Bollettino sulla sicurezza di Nexus - dicembre 2015

Pubblicato il 7 dicembre 2015 | Aggiornato il 7 marzo 2016

Abbiamo rilasciato un aggiornamento di sicurezza per i dispositivi Nexus tramite un aggiornamento over-the-air (OTA) come parte del nostro processo di rilascio mensile del bollettino sulla sicurezza di Android. Le immagini del firmware del Nexus sono state rilasciate anche sul sito degli sviluppatori di Google . Le build LMY48Z o successive e Android 6.0 con livello di patch di sicurezza del 1 dicembre 2015 o successivo risolvono questi problemi. Fare riferimento alla sezione Domande e risposte comuni per maggiori dettagli.

I partner sono stati informati e hanno fornito aggiornamenti per questi problemi il 2 novembre 2015 o prima. Ove applicabile, le patch del codice sorgente per questi problemi sono state rilasciate nel repository Android Open Source Project (AOSP).

Il più grave di questi problemi è una vulnerabilità critica della sicurezza che potrebbe consentire l'esecuzione di codice remoto su un dispositivo interessato attraverso più metodi come e-mail, navigazione Web e MMS durante l'elaborazione di file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, presupponendo che le mitigazioni della piattaforma e del servizio siano disabilitate per scopi di sviluppo o se aggirate con successo.

Non abbiamo ricevuto segnalazioni di sfruttamento attivo da parte dei clienti di questi problemi appena segnalati. Fare riferimento alla sezione Mitigazioni per dettagli sulle protezioni della piattaforma di sicurezza Android e sulle protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android. Incoraggiamo tutti i clienti ad accettare questi aggiornamenti sui propri dispositivi.

Mitigazioni

Questo è un riepilogo delle mitigazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni dei servizi come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità della sicurezza possano essere sfruttate con successo su Android.

  • Lo sfruttamento di molti problemi su Android è reso più difficile dai miglioramenti apportati alle versioni più recenti della piattaforma Android. Incoraggiamo tutti gli utenti ad aggiornare all'ultima versione di Android, ove possibile.
  • Il team di sicurezza Android sta monitorando attivamente eventuali abusi con Verify Apps e SafetyNet che avviseranno delle applicazioni potenzialmente dannose che stanno per essere installate. Gli strumenti di rooting del dispositivo sono vietati in Google Play. Per proteggere gli utenti che installano applicazioni dall'esterno di Google Play, Verifica app è abilitato per impostazione predefinita e avviserà gli utenti delle applicazioni di rooting note. Verify Apps tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di escalation dei privilegi. Se tale applicazione è già stata installata, Verify Apps avviserà l'utente e tenterà di rimuovere tali applicazioni.
  • A seconda dei casi, le applicazioni Google Hangouts e Messenger non trasmettono automaticamente i contenuti multimediali a processi come mediaserver.

Ringraziamenti

Desideriamo ringraziare questi ricercatori per il loro contributo:

  • Abhishek Arya, Oliver Chang e Martin Barbella del team di sicurezza di Google Chrome: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , CVE-2015-6634
  • Flanker ( @flanker_hqd ) di KeenTeam ( @K33nTeam ): CVE-2015-6620
  • Guang Gong (龚广) ( @oldfresher , higongguang@gmail.com) di Qihoo 360 Technology Co.Ltd : CVE-2015-6626
  • Mark Carter ( @hanpingchinese ) di EmberMitre Ltd: CVE-2015-6630
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2015-6621
  • Natalie Silvanovich di Google Project Zero: CVE-2015-6616
  • Peter Pi di Trend Micro: CVE-2015-6616, CVE-2015-6628
  • Qidan He ( @flanker_hqd ) e Marco Grassi ( @marcograss ) di KeenTeam ( @K33nTeam ): CVE-2015-6622
  • Tzu-Yin (Nina) Tai: CVE-2015-6627
  • Joaquín Rinaudo ( @xeroxnir ) del Programa STIC presso la Fundación Dr. Manuel Sadosky, Buenos Aires, Argentina: CVE-2015-6631
  • Wangtao (neobyte) del Baidu X-Team: CVE-2015-6626

Dettagli sulla vulnerabilità della sicurezza

Nelle sezioni seguenti forniamo dettagli per ciascuna delle vulnerabilità della sicurezza che si applicano al livello di patch 2015-12-01. È presente una descrizione del problema, una motivazione di gravità e una tabella con il CVE, il bug associato, la gravità, le versioni aggiornate e la data segnalata. Quando disponibile, collegheremo la modifica AOSP che ha risolto il problema all'ID del bug. Quando più modifiche riguardano un singolo bug, ulteriori riferimenti AOSP sono collegati a numeri che seguono l'ID del bug.

Vulnerabilità legate all'esecuzione di codice in modalità remota nel Mediaserver

Durante l'elaborazione di file multimediali e dati di un file appositamente predisposto, le vulnerabilità nel mediaserver potrebbero consentire a un utente malintenzionato di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota come processo del mediaserver.

La funzionalità interessata viene fornita come parte fondamentale del sistema operativo ed esistono diverse applicazioni che consentono di raggiungerla con contenuti remoti, in particolare MMS e riproduzione di contenuti multimediali tramite browser.

Questo problema è classificato come grave a causa della possibilità di esecuzione di codice remoto nel contesto del servizio mediaserver. Il servizio mediaserver ha accesso a flussi audio e video, nonché accesso a privilegi a cui normalmente le app di terze parti non possono accedere.

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6616 ANDROID-24630158 Critico 6.0 e versioni precedenti Interno di Google
ANDROID-23882800 Critico 6.0 e versioni precedenti Interno di Google
ANDROID-17769851 Critico 5.1 e seguenti Interno di Google
ANDROID-24441553 Critico 6.0 e versioni precedenti 22 settembre 2015
ANDROID-24157524 Critico 6.0 08 settembre 2015

Vulnerabilità legata all'esecuzione di codice in modalità remota a Skia

Potrebbe essere sfruttata una vulnerabilità nel componente Skia durante l'elaborazione di un file multimediale appositamente predisposto, che potrebbe portare al danneggiamento della memoria e all'esecuzione di codice remoto in un processo privilegiato. Questo problema è classificato come grave a causa della possibilità di esecuzione di codice in modalità remota tramite più metodi di attacco come e-mail, navigazione Web e MMS durante l'elaborazione di file multimediali.

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6617 ANDROID-23648740 Critico 6.0 e versioni precedenti Interno di Google

Elevazione dei privilegi nel kernel

Una vulnerabilità legata all'elevazione dei privilegi nel kernel del sistema potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario all'interno del contesto root del dispositivo. Questo problema è classificato come grave a causa della possibilità di una compromissione permanente del dispositivo locale e il dispositivo può essere riparato solo eseguendo nuovamente il flashing del sistema operativo.

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6619 ANDROID-23520714 Critico 6.0 e versioni precedenti 7 giugno 2015

Vulnerabilità legate all'esecuzione di codice in modalità remota nel driver video

Esistono vulnerabilità nei driver video che, durante l'elaborazione di un file multimediale, potrebbero causare il danneggiamento della memoria e la potenziale esecuzione di codice arbitrario nel contesto del driver in modalità utente caricato dal mediaserver. Questo problema è classificato come grave a causa della possibilità di esecuzione di codice in modalità remota tramite più metodi di attacco come e-mail, navigazione Web e MMS durante l'elaborazione di file multimediali.

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6633 ANDROID-23987307* Critico 6.0 e versioni precedenti Interno di Google
CVE-2015-6634 ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] Critico 5.1 e seguenti Interno di Google

*La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito degli sviluppatori di Google .

Vulnerabilità legata all'esecuzione di codice in modalità remota nel Bluetooth

Una vulnerabilità nel componente Bluetooth di Android potrebbe consentire l'esecuzione di codice in modalità remota. Tuttavia, prima che ciò possa verificarsi, sono necessari più passaggi manuali. Per fare ciò sarebbe necessario un dispositivo accoppiato con successo, dopo che il profilo PAN (Personal Area Network) è stato abilitato (ad esempio utilizzando il tethering Bluetooth) e il dispositivo è stato accoppiato. L'esecuzione del codice remoto sarebbe privilegio del servizio Bluetooth. Un dispositivo è vulnerabile a questo problema solo da un dispositivo accoppiato correttamente mentre si trova in prossimità locale.

Questo problema è classificato come di gravità elevata perché un utente malintenzionato potrebbe eseguire in remoto codice arbitrario solo dopo aver eseguito più passaggi manuali e da un utente malintenzionato localmente vicino a cui era stato precedentemente consentito di associare un dispositivo.

CVE Bug(i) Gravità Versioni aggiornate Data riportata
CVE-2015-6618 ANDROID-24595992* Alto 4.4, 5.0 e 5.1 28 settembre 2015

*La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito degli sviluppatori di Google .

Elevazione delle vulnerabilità dei privilegi in libstagefright

Esistono diverse vulnerabilità in libstagefright che potrebbero consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto del servizio mediaserver. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili ad applicazioni di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6620 ANDROID-24123723 Alto 6.0 e versioni precedenti 10 settembre 2015
ANDROID-24445127 Alto 6.0 e versioni precedenti 2 settembre 2015

Elevazione della vulnerabilità dei privilegi in SystemUI

Quando si imposta una sveglia utilizzando l'applicazione orologio, una vulnerabilità nel componente SystemUI potrebbe consentire a un'applicazione di eseguire un'attività con un livello di privilegio elevato. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili ad applicazioni di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6621 ANDROID-23909438 Alto 5.0, 5.1 e 6.0 7 settembre 2015

Vulnerabilità legata alla divulgazione di informazioni nella libreria dei framework nativi

Una vulnerabilità legata alla divulgazione di informazioni nella libreria Android Native Frameworks potrebbe consentire di aggirare le misure di sicurezza in atto per aumentare la difficoltà degli aggressori nello sfruttamento della piattaforma. Questi problemi sono classificati come di gravità elevata perché potrebbero essere utilizzati anche per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili ad applicazioni di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6622 ANDROID-23905002 Alto 6.0 e versioni precedenti 7 settembre 2015

Elevazione della vulnerabilità dei privilegi nel Wi-Fi

Una vulnerabilità legata all'elevazione dei privilegi nel Wi-Fi potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto di un servizio di sistema elevato. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili a un'applicazione di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6623 ANDROID-24872703 Alto 6.0 Interno di Google

Elevazione della vulnerabilità dei privilegi nel server di sistema

Una vulnerabilità legata all'elevazione dei privilegi nel componente System Server potrebbe consentire a un'applicazione locale dannosa di accedere alle informazioni relative al servizio. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili ad applicazioni di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6624 ANDROID-23999740 Alto 6.0 Interno di Google

Vulnerabilità nella divulgazione di informazioni in libstagefright

Esistono vulnerabilità nella divulgazione di informazioni in libstagefright che durante la comunicazione con il mediaserver potrebbero consentire di aggirare le misure di sicurezza in atto per aumentare la difficoltà degli aggressori nello sfruttamento della piattaforma. Questi problemi sono classificati come di gravità elevata perché potrebbero essere utilizzati anche per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili ad applicazioni di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6632 ANDROID-24346430 Alto 6.0 e versioni precedenti Interno di Google
CVE-2015-6626 ANDROID-24310423 Alto 6.0 e versioni precedenti 2 settembre 2015
CVE-2015-6631 ANDROID-24623447 Alto 6.0 e versioni precedenti 21 agosto 2015

Vulnerabilità nella divulgazione di informazioni nell'audio

Una vulnerabilità nel componente Audio potrebbe essere sfruttata durante l'elaborazione dei file audio. Questa vulnerabilità potrebbe consentire a un'applicazione dannosa locale, durante l'elaborazione di un file appositamente predisposto, di causare la divulgazione di informazioni. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili ad applicazioni di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6627 ANDROID-24211743 Alto 6.0 e versioni precedenti Interno di Google

Vulnerabilità nella divulgazione di informazioni nel framework dei media

Esiste una vulnerabilità nella divulgazione di informazioni in Media Framework che durante la comunicazione con il mediaserver potrebbe consentire di aggirare le misure di sicurezza in atto per aumentare la difficoltà degli aggressori nello sfruttamento della piattaforma. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato anche per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili ad applicazioni di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6628 ANDROID-24074485 Alto 6.0 e versioni precedenti 8 settembre 2015

Vulnerabilità nella divulgazione di informazioni nel Wi-Fi

Una vulnerabilità nel componente Wi-Fi potrebbe consentire a un utente malintenzionato di far sì che il servizio Wi-Fi divulghi informazioni. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili ad applicazioni di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6629 ANDROID-22667667 Alto 5.1 e 5.0 Interno di Google

Elevazione della vulnerabilità dei privilegi nel server di sistema

Una vulnerabilità relativa all'elevazione dei privilegi nel server di sistema potrebbe consentire a un'applicazione dannosa locale di ottenere l'accesso alle informazioni relative al servizio Wi-Fi. Questo problema è classificato con gravità moderata perché potrebbe essere utilizzato per ottenere in modo improprio autorizzazioni " pericolose ".

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6625 ANDROID-23936840 Moderare 6.0 Interno di Google

Vulnerabilità legata alla divulgazione di informazioni in SystemUI

Una vulnerabilità legata alla divulgazione di informazioni nella SystemUI potrebbe consentire a un'applicazione dannosa locale di accedere agli screenshot. Questo problema è classificato con gravità moderata perché potrebbe essere utilizzato per ottenere in modo improprio autorizzazioni " pericolose ".

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6630 ANDROID-19121797 Moderare 5.0, 5.1 e 6.0 22 gennaio 2015

Domande e risposte comuni

In questa sezione verranno esaminate le risposte alle domande più comuni che potrebbero sorgere dopo aver letto questo bollettino.

1. Come posso determinare se il mio dispositivo è aggiornato per risolvere questi problemi?

Le build LMY48Z o successive e Android 6.0 con livello di patch di sicurezza del 1 dicembre 2015 o successivo risolvono questi problemi. Fare riferimento alla documentazione del Nexus per istruzioni su come verificare il livello della patch di sicurezza. I produttori di dispositivi che includono questi aggiornamenti dovrebbero impostare il livello della stringa di patch su: [ro.build.version.security_patch]:[2015-12-01]

Revisioni

  • 7 dicembre 2015: pubblicazione originale
  • 9 dicembre 2015: bollettino rivisto per includere collegamenti AOSP.
  • 22 dicembre 2015: aggiunto credito mancante alla sezione Ringraziamenti.
  • 7 marzo 2016: aggiunto credito mancante alla sezione Ringraziamenti.