Nexus のセキュリティに関する公開情報 - 2015 年 12 月

2015 年 12 月 7 日に公開 | 2016 年 3 月 7 日更新

Android セキュリティ情報の月例リリース プロセスの一環として、無線 (OTA) アップデートを通じて Nexus デバイスにセキュリティ アップデートをリリースしました。 Nexus ファームウェア イメージは、 Google 開発者サイトにもリリースされています。 LMY48Z 以降のビルドと、セキュリティ パッチ レベルが 2015 年 12 月 1 日以降の Android 6.0 では、これらの問題が解決されています。詳細については、「よくある質問と回答」セクションを参照してください。

パートナーは、2015 年 11 月 2 日以前にこれらの問題について通知され、更新情報を提供されました。該当する場合、これらの問題に対するソース コード パッチが Android オープン ソース プロジェクト (AOSP) リポジトリにリリースされています。

これらの問題のうち最も深刻なものは、メディア ファイルの処理時に、電子メール、Web ブラウジング、MMS などの複数の方法を介して、影響を受けるデバイス上でリモート コードが実行される可能性がある重大なセキュリティ脆弱性です。重大度の評価は、プラットフォームとサービスの緩和策が開発目的で無効になっている場合、または回避に成功した場合を想定して、脆弱性の悪用が影響を受けるデバイスに与える可能性のある影響に基づいています。

これらの新たに報告された問題を顧客が積極的に悪用したという報告はありません。 Android プラットフォームのセキュリティを向上させるAndroid セキュリティ プラットフォームの保護と、SafetyNet などのサービス保護の詳細については、 「緩和策」セクションを参照してください。すべてのお客様に、デバイスに対するこれらのアップデートを受け入れることをお勧めします。

緩和策

これは、Android セキュリティ プラットフォームと SafetyNet などのサービス保護によって提供される緩和策の概要です。これらの機能により、Android でセキュリティの脆弱性が悪用される可能性が低くなります。

  • Android プラットフォームの新しいバージョンの機能強化により、Android 上の多くの問題の悪用はさらに困難になっています。すべてのユーザーに、可能な限り Android の最新バージョンに更新することをお勧めします。
  • Android セキュリティ チームは、Verify Apps と SafetyNet を使用して悪用を積極的に監視しており、有害な可能性のあるアプリケーションがインストールされようとしている場合に警告します。デバイスのルート化ツールは Google Play 内では禁止されています。 Google Play の外部からアプリケーションをインストールするユーザーを保護するために、Verify Apps がデフォルトで有効になっており、既知の root 化アプリケーションについてユーザーに警告します。 Verify Apps は、権限昇格の脆弱性を悪用する既知の悪意のあるアプリケーションのインストールを特定してブロックしようとします。そのようなアプリケーションがすでにインストールされている場合、Verify Apps はユーザーに通知し、そのようなアプリケーションを削除しようとします。
  • 必要に応じて、Google ハングアウトおよびメッセンジャー アプリケーションは、メディアをメディアサーバーなどのプロセスに自動的に渡しません。

謝辞

これらの研究者の貢献に感謝いたします。

  • Google Chrome セキュリティ チームの Abhishek Arya、Oliver Chang、Martin Barbella: CVE-2015-6616、CVE-2015-6617、CVE-2015-6623、CVE-2015-6626、CVE-2015-6619、CVE-2015-6633 、CVE-2015-6634
  • KeenTeam ( @K33nTeam ) のフランカー ( @flanker_hqd ): CVE-2015-6620
  • Qihoo 360 Technology Co.Ltdの Guang Gong (龚广) ( @oldfresher 、higongguang@gmail.com) : CVE-2015-6626
  • EmberMitre Ltd の Mark Carter ( @hanpingchinese ): CVE-2015-6630
  • ミハウ・ベドナルスキー ( https://github.com/michalbednarski ): CVE-2015-6621
  • Google Project Zero の Natalie Silvanovich: CVE-2015-6616
  • トレンドマイクロの Peter Pi: CVE-2015-6616、CVE-2015-6628
  • KeenTeam ( @K33nTeam ) の Qidan He ( @flanker_hqd ) と Marco Grassi ( @marcograss ): CVE-2015-6622
  • ツーイン (ニーナ) タイ: CVE-2015-6627
  • アルゼンチン、ブエノスアイレスのマヌエル・サドスキー財団のプログラマ STIC のホアキン・リナウド ( @xeroxnir ): CVE-2015-6631
  • Baidu X チームの Wangtao (ネオバイト): CVE-2015-6626

セキュリティ脆弱性の詳細

以下のセクションでは、2015-12-01 パッチ レベルに適用される各セキュリティ脆弱性の詳細を説明します。問題の説明、重大度の根拠、CVE、関連するバグ、重大度、更新バージョン、報告日が記載された表があります。利用可能な場合は、問題に対処した AOSP の変更をバグ ID にリンクします。複数の変更が 1 つのバグに関連する場合、追加の AOSP 参照はバグ ID に続く番号にリンクされます。

メディアサーバーのリモートコード実行の脆弱性

メディア ファイルおよび特別に作成されたファイルのデータ処理中に、メディアサーバーの脆弱性により、攻撃者がメモリ破損を引き起こし、メディアサーバー プロセスとしてリモート コードを実行する可能性があります。

影響を受ける機能はオペレーティング システムのコア部分として提供されており、リモート コンテンツ、特に MMS やブラウザでのメディア再生を使用してこの機能にアクセスできるようにするアプリケーションが複数あります。

メディアサーバー サービスのコンテキスト内でリモート コードが実行される可能性があるため、この問題の重大度は「緊急」と評価されています。メディアサーバー サービスは、オーディオおよびビデオ ストリームにアクセスできるだけでなく、サードパーティ アプリが通常アクセスできない権限にもアクセスできます。

CVE AOSP リンクに関するバグ重大度更新されたバージョン報告日
CVE-2015-6616アンドロイド-24630158致命的6.0以下Google内部
アンドロイド-23882800致命的6.0以下Google内部
アンドロイド-17769851致命的5.1以下Google内部
アンドロイド-24441553致命的6.0以下2015 年 9 月 22 日
アンドロイド-24157524致命的6.0 2015 年 9 月 8 日

Skia におけるリモートコード実行の脆弱性

Skia コンポーネントの脆弱性は、特別に細工されたメディア ファイルを処理する際に悪用される可能性があり、メモリ破損や特権プロセスでのリモート コード実行につながる可能性があります。メディア ファイルの処理時に電子メール、Web ブラウジング、MMS などの複数の攻撃方法を介してリモートでコードが実行される可能性があるため、この問題の重大度は「緊急」と評価されています。

CVE AOSP リンクに関するバグ重大度更新されたバージョン報告日
CVE-2015-6617アンドロイド-23648740致命的6.0以下Google社内

カーネルでの特権の昇格

システム カーネルに特権昇格の脆弱性があるため、悪意のあるローカル アプリケーションがデバイスのルート コンテキスト内で任意のコードを実行する可能性があります。ローカルの永続的なデバイスが侵害される可能性があるため、この問題の重大度は「緊急」と評価されており、デバイスはオペレーティング システムを再フラッシュすることによってのみ修復できます。

CVE AOSP リンクに関するバグ重大度更新されたバージョン報告日
CVE-2015-6619アンドロイド-23520714致命的6.0以下2015 年 6 月 7 日

ディスプレイドライバーのリモートコード実行の脆弱性

ディスプレイ ドライバーには脆弱性があり、メディア ファイルの処理時にメモリ破損が発生し、メディアサーバーによって読み込まれたユーザー モード ドライバーのコンテキストで任意のコードが実行される可能性があります。メディア ファイルの処理時に電子メール、Web ブラウジング、MMS などの複数の攻撃方法を介してリモートでコードが実行される可能性があるため、この問題の重大度は「緊急」と評価されています。

CVE AOSP リンクに関するバグ重大度更新されたバージョン報告日
CVE-2015-6633アンドロイド-23987307*致命的6.0以下Google内部
CVE-2015-6634アンドロイド-24163261 [ 2 ] [ 3 ] [ 4 ]致命的5.1以下Google内部

*この問題のパッチは AOSP には含まれていません。このアップデートは、 Google デベロッパー サイトから入手できる Nexus デバイス用の最新バイナリ ドライバに含まれています。

Bluetooth におけるリモートコード実行の脆弱性

Android の Bluetooth コンポーネントの脆弱性により、リモートでコードが実行される可能性があります。ただし、これが発生する前に複数の手動手順が必要です。これを行うには、パーソナル エリア ネットワーク (PAN) プロファイルが有効になり (Bluetooth テザリングを使用するなど)、デバイスがペアリングされた後、デバイスが正常にペアリングされる必要があります。リモート コードの実行は Bluetooth サービスの特権で行われます。デバイスがこの問題に対して脆弱になるのは、ローカルに近接しているときに正常にペアリングされたデバイスからのみです。

攻撃者は複数の手動手順を実行し、以前にデバイスのペアリングを許可されていたローカルに近い攻撃者からのみリモートで任意のコードを実行できるため、この問題の重大度は「高」と評価されています。

CVEバグ重大度更新されたバージョン報告日
CVE-2015-6618アンドロイド-24595992*高い4.4、5.0、5.1 2015 年 9 月 28 日

*この問題のパッチは AOSP には含まれていません。このアップデートは、 Google デベロッパー サイトから入手できる Nexus デバイス用の最新バイナリ ドライバに含まれています。

libstagefright における特権昇格の脆弱性

libstagefright には複数の脆弱性があり、ローカルの悪意のあるアプリケーションがメディアサーバー サービスのコンテキスト内で任意のコードを実行できる可能性があります。この問題は、サードパーティのアプリケーションがアクセスできない、 SignatureまたはSignatureOrSystem権限などの高い機能を取得するために使用される可能性があるため、重大度は「高」と評価されています。

CVE AOSP リンクに関するバグ重大度更新されたバージョン報告日
CVE-2015-6620アンドロイド-24123723高い6.0以下2015 年 9 月 10 日
アンドロイド-24445127高い6.0以下2015 年 9 月 2 日

SystemUI における特権昇格の脆弱性

時計アプリケーションを使用してアラームを設定する場合、SystemUI コンポーネントの脆弱性により、アプリケーションが高い特権レベルでタスクを実行できる可能性があります。この問題は、サードパーティのアプリケーションがアクセスできない、 SignatureまたはSignatureOrSystem権限などの高い機能を取得するために使用される可能性があるため、重大度は「高」と評価されています。

CVE AOSP リンクに関するバグ重大度更新されたバージョン報告日
CVE-2015-6621アンドロイド-23909438高い5.0、5.1、6.0 2015 年 9 月 7 日

ネイティブ フレームワーク ライブラリにおける情報漏洩の脆弱性

Android ネイティブ フレームワーク ライブラリに情報漏えいの脆弱性があるため、実施されているセキュリティ対策がバイパスされ、攻撃者によるプラットフォームの悪用が困難になる可能性があります。これらの問題は、サードパーティ アプリケーションがアクセスできない、 SignatureSignatureOrSystem権限などの高度な機能を取得するために使用される可能性があるため、重大度は「高」と評価されています。

CVE AOSP リンクに関するバグ重大度更新されたバージョン報告日
CVE-2015-6622アンドロイド-23905002高い6.0以下2015 年 9 月 7 日

Wi-Fi における特権昇格の脆弱性

Wi-Fi に特権昇格の脆弱性があるため、悪意のあるローカル アプリケーションが昇格されたシステム サービスのコンテキスト内で任意のコードを実行する可能性があります。この問題は、 SignatureSignatureOrSystemアクセス許可など、サードパーティ アプリケーションからはアクセスできない高度な機能を取得するために使用される可能性があるため、重大度は「高」と評価されています。

CVE AOSP リンクに関するバグ重大度更新されたバージョン報告日
CVE-2015-6623アンドロイド-24872703高い6.0 Google内部

システムサーバーにおける権限昇格の脆弱性

システム サーバー コンポーネントに特権昇格の脆弱性があるため、悪意のあるローカル アプリケーションがサービス関連情報にアクセスできる可能性があります。この問題は、サードパーティのアプリケーションがアクセスできない、 SignatureまたはSignatureOrSystem権限などの高い機能を取得するために使用される可能性があるため、重大度は「高」と評価されています。

CVE AOSP リンクに関するバグ重大度更新されたバージョン報告日
CVE-2015-6624アンドロイド-23999740高い6.0 Google社内

libstagefright の情報漏洩の脆弱性

libstagefright には情報漏えいの脆弱性があり、メディアサーバーとの通信中に、攻撃者がプラットフォームを悪用する難易度を高めるためのセキュリティ対策がバイパスされる可能性があります。これらの問題は、サードパーティ アプリケーションがアクセスできない、 SignatureSignatureOrSystem権限などの高度な機能を取得するために使用される可能性があるため、重大度は「高」と評価されています。

CVE AOSP リンクに関するバグ重大度更新されたバージョン報告日
CVE-2015-6632アンドロイド-24346430高い6.0以下Google内部
CVE-2015-6626アンドロイド-24310423高い6.0以下2015 年 9 月 2 日
CVE-2015-6631アンドロイド-24623447高い6.0以下2015 年 8 月 21 日

オーディオにおける情報漏洩の脆弱性

オーディオ コンポーネントの脆弱性は、オーディオ ファイルの処理中に悪用される可能性があります。この脆弱性により、特別に細工されたファイルの処理中に、ローカルの悪意のあるアプリケーションが情報漏洩を引き起こす可能性があります。この問題は、サードパーティのアプリケーションがアクセスできない、 SignatureまたはSignatureOrSystem権限などの高い機能を取得するために使用される可能性があるため、重大度は「高」と評価されています。

CVE AOSP リンクに関するバグ重大度更新されたバージョン報告日
CVE-2015-6627アンドロイド-24211743高い6.0以下Google内部

メディア フレームワークにおける情報漏洩の脆弱性

Media Framework には情報漏えいの脆弱性があり、メディアサーバーとの通信中に、攻撃者がプラットフォームを悪用する難易度を高めるためのセキュリティ対策がバイパスされる可能性があります。この問題は、サードパーティのアプリケーションがアクセスできない、 SignatureまたはSignatureOrSystem権限などの高い機能を取得するために使用される可能性があるため、重大度は「高」と評価されています。

CVE AOSP リンクに関するバグ重大度更新されたバージョン報告日
CVE-2015-6628アンドロイド-24074485高い6.0以下2015 年 9 月 8 日

Wi-Fi における情報漏洩の脆弱性

Wi-Fi コンポーネントの脆弱性により、攻撃者が Wi-Fi サービスに情報を漏洩させる可能性があります。この問題は、サードパーティのアプリケーションがアクセスできない、 SignatureまたはSignatureOrSystem権限などの高い機能を取得するために使用される可能性があるため、重大度は「高」と評価されています。

CVE AOSP リンクに関するバグ重大度更新されたバージョン報告日
CVE-2015-6629アンドロイド-22667667高い5.1 と 5.0 Google内部

システムサーバーにおける権限昇格の脆弱性

システム サーバーに特権昇格の脆弱性があるため、悪意のあるローカル アプリケーションが Wi-Fi サービス関連情報にアクセスできる可能性があります。 「危険な」権限を不正に取得するために使用される可能性があるため、この問題の重大度は「中」と評価されています。

CVE AOSP リンクに関するバグ重大度更新されたバージョン報告日
CVE-2015-6625アンドロイド-23936840適度6.0 Google内部

SystemUI における情報漏洩の脆弱性

SystemUI に情報漏えいの脆弱性があるため、悪意のあるローカルアプリケーションがスクリーンショットにアクセスできる可能性があります。 「危険な」権限を不正に取得するために使用される可能性があるため、この問題の重大度は「中」と評価されています。

CVE AOSP リンクに関するバグ重大度更新されたバージョン報告日
CVE-2015-6630アンドロイド-19121797適度5.0、5.1、6.0 2015 年 1 月 22 日

よくある質問と回答

このセクションでは、この速報を読んだ後に発生する可能性のある一般的な質問への回答を確認します。

1. これらの問題に対処するためにデバイスが更新されているかどうかを確認するにはどうすればよいですか?

LMY48Z 以降のビルドと、セキュリティ パッチ レベルが 2015 年 12 月 1 日以降の Android 6.0 では、これらの問題が解決されています。セキュリティ パッチ レベルを確認する方法については、 Nexus のドキュメントを参照してください。これらのアップデートを含むデバイス メーカーは、パッチ文字列レベルを [ro.build.version.security_patch]:[2015-12-01] に設定する必要があります。

改訂

  • 2015 年 12 月 7 日: 初版発行
  • 2015 年 12 月 9 日: AOSP リンクを含むように速報が改訂されました。
  • 2015 年 12 月 22 日: 謝辞セクションに不足していたクレジットを追加しました。
  • 2016 年 3 月 7 日: 謝辞セクションに不足していたクレジットを追加しました。