Pubblicato il 4 gennaio 2016 | Aggiornato il 28 aprile 2016
Abbiamo rilasciato un aggiornamento della sicurezza per i dispositivi Nexus tramite un aggiornamento over-the-air (OTA) nell'ambito della nostra procedura di rilascio mensile del Bollettino sulla sicurezza di Android. Le immagini del firmware di Nexus sono state rilasciate anche sul sito Google for Developers. Le build LMY49F o successive e Android 6.0 con livello patch di sicurezza dal 1° gennaio 2016 o successivo risolvono questi problemi. Per ulteriori dettagli, consulta la sezione Domande frequenti e risposte.
I partner sono stati informati e hanno ricevuto aggiornamenti sui problemi descritti in questo bollettino prima del 7 dicembre 2015. Ove applicabile, sono state rilasciate patch del codice sorgente per questi problemi nel repository Android Open Source Project (AOSP).
Il più grave di questi problemi è una vulnerabilità di sicurezza critica che potrebbe consentire l'esecuzione di codice remoto su un dispositivo interessato tramite diversi metodi, come email, navigazione web e MMS durante l'elaborazione di file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, supponendo che le mitigazioni della piattaforma e del servizio siano disattivate a scopo di sviluppo o se sono state aggirate.
Non abbiamo ricevuto segnalazioni di sfruttamento attivo da parte dei clienti di questi problemi appena segnalati. Consulta la sezione Mitigazioni per informazioni dettagliate sulle protezioni della piattaforma di sicurezza Android e sulle protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android. Invitiamo tutti i clienti ad accettare questi aggiornamenti sui propri dispositivi.
Mitigazioni
Questo è un riepilogo delle mitigazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni dei servizi come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità di sicurezza possano essere sfruttate con successo su Android.
- Lo sfruttamento di molti problemi su Android è reso più difficile dai miglioramenti nelle versioni più recenti della piattaforma Android. Invitiamo tutti gli utenti a eseguire l'aggiornamento all'ultima versione di Android, se possibile.
- Il team di Android Security monitora attivamente gli abusi con Verifica app e SafetyNet, che avvisano dell'imminente installazione di applicazioni potenzialmente dannose. Gli strumenti per il rooting dei dispositivi sono vietati su Google Play. Per proteggere gli utenti che installano applicazioni da origini diverse da Google Play, Verifica app è attivata per impostazione predefinita e avvisa gli utenti delle applicazioni di rooting note. Verifica App tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di elevazione dei privilegi. Se un'app di questo tipo è già stata installata, Verifica app invierà una notifica all'utente e tenterà di rimuoverla.
- A seconda dei casi, le applicazioni Google Hangouts e Messenger non trasmettono automaticamente i contenuti multimediali a processi come mediaserver.
Ringraziamenti
Vogliamo ringraziare per il loro contributo i seguenti ricercatori:
- Abhishek Arya, Oliver Chang e Martin Barbella del team Google Chrome Security: CVE-2015-6636
- Sen Nie (@nforest_) e jfang del KEEN lab, Tencent (@K33nTeam): CVE-2015-6637
- Yabin Cui del team Bionic di Android: CVE-2015-6640
- Tom Craig di Google X: CVE-2015-6641
- Jann Horn (https://thejh.net): CVE-2015-6642
- ID PGP di Jouni Malinen EFC895FA: CVE-2015-5310
- Quan Nguyen del team di Information Security Engineer di Google: CVE-2015-6644
- Gal Beniamini (@laginimaineb, http://bits-please.blogspot.com): CVE-2015-6639
Dettagli sulla vulnerabilità di sicurezza
Nelle sezioni seguenti sono riportati i dettagli di ciascuna delle vulnerabilità di sicurezza che si applicano al livello del patch 01-01-2016. Sono presenti una descrizione del problema, una motivazione della gravità e una tabella con il CVE, il bug associato, la gravità, le versioni aggiornate e la data di segnalazione. Se disponibile, collegheremo la modifica AOSP che ha risolto il problema all'ID bug. Quando più modifiche si riferiscono a un singolo bug, i riferimenti AOSP aggiuntivi sono collegati ai numeri che seguono l'ID bug.
Vulnerabilità di esecuzione di codice remoto in Mediaserver
Durante l'elaborazione di file multimediali e dati di un file appositamente creato, le vulnerabilità in mediaserver potrebbero consentire a un utente malintenzionato di causare la corruzione della memoria e l'esecuzione di codice da remoto come processo mediaserver.
La funzionalità interessata è fornita come parte integrante del sistema operativo e sono disponibili più applicazioni che consentono di accedervi con contenuti remote, tra cui MMS e riproduzione di contenuti multimediali nel browser.
Questo problema è classificato come di gravità Critica a causa della possibilità di eseguire codice remoto nel contesto del servizio mediaserver. Il servizio MediaServer ha accesso agli stream audio e video, nonché ai privilegi a cui le app di terze parti non possono accedere normalmente.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6636 | ANDROID-25070493 | Critico | 5.0, 5.1.1, 6.0, 6.0.1 | Interno Google |
| ANDROID-24686670 | Critico | 5.0, 5.1.1, 6.0, 6.0.1 | Interno Google |
Vulnerabilità di elevazione dei privilegi nel driver misc-sd
Una vulnerabilità di elevazione dei privilegi nel driver misc-sd di MediaTek potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario all'interno del kernel. Questo problema è classificato come di gravità critica a causa della possibilità di un compromesso permanente locale del dispositivo, nel qual caso potrebbe essere necessario ripararlo riflashando il sistema operativo.
| CVE | Bug | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6637 | ANDROID-25307013* | Critico | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 26 ottobre 2015 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi nel driver Imagination Technologies
Una vulnerabilità di elevazione dei privilegi in un driver del kernel di Imagination Technologies potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario all'interno del kernel. Questo problema è classificato come di gravità Critica a causa della possibilità di un compromesso permanente locale del dispositivo, nel qual caso il dispositivo potrebbe dover essere riparato riflashando il sistema operativo.
| CVE | Bug | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6638 | ANDROID-24673908* | Critico | 5.0, 5.1.1, 6.0, 6.0.1 | Interno Google |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi in Trustzone
Le vulnerabilità di elevazione dei privilegi nell'applicazione Widevine QSEE TrustZone potrebbero consentire a un'applicazione compromessa con privilegi e accesso a QSEECOM di eseguire codice arbitrario nel contesto Trustzone. Questo problema è classificato come grave a causa della possibilità di compromissione permanente del dispositivo locale. In questo caso, il dispositivo potrebbe dover essere riparato tramite il riflash del sistema operativo.
| CVE | Bug | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6639 | ANDROID-24446875* | Critico | 5.0, 5.1.1, 6.0, 6.0.1 | 23 settembre 2015 |
| CVE-2015-6647 | ANDROID-24441554* | Critico | 5.0, 5.1.1, 6.0, 6.0.1 | 27 settembre 2015 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi nel kernel
Una vulnerabilità di elevazione dei privilegi nel kernel potrebbe consentire a un'applicazione malevola locale di eseguire codice arbitrario nel kernel. Questo problema è classificato come di gravità critica a causa della possibilità di un compromesso permanente locale del dispositivo, nel qual caso potrebbe essere necessario ripararlo eseguendo nuovamente il flashing del sistema operativo.
| CVE | Bug relativi al link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6640 | ANDROID-20017123 | Critico | 4.4.4, 5.0, 5.1.1, 6.0 | Interno Google |
Vulnerabilità di elevazione dei privilegi nel Bluetooth
Una vulnerabilità di elevazione dei privilegi nel componente Bluetooth potrebbe consentire a un dispositivo remoto accoppiato tramite Bluetooth di accedere alle informazioni private dell'utente (Contatti). Questo problema è classificato come di gravità Alta perché potrebbe essere utilizzato per ottenere funzionalità "pericolose" da remoto. Queste autorizzazioni sono accessibili solo alle applicazioni di terze parti installate localmente.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6641 | ANDROID-23607427 [2] | Alto | 6.0, 6.0.1 | Interno Google |
Vulnerabilità di divulgazione di informazioni nel kernel
Una vulnerabilità di divulgazione di informazioni nel kernel potrebbe consentire il aggiramento delle misure di sicurezza in atto per aumentare la difficoltà per gli utenti malintenzionati di sfruttare la piattaforma. Questi problemi sono classificati come di gravità elevata perché potrebbero anche essere utilizzati per ottenere funzionalità elevate, come i privilegi delle autorizzazioni Signature o SignatureOrSystem, che non sono accessibili alle applicazioni di terze parti.
| CVE | Bug | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6642 | ANDROID-24157888* | Alto | 4.4.4, 5.0, 5.1.1, 6.0 | 12 settembre 2015 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi nella configurazione guidata
Una vulnerabilità di elevazione dei privilegi nella procedura guidata di configurazione potrebbe consentire a un malintenzionato con accesso fisico al dispositivo di ottenere l'accesso alle impostazioni del dispositivo ed eseguire un ripristino manuale del dispositivo. Questo problema è classificato come di gravità moderata perché potrebbe essere utilizzato per aggirare in modo improprio la protezione del ripristino dei dati di fabbrica.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6643 | ANDROID-25290269 [2] | Moderata | 5.1.1, 6.0, 6.0.1 | Interno Google |
Vulnerabilità di elevazione dei privilegi nel Wi-Fi
Una vulnerabilità di elevazione dei privilegi nel componente Wi-Fi potrebbe consentire a un malintenzionato nelle vicinanze di accedere alle informazioni relative al servizio Wi-Fi. Un dispositivo è vulnerabile a questo problema solo quando si trova nelle vicinanze. Questo problema è stato valutato come di gravità moderata perché potrebbe essere utilizzato per ottenere da remoto funzionalità "normali". Queste autorizzazioni sono accessibili solo alle applicazioni di terze parti installate localmente.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-5310 | ANDROID-25266660 | Moderata | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 25 ott 2015 |
Vulnerabilità di divulgazione di informazioni in Bouncy Castle
Una vulnerabilità di divulgazione di informazioni in Bouncy Castle potrebbe consentire a un'applicazione localizzata danosa di accedere alle informazioni private dell'utente. Questo problema è stato classificato come di gravità moderata perché potrebbe essere utilizzato per ottenere in modo improprio autorizzazioni "pericolose".
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6644 | ANDROID-24106146 | Moderata | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | Interno Google |
Vulnerabilità Denial of Service in SyncManager
Una vulnerabilità di denial of service in SyncManager potrebbe consentire a un'applicazione malevola locale di causare un ciclo di riavvio. Questo problema è classificato come di gravità moderata perché potrebbe essere utilizzato per causare un Denial of Service locale temporaneo che potrebbe dover essere risolto tramite un ripristino dei dati di fabbrica.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6645 | ANDROID-23591205 | Moderata | 4.4.4, 5.0, 5.1.1, 6.0 | Interno Google |
Riduzione della superficie di attacco per i kernel Nexus
SysV IPC non è supportato in nessun kernel Android. Lo abbiamo rimosso dal sistema operativo perché espone un'ulteriore superficie di attacco che non aggiunge funzionalità al sistema e che potrebbe essere sfruttata da applicazioni dannose. Inoltre, gli IPC System V non sono conformi al ciclo di vita dell'applicazione di Android perché le risorse allocate non possono essere liberate dal gestore della memoria, causando una perdita di risorse del kernel a livello globale. Questa modifica risolve un problema come CVE-2015-7613.
| CVE | Bug | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-6646 | ANDROID-22300191* | Moderata | 6.0 | Interno Google |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Domande frequenti e risposte
Questa sezione esamina le risposte alle domande frequenti che potrebbero sorgere dopo aver letto questo bollettino.
1. Come faccio a stabilire se il mio dispositivo è aggiornato per risolvere questi problemi?
Le build LMY49F o successive e Android 6.0 con livello patch di sicurezza dal 1° gennaio 2016 o successivo risolvono questi problemi. Per istruzioni su come controllare il livello della patch di sicurezza, consulta la documentazione di Nexus. I produttori di dispositivi che includono questi aggiornamenti devono impostare il livello della stringa della patch su: [ro.build.version.security_patch]:[2016-01-01]
Revisioni
- 4 gennaio 2016: bollettino pubblicato.
- 6 gennaio 2016: bollettino rivisto per includere i link AOSP.
- 28 aprile 2016: CVE-2015-6617 è stata rimossa dai riconoscimenti e CVE-2015-6647 è stata aggiunta alla tabella di riepilogo