati di sfruttare la piattaforma. Questo problema è classificato come di gravità Alta perché potrebbe essere utilizzato anche per ottenere funzionalità elevate, come i privilegi delle autorizzazioni Signature o SignatureOrSystem, che non sono accessibili alle applicazioni di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6628 | ANDROID-24074485 | Alto | 6.0 e versioni precedenti | 8 settembre 2015 |
Vulnerabilità di divulgazione di informazioni nel Wi-Fi
Una vulnerabilità nel componente Wi-Fi potrebbe consentire a un malintenzionato di causare la divulgazione di informazioni da parte del servizio Wi-Fi. Questo problema è classificato come di gravità Alta perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi delle autorizzazioni Signature o SignatureOrSystem, che non sono accessibili alle applicazioni di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6629 | ANDROID-22667667 | Alto | 5.1 e 5.0 | Interno Google |
Vulnerabilità di elevazione dei privilegi nel server di sistema
Una vulnerabilità di elevazione dei privilegi nel server di sistema potrebbe consentire a un'applicazione locale dannosa di accedere alle informazioni relative al servizio Wi-Fi. Questo problema è classificato come di gravità moderata perché potrebbe essere utilizzato per ottenere impropriamente autorizzazioni "pericolose".
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6625 | ANDROID-23936840 | Moderata | 6.0 | Interno Google |
Vulnerabilità di divulgazione di informazioni in SystemUI
Una vulnerabilità di divulgazione di informazioni nell'interfaccia utente di sistema potrebbe consentire a un'applicazione malevola locale di accedere agli screenshot. Questo problema è classificato come di gravità moderata perché potrebbe essere utilizzato per ottenere in modo improprio autorizzazioni "pericolose".
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6630 | ANDROID-19121797 | Moderata | 5.0, 5.1 e 6.0 | 22 gennaio 2015 |
Domande frequenti e risposte
Questa sezione esamina le risposte alle domande frequenti che potrebbero sorgere dopo aver letto questo bollettino.
1. Come faccio a stabilire se il mio dispositivo è aggiornato per risolvere questi problemi?
Le build LMY48Z o successive e Android 6.0 con livello della patch di sicurezza del 1° dicembre 2015 o successivo risolvono questi problemi. Per istruzioni su come controllare il livello della patch di sicurezza, consulta la documentazione di Nexus. I produttori di dispositivi che includono questi aggiornamenti devono impostare il livello della stringa della patch su: [ro.build.version.security_patch]:[2015-12-01]
Revisioni
- 7 dicembre 2015: prima pubblicazione
- 9 dicembre 2015: bollettino rivisto per includere i link AOSP.
- 22 dicembre 2015: aggiunto il merito mancante alla sezione Ringraziamenti.
- 7 marzo 2016: aggiunto il merito mancante alla sezione Ringraziamenti.