Veröffentlicht am 01.02.2016 | Aktualisiert am 7. März 2016
Wir haben ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) als Teil unseres monatlichen Veröffentlichungsprozesses für das Android Security Bulletin veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Site veröffentlicht. Builds LMY49G oder höher und Android M mit Sicherheitspatchlevel vom 1. Februar 2016 oder höher beheben diese Probleme. Anweisungen zum Überprüfen des Sicherheits-Patch-Levels finden Sie in der Nexus-Dokumentation .
Partner wurden über die im Bulletin beschriebenen Probleme am 4. Januar 2016 oder früher benachrichtigt. Wo zutreffend, wurden Quellcode-Patches für diese Probleme im Repository des Android Open Source Project (AOSP) veröffentlicht.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät durch mehrere Methoden wie E-Mail, Webbrowsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Schwachstelle Remote Code Execution im Wi-Fi-Treiber von Broadcom hat ebenfalls einen kritischen Schweregrad, da sie eine Remote-Code-Ausführung auf einem betroffenen Gerät ermöglichen könnte, während es mit demselben Netzwerk wie der Angreifer verbunden ist. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstmitigationen werden zu Entwicklungszwecken deaktiviert oder erfolgreich umgangen.
Uns liegen keine Berichte über eine aktive Nutzung dieser neu gemeldeten Probleme durch Kunden vor. Einzelheiten zum Schutz der Android-Sicherheitsplattform und zu Dienstschutzmaßnahmen wie SafetyNet , die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Abschwächungen. Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.
Abmilderungen
Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bereitgestellten Risikominderungen. Diese Fähigkeiten verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden könnten.
- Die Nutzung für viele Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
- Das Android-Sicherheitsteam überwacht aktiv auf Missbrauch mit Verify Apps und SafetyNet, die vor potenziell schädlichen Anwendungen warnen, die installiert werden sollen. Geräte-Rooting-Tools sind bei Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist „Apps überprüfen“ standardmäßig aktiviert und warnt Benutzer vor bekannten rootenden Anwendungen. Verify Apps versucht, die Installation bekannter bösartiger Anwendungen zu identifizieren und zu blockieren, die eine Schwachstelle bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
- Entsprechend leiten Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie mediaserver weiter.
Danksagungen
Wir möchten diesen Forschern für ihre Beiträge danken:
- Android- und Chrome-Sicherheitsteam: CVE-2016-0809, CVE-2016-0810
- Broadgate-Team: CVE-2016-0801, CVE-2015-0802
- Chiachih Wu ( @chiachih_wu ), Mingjian Zhou ( @Mingjian_Zhou ) und Xuxian Jiang vom C0RE Team , Qihoo 360 : CVE-2016-0804
- David Riley vom Google Pixel C-Team: CVE-2016-0812
- Gengjia Chen ( @chengjia4574 ) von Lab IceSword, Qihoo 360: CVE-2016-0805
- Qidan He ( @Flanker_hqd ) von KeenLab ( @keen_lab ), Tencent: CVE-2016-0811
- Seven Shen ( @lingtongshen ) von Trend Micro ( www.trendmicro.com ): CVE-2016-0803
- Weichao Sun ( @sunblate ) von Alibaba Inc: CVE-2016-0808
- Zach Riggle ( @ebeip90 ) vom Android Security Team: CVE-2016-0807
Details zu Sicherheitslücken
In den folgenden Abschnitten stellen wir Details zu allen Sicherheitsschwachstellen bereit, die für das Patch-Level 2016-02-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den betroffenen Versionen und dem gemeldeten Datum. Wenn verfügbar, verknüpfen wir den AOSP-Commit, der das Problem behoben hat, mit der Fehler-ID. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern nach der Fehler-ID verknüpft.
Schwachstelle bezüglich Remotecodeausführung im Broadcom Wi-Fi-Treiber
Mehrere Sicherheitslücken bei der Remote-Ausführung im Broadcom Wi-Fi-Treiber könnten es einem Remote-Angreifer ermöglichen, speziell gestaltete Wireless-Control-Nachrichtenpakete zu verwenden, um den Kernel-Speicher auf eine Weise zu beschädigen, die zur Remote-Code-Ausführung im Kontext des Kernels führt. Diese Schwachstellen können ausgelöst werden, wenn der Angreifer und das Opfer demselben Netzwerk zugeordnet sind. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Kernels ohne Benutzereingriff als kritischer Schweregrad eingestuft.
CVE | Fehler | Schwere | Aktualisierte Versionen | Datum gemeldet |
---|---|---|---|---|
CVE-2016-0801 | ANDROID-25662029 ANDROID-25662233 | Kritisch | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 25. Oktober 2015 |
CVE-2016-0802 | ANDROID-25306181 | Kritisch | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 26. Oktober 2015 |
Schwachstelle bezüglich Remotecodeausführung in Mediaserver
Während der Mediendatei- und Datenverarbeitung einer speziell gestalteten Datei könnten Schwachstellen im Mediaserver einem Angreifer ermöglichen, Speicherbeschädigungen und Remote-Codeausführung als Mediaserver-Prozess zu verursachen.
Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt und es gibt mehrere Anwendungen, die es ermöglichen, sie mit Remote-Inhalten zu erreichen, insbesondere MMS und Browser-Wiedergabe von Medien.
Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Dienstes als Kritisch eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
---|---|---|---|---|
CVE-2016-0803 | ANDROID-25812794 | Kritisch | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 19. November 2015 |
CVE-2016-0804 | ANDROID-25070434 | Kritisch | 5.0, 5.1.1, 6.0, 6.0.1 | 12. Oktober 2015 |
Elevation of Privilege-Schwachstelle im Qualcomm Performance Module
Eine Elevation-of-Privilege-Schwachstelle in der Performance-Event-Manager-Komponente für ARM-Prozessoren von Qualcomm könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code innerhalb des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen permanenten Gerätekompromittierung als kritischer Schweregrad eingestuft und das Gerät müsste möglicherweise durch erneutes Flashen des Betriebssystems repariert werden.
CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
---|---|---|---|---|
CVE-2016-0805 | ANDROID-25773204* | Kritisch | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 15. November 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber
Im WLAN-Treiber von Qualcomm gibt es eine Schwachstelle, die es einer lokalen Schadanwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen permanenten Gerätekompromittierung als kritischer Schweregrad eingestuft und das Gerät müsste möglicherweise durch erneutes Flashen des Betriebssystems repariert werden.
CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
---|---|---|---|---|
CVE-2016-0806 | ANDROID-25344453* | Kritisch | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 15. November 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Debuggerd
Eine Schwachstelle bezüglich Rechteerweiterungen in der Debuggerd-Komponente könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Root-Kontext des Geräts auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen permanenten Gerätekompromittierung als kritischer Schweregrad eingestuft und das Gerät müsste möglicherweise durch erneutes Flashen des Betriebssystems repariert werden.
CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
---|---|---|---|---|
CVE-2016-0807 | ANDROID-25187394 | Kritisch | 6.0 und 6.0.1 | Google-intern |
Denial-of-Service-Schwachstelle in Minikin
Eine Denial-of-Service-Schwachstelle in der Minikin-Bibliothek könnte es einem lokalen Angreifer ermöglichen, den Zugriff auf ein betroffenes Gerät vorübergehend zu blockieren. Ein Angreifer könnte das Laden einer nicht vertrauenswürdigen Schriftart verursachen und einen Überlauf in der Minikin-Komponente verursachen, der zu einem Absturz führt. Dies wird als hoher Schweregrad eingestuft, da Denial of Service zu einer kontinuierlichen Neustartschleife führt.
CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
---|---|---|---|---|
CVE-2016-0808 | ANDROID-25645298 | Hoch | 5.0, 5.1.1, 6.0, 6.0.1 | 3. November 2015 |
Elevation of Privilege-Schwachstelle in Wi-Fi
Eine Schwachstelle bezüglich Rechteerweiterungen in der Wi-Fi-Komponente könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Systemkontext auszuführen. Ein Gerät ist nur anfällig für dieses Problem, wenn es sich in unmittelbarer Nähe befindet. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um „ normale “ Funktionen aus der Ferne zu erlangen. Im Allgemeinen sind diese Berechtigungen nur für lokal installierte Anwendungen von Drittanbietern zugänglich.
CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
---|---|---|---|---|
CVE-2016-0809 | ANDROID-25753768 | Hoch | 6.0, 6.0.1 | Google-intern |
Elevation of Privilege-Schwachstelle in Mediaserver
Eine Schwachstelle bezüglich Rechteerweiterungen in Mediaserver könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext einer Systemanwendung mit erhöhten Rechten auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungsrechte zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.
CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
---|---|---|---|---|
CVE-2016-0810 | ANDROID-25781119 | Hoch | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | Google-intern |
Offenlegung von Informationen Schwachstelle in libmediaplayerservice
Eine Schwachstelle zur Offenlegung von Informationen in libmediaplayerservice könnte eine Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen, um Angreifern die Nutzung der Plattform zu erschweren. Diese Probleme werden als hoher Schweregrad eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen zu erlangen, wie z. B. Signatur- oder SignatureOrSystem -Berechtigungsrechte, auf die Anwendungen von Drittanbietern nicht zugreifen können.
CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
---|---|---|---|---|
CVE-2016-0811 | ANDROID-25800375 | Hoch | 6.0, 6.0.1 | 16. November 2015 |
Sicherheitslücke bezüglich Erhöhung von Berechtigungen im Setup-Assistenten
Eine Schwachstelle im Setup-Assistenten könnte es einem böswilligen Angreifer ermöglichen, den Factory Reset Protection zu umgehen und Zugriff auf das Gerät zu erhalten. Dies wird als mittlerer Schweregrad eingestuft, da es möglicherweise jemandem mit physischem Zugriff auf ein Gerät ermöglicht, den Factory Reset Protection zu umgehen, der es einem Angreifer ermöglicht, ein Gerät erfolgreich zurückzusetzen und alle Daten zu löschen.
CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
---|---|---|---|---|
CVE-2016-0812 | ANDROID-25229538 | Mäßig | 5.1.1, 6.0 | Google-intern |
CVE-2016-0813 | ANDROID-25476219 | Mäßig | 5.1.1, 6.0, 6.0.1 | Google-intern |
Häufige Fragen und Antworten
In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Bulletins auftreten können.
1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?
Builds LMY49G oder höher und Android 6.0 mit Sicherheits-Patch-Level vom 1. Februar 2016 oder höher beheben diese Probleme. Anweisungen zum Überprüfen des Sicherheits-Patch-Levels finden Sie in der Nexus-Dokumentation . Gerätehersteller, die diese Updates enthalten, sollten die Patch-String-Ebene auf Folgendes festlegen: [ro.build.version.security_patch]:[2016-02-01]
Revisionen
- 01. Februar 2016: Bulletin veröffentlicht.
- 2. Februar 2016: Bulletin überarbeitet, um AOSP-Links aufzunehmen.
- 7. März 2016: Bulletin überarbeitet, um zusätzliche AOSP-Links aufzunehmen.