Pubblicato il 07 dicembre 2015 | Aggiornato il 7 marzo 2016
Abbiamo rilasciato un aggiornamento di sicurezza per i dispositivi Nexus tramite un aggiornamento over-the-air (OTA) come parte del nostro processo di rilascio mensile del Bollettino sulla sicurezza Android. Le immagini del firmware Nexus sono state rilasciate anche al sito degli sviluppatori di Google . Le build LMY48Z o successive e Android 6.0 con Security Patch Level del 1° dicembre 2015 o successive risolvono questi problemi. Fare riferimento alla sezione Domande e risposte comuni per maggiori dettagli.
I partner sono stati informati e hanno fornito aggiornamenti per questi problemi il 2 novembre 2015 o prima. Ove applicabile, le patch del codice sorgente per questi problemi sono state rilasciate nel repository Android Open Source Project (AOSP).
Il più grave di questi problemi è una vulnerabilità di sicurezza critica che potrebbe consentire l'esecuzione di codice in modalità remota su un dispositivo interessato tramite più metodi come e-mail, navigazione Web e MMS durante l'elaborazione di file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, supponendo che la piattaforma e le attenuazioni del servizio siano disabilitate per scopi di sviluppo o se bypassate correttamente.
Non abbiamo avuto segnalazioni di sfruttamento attivo da parte dei clienti di questi problemi appena segnalati. Fare riferimento alla sezione Mitigazioni per i dettagli sulle protezioni della piattaforma di sicurezza Android e sulle protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android. Invitiamo tutti i clienti ad accettare questi aggiornamenti sui propri dispositivi.
Mitigazioni
Questo è un riepilogo delle attenuazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni del servizio come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità della sicurezza possano essere sfruttate con successo su Android.
- Lo sfruttamento per molti problemi su Android è reso più difficile dai miglioramenti nelle versioni più recenti della piattaforma Android. Incoraggiamo tutti gli utenti ad aggiornare all'ultima versione di Android, ove possibile.
- Il team di sicurezza di Android sta monitorando attivamente gli abusi con Verifica app e SafetyNet che avviseranno di applicazioni potenzialmente dannose che stanno per essere installate. Gli strumenti di rooting del dispositivo sono vietati all'interno di Google Play. Per proteggere gli utenti che installano applicazioni al di fuori di Google Play, Verifica app è abilitato per impostazione predefinita e avviserà gli utenti delle applicazioni di rooting note. Verifica app tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di escalation dei privilegi. Se tale applicazione è già stata installata, Verifica app avviserà l'utente e tenterà di rimuovere tali applicazioni.
- A seconda dei casi, le applicazioni Google Hangouts e Messenger non trasmettono automaticamente i file multimediali a processi come mediaserver.
Ringraziamenti
Vorremmo ringraziare questi ricercatori per il loro contributo:
- Abhishek Arya, Oliver Chang e Martin Barbella del team di sicurezza di Google Chrome: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , CVE-2015-6634
- Flanker ( @flanker_hqd ) di KeenTeam ( @K33nTeam ): CVE-2015-6620
- Guang Gong (龚广) ( @oldfresher , higongguang@gmail.com) di Qihoo 360 Technology Co.Ltd : CVE-2015-6626
- Mark Carter ( @hanpingchinese ) di EmberMitre Ltd: CVE-2015-6630
- Michał Bednarski ( https://github.com/michalbednarski ): CVE-2015-6621
- Natalie Silvanovich di Google Project Zero: CVE-2015-6616
- Peter Pi di Trend Micro: CVE-2015-6616, CVE-2015-6628
- Qidan He ( @flanker_hqd ) e Marco Grassi ( @marcograss ) di KeenTeam ( @K33nTeam ): CVE-2015-6622
- Tzu-Yin (Nina) Tai: CVE-2015-6627
- Joaquín Rinaudo ( @xeroxnir ) di Programa STIC presso Fundación Dr. Manuel Sadosky, Buenos Aires, Argentina: CVE-2015-6631
- Wangtao (neobyte) di Baidu X-Team: CVE-2015-6626
Dettagli vulnerabilità di sicurezza
Nelle sezioni seguenti, forniamo i dettagli per ciascuna delle vulnerabilità di sicurezza che si applicano al livello di patch 2015-12-01. C'è una descrizione del problema, una logica di gravità e una tabella con il CVE, il bug associato, la gravità, le versioni aggiornate e la data segnalata. Quando disponibile, collegheremo la modifica AOSP che ha risolto il problema all'ID del bug. Quando più modifiche si riferiscono a un singolo bug, ulteriori riferimenti AOSP sono collegati a numeri che seguono l'ID del bug.
Vulnerabilità di esecuzione di codice in remoto in Mediaserver
Durante l'elaborazione di file multimediali e dati di un file appositamente predisposto, le vulnerabilità in mediaserver possono consentire a un utente malintenzionato di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota come processo mediaserver.
La funzionalità interessata è fornita come parte fondamentale del sistema operativo e sono disponibili più applicazioni che consentono di raggiungerla con contenuti remoti, in particolare MMS e riproduzione di file multimediali tramite browser.
Questo problema è classificato come Critico a causa della possibilità di esecuzione di codice in modalità remota nel contesto del servizio mediaserver. Il servizio mediaserver ha accesso a flussi audio e video, nonché accesso a privilegi a cui normalmente le app di terze parti non possono accedere.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6616 | ANDROID-24630158 | Critico | 6.0 e inferiori | Google interno |
| ANDROID-23882800 | Critico | 6.0 e inferiori | Google interno | |
| ANDROID-17769851 | Critico | 5.1 e seguenti | Google interno | |
| ANDROID-24441553 | Critico | 6.0 e inferiori | 22 settembre 2015 | |
| ANDROID-24157524 | Critico | 6.0 | 08 settembre 2015 |
Vulnerabilità nell'esecuzione di codice in remoto in Skia
Una vulnerabilità nel componente Skia può essere sfruttata durante l'elaborazione di un file multimediale appositamente predisposto, che potrebbe causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota in un processo con privilegi. Questo problema è considerato di gravità critica a causa della possibilità di esecuzione di codice in modalità remota tramite più metodi di attacco come e-mail, navigazione Web e MMS durante l'elaborazione di file multimediali.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6617 | ANDROID-23648740 | Critico | 6.0 e inferiori | Google interno |
Elevazione del privilegio nel kernel
Una vulnerabilità legata all'acquisizione di privilegi più elevati nel kernel di sistema potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario all'interno del contesto root del dispositivo. Questo problema è classificato come di gravità Critico a causa della possibilità di una compromissione permanente del dispositivo locale e il dispositivo può essere riparato solo eseguendo un nuovo flash del sistema operativo.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6619 | ANDROID-23520714 | Critico | 6.0 e inferiori | 7 giugno 2015 |
Vulnerabilità nell'esecuzione di codice in remoto nel driver video
Sono presenti vulnerabilità nei driver di visualizzazione che, durante l'elaborazione di un file multimediale, potrebbero causare il danneggiamento della memoria e la potenziale esecuzione di codice arbitrario nel contesto del driver in modalità utente caricato da mediaserver. Questo problema è considerato di gravità critica a causa della possibilità di esecuzione di codice in modalità remota tramite più metodi di attacco come e-mail, navigazione Web e MMS durante l'elaborazione di file multimediali.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6633 | ANDROID-23987307* | Critico | 6.0 e inferiori | Google interno |
| CVE-2015-6634 | ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] | Critico | 5.1 e seguenti | Google interno |
*La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito Google Developer .
Vulnerabilità nell'esecuzione di codice in modalità remota in Bluetooth
Una vulnerabilità nel componente Bluetooth di Android potrebbe consentire l'esecuzione di codice in modalità remota. Tuttavia, prima che ciò possa verificarsi, sono necessari più passaggi manuali. Per fare ciò sarebbe necessario un dispositivo accoppiato correttamente, dopo che il profilo di rete personale (PAN) è stato abilitato (ad esempio utilizzando Bluetooth Tethering) e il dispositivo è stato accoppiato. L'esecuzione del codice in remoto sarebbe a privilegio del servizio Bluetooth. Un dispositivo è vulnerabile a questo problema solo da un dispositivo accoppiato correttamente mentre si trova in prossimità locale.
Questo problema è classificato come Elevata gravità perché un utente malintenzionato può eseguire in remoto codice arbitrario solo dopo l'esecuzione di più passaggi manuali e da un utente malintenzionato locale a cui era stato precedentemente consentito di associare un dispositivo.
| CVE | Bug(i) | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6618 | ANDROID-24595992* | Alto | 4.4, 5.0 e 5.1 | 28 settembre 2015 |
*La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito Google Developer .
Aumento delle vulnerabilità dei privilegi in libstagefright
Esistono diverse vulnerabilità in libstagefright che potrebbero consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto del servizio mediaserver. Questo problema è classificato come severità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Firma o Firma o Sistema, che non sono accessibili ad applicazioni di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6620 | ANDROID-24123723 | Alto | 6.0 e inferiori | 10 settembre 2015 |
| ANDROID-24445127 | Alto | 6.0 e inferiori | 2 settembre 2015 |
Aumento della vulnerabilità dei privilegi in SystemUI
Quando si imposta una sveglia utilizzando l'applicazione orologio, una vulnerabilità nel componente SystemUI potrebbe consentire a un'applicazione di eseguire un'attività con un livello di privilegi elevato. Questo problema è classificato come severità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Firma o Firma o Sistema, che non sono accessibili ad applicazioni di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6621 | ANDROID-23909438 | Alto | 5.0, 5.1 e 6.0 | 7 settembre 2015 |
Vulnerabilità di divulgazione di informazioni nella libreria di Framework nativi
Una vulnerabilità di divulgazione di informazioni nella libreria Android Native Frameworks potrebbe consentire di aggirare le misure di sicurezza in atto per aumentare la difficoltà degli aggressori a sfruttare la piattaforma. Questi problemi sono classificati come Elevata gravità perché possono essere utilizzati anche per ottenere funzionalità elevate, come i privilegi di autorizzazione Firma o Firma o Sistema, che non sono accessibili ad applicazioni di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6622 | ANDROID-23905002 | Alto | 6.0 e inferiori | 7 settembre 2015 |
Aumento della vulnerabilità dei privilegi nel Wi-Fi
Una vulnerabilità legata all'acquisizione di privilegi più elevati nel Wi-Fi potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto di un servizio di sistema con privilegi elevati. Questo problema è classificato con gravità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, ad esempio i privilegi di autorizzazione Firma o Firma o Sistema, che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6623 | ANDROID-24872703 | Alto | 6.0 | Google interno |
Aumento della vulnerabilità dei privilegi in System Server
Una vulnerabilità legata all'acquisizione di privilegi più elevati nel componente System Server potrebbe consentire a un'applicazione dannosa locale di accedere alle informazioni relative al servizio. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Firma o Firma o Sistema, che non sono accessibili ad applicazioni di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6624 | ANDROID-23999740 | Alto | 6.0 | Google interno |
Vulnerabilità di divulgazione delle informazioni in libstagefright
Ci sono vulnerabilità di divulgazione di informazioni in libstagefright che durante la comunicazione con mediaserver, potrebbero consentire di aggirare le misure di sicurezza in atto per aumentare la difficoltà degli aggressori a sfruttare la piattaforma. Questi problemi sono classificati come Elevata gravità perché possono essere utilizzati anche per ottenere funzionalità elevate, come i privilegi di autorizzazione Firma o Firma o Sistema, che non sono accessibili ad applicazioni di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6632 | ANDROID-24346430 | Alto | 6.0 e inferiori | Google interno |
| CVE-2015-6626 | ANDROID-24310423 | Alto | 6.0 e inferiori | 2 settembre 2015 |
| CVE-2015-6631 | ANDROID-24623447 | Alto | 6.0 e inferiori | 21 agosto 2015 |
Vulnerabilità di divulgazione di informazioni nell'audio
Una vulnerabilità nel componente Audio potrebbe essere sfruttata durante l'elaborazione di file audio. Questa vulnerabilità può consentire a un'applicazione dannosa locale, durante l'elaborazione di un file appositamente predisposto, di causare la divulgazione di informazioni. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Firma o Firma o Sistema, che non sono accessibili ad applicazioni di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6627 | ANDROID-24211743 | Alto | 6.0 e inferiori | Google interno |
Vulnerabilità di divulgazione di informazioni nel quadro dei media
Esiste una vulnerabilità di divulgazione delle informazioni in Media Framework che durante la comunicazione con il mediaserver, potrebbe consentire di aggirare le misure di sicurezza in atto per aumentare la difficoltà degli aggressori a sfruttare la piattaforma. Questo problema è classificato come di gravità elevata perché può essere utilizzato anche per ottenere funzionalità elevate, come i privilegi di autorizzazione Firma o Firma o Sistema, che non sono accessibili ad applicazioni di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6628 | ANDROID-24074485 | Alto | 6.0 e inferiori | 8 settembre 2015 |
Vulnerabilità alla divulgazione di informazioni nel Wi-Fi
Una vulnerabilità nel componente Wi-Fi potrebbe consentire a un utente malintenzionato di indurre il servizio Wi-Fi a divulgare informazioni. Questo problema è classificato come severità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Firma o Firma o Sistema, che non sono accessibili ad applicazioni di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6629 | ANDROID-22667667 | Alto | 5.1 e 5.0 | Google interno |
Aumento della vulnerabilità dei privilegi in System Server
Una vulnerabilità legata all'acquisizione di privilegi più elevati nel server di sistema potrebbe consentire a un'applicazione dannosa locale di accedere alle informazioni relative al servizio Wi-Fi. Questo problema è classificato come di gravità moderata perché potrebbe essere utilizzato per ottenere autorizzazioni " pericolose " in modo improprio.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6625 | ANDROID-23936840 | Moderare | 6.0 | Google interno |
Vulnerabilità di divulgazione di informazioni in SystemUI
Una vulnerabilità di divulgazione di informazioni nella SystemUI potrebbe consentire a un'applicazione dannosa locale di accedere agli screenshot. Questo problema è classificato come di gravità moderata perché potrebbe essere utilizzato per ottenere autorizzazioni " pericolose " in modo improprio.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2015-6630 | ANDROID-19121797 | Moderare | 5.0, 5.1 e 6.0 | 22 gennaio 2015 |
Domande e risposte comuni
Questa sezione esaminerà le risposte alle domande più comuni che possono sorgere dopo la lettura di questo bollettino.
1. Come faccio a determinare se il mio dispositivo è aggiornato per risolvere questi problemi?
Le build LMY48Z o successive e Android 6.0 con Security Patch Level del 1° dicembre 2015 o successive risolvono questi problemi. Fare riferimento alla documentazione di Nexus per istruzioni su come controllare il livello di patch di sicurezza. I produttori di dispositivi che includono questi aggiornamenti devono impostare il livello della stringa di patch su: [ro.build.version.security_patch]:[2015-12-01]
Revisioni
- 07 dicembre 2015: pubblicato originariamente
- 9 dicembre 2015: Bollettino rivisto per includere i collegamenti AOSP.
- 22 dicembre 2015: aggiunto credito mancante alla sezione Ringraziamenti.
- 07 marzo 2016: aggiunto credito mancante alla sezione Ringraziamenti.