Veröffentlicht am 07. März 2016 | Aktualisiert am 08. März 2016
Wir haben ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) als Teil unseres monatlichen Veröffentlichungsprozesses für das Android Security Bulletin veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Site veröffentlicht. Builds LMY49H oder höher und Android M mit Sicherheitspatchlevel vom 1. März 2016 oder höher beheben diese Probleme. Anweisungen zum Überprüfen des Sicherheits-Patch-Levels finden Sie in der Nexus-Dokumentation .
Partner wurden über die im Bulletin beschriebenen Probleme am 1. Februar 2016 oder früher benachrichtigt. Wo zutreffend, wurden Quellcode-Patches für diese Probleme im Repository des Android Open Source Project (AOSP) veröffentlicht.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät durch mehrere Methoden wie E-Mail, Webbrowsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstmitigationen werden zu Entwicklungszwecken deaktiviert oder erfolgreich umgangen.
Uns liegen keine Berichte über eine aktive Nutzung dieser neu gemeldeten Probleme durch Kunden vor. Einzelheiten zum Schutz der Android-Sicherheitsplattform und zu Dienstschutzmaßnahmen wie SafetyNet , die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Abschwächungen. Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.
Abmilderungen
Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bereitgestellten Risikominderungen. Diese Fähigkeiten verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden könnten.
- Die Nutzung für viele Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
- Das Android-Sicherheitsteam überwacht aktiv auf Missbrauch mit Verify Apps und SafetyNet, die vor potenziell schädlichen Anwendungen warnen, die installiert werden sollen. Geräte-Rooting-Tools sind bei Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist „Apps überprüfen“ standardmäßig aktiviert und warnt Benutzer vor bekannten rootenden Anwendungen. Verify Apps versucht, die Installation bekannter bösartiger Anwendungen zu identifizieren und zu blockieren, die eine Schwachstelle bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
- Entsprechend leiten Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie mediaserver weiter.
Danksagungen
Wir möchten diesen Forschern für ihre Beiträge danken:
- Abhishek Arya, Oliver Chang und Martin Barbella vom Google Chrome-Sicherheitsteam: CVE-2016-0815
- Anestis Bechtsoudis ( @anestisb ) von CENSUS SA: CVE-2016-0816, CVE-2016-0824
- Chad Brubaker von Android Security: CVE-2016-0818
- Marke von Google Project Zero: CVE-2016-0820
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team von Qihoo 360 : CVE-2016-0826
- Peter Pi ( @heisecode ) von Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
- Scott Bauer ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
- Wish Wu ( @wish_wu ) von Trend Micro Inc.: CVE-2016-0819
- Yongzheng Wu und Tieyan Li von Huawei: CVE-2016-0831
- Su Mon Kywe und Yingjiu Li von der Singapore Management University: CVE-2016-0831
- Zach Riggle ( @ebeip90 ) vom Android-Sicherheitsteam: CVE-2016-0821
Details zu Sicherheitslücken
In den folgenden Abschnitten stellen wir Details für alle Sicherheitsschwachstellen bereit, die für die Patch-Ebene vom 01.03.2016 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den betroffenen Versionen und dem gemeldeten Datum. Wenn verfügbar, werden wir die AOSP-Änderung, die das Problem behebt, mit der Fehler-ID verknüpfen. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern nach der Fehler-ID verknüpft.
Schwachstelle bezüglich Remotecodeausführung in Mediaserver
Während der Mediendatei- und Datenverarbeitung einer speziell gestalteten Datei könnten Schwachstellen im Mediaserver einem Angreifer ermöglichen, Speicherbeschädigungen und Remote-Codeausführung als Mediaserver-Prozess zu verursachen.
Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, die es ermöglichen, sie mit Remote-Inhalten zu erreichen, insbesondere MMS und Browser-Wiedergabe von Medien.
Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Dienstes als Kritisch eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0815 | ANDROID-26365349 | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google-intern |
| CVE-2016-0816 | ANDROID-25928803 | Kritisch | 6.0, 6.0.1 | Google-intern |
Schwachstellen bezüglich Remote-Codeausführung in libvpx
Während der Mediendatei- und Datenverarbeitung einer speziell gestalteten Datei könnten Schwachstellen im Mediaserver einem Angreifer ermöglichen, Speicherbeschädigungen und Remote-Codeausführung als Mediaserver-Prozess zu verursachen.
Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt und es gibt mehrere Anwendungen, die es ermöglichen, sie mit Remote-Inhalten zu erreichen, insbesondere MMS und Browser-Wiedergabe von Medien.
Die Probleme werden als Kritisch eingestuft, da sie für die Remotecodeausführung im Kontext des Mediaserver-Dienstes verwendet werden könnten. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-1621 | ANDROID-23452792 [2] [3] | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0 | Google-intern |
Erhöhung der Privilegien in Conscrypt
Eine Schwachstelle in Conscrypt könnte dazu führen, dass einem bestimmten Typ eines ungültigen Zertifikats, das von einer zwischengeschalteten Zertifizierungsstelle (CA) ausgestellt wurde, fälschlicherweise vertraut wird. Dies kann einen Man-in-the-Middle-Angriff ermöglichen. Dieses Problem wird aufgrund der Möglichkeit einer Erhöhung von Berechtigungen und der Remoteausführung von beliebigem Code als kritischer Schweregrad eingestuft.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0818 | ANDROID-26232830 [2] | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google-intern |
Elevation of Privilege-Schwachstelle in der Qualcomm Performance-Komponente
Eine Elevation-of-Privilege-Schwachstelle in der Leistungskomponente von Qualcomm könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als kritischer Schweregrad eingestuft, und das Gerät konnte nur durch erneutes Flashen des Betriebssystems repariert werden.
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0819 | ANDROID-25364034* | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29. Oktober 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im MediaTek Wi-Fi-Kernel-Treiber
Es gibt eine Schwachstelle im MediaTek Wi-Fi-Kernel-Treiber, die es einer lokalen bösartigen Anwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit der Erhöhung von Berechtigungen und der Ausführung willkürlichen Codes im Kontext des Kernels als kritischer Schweregrad eingestuft.
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0820 | ANDROID-26267358* | Kritisch | 6.0.1 | 18. Dezember 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Schwachstelle bezüglich der Erhöhung von Berechtigungen in der Kernel-Schlüsselbundkomponente
Eine Schwachstelle bezüglich Rechteerweiterungen in der Kernel Keyring-Komponente könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code innerhalb des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als kritischer Schweregrad eingestuft und das Gerät könnte möglicherweise nur durch erneutes Flashen des Betriebssystems repariert werden. In den Android-Versionen 5.0 und höher verhindern die SELinux-Regeln jedoch, dass Anwendungen von Drittanbietern den betroffenen Code erreichen.
Hinweis: Als Referenz ist der Patch in AOSP für bestimmte Kernel-Versionen verfügbar: 4.1 , 3.18 , 3.14 und 3.10 .
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0728 | ANDROID-26636379 | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11. Januar 2016 |
Mitigation Bypass-Schwachstelle im Kernel
Eine Mitigation Bypass-Schwachstelle im Kernel könnte eine Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen, um Angreifern das Ausnutzen der Plattform zu erschweren. Dieses Problem wird als hoher Schweregrad eingestuft, da es eine Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen könnte, um Angreifern die Nutzung der Plattform zu erschweren.
Hinweis: Das Update für dieses Problem befindet sich im Linux-Upstream .
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0821 | ANDROID-26186802 | Hoch | 6.0.1 | Google-intern |
Rechteerhöhung im MediaTek Connectivity Kernel-Treiber
In einem Kernel-Treiber für MediaTek-Konnektivität gibt es eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen, die es einer lokalen bösartigen Anwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Normalerweise würde ein Kernel-Code-Ausführungsfehler wie dieser als kritisch eingestuft, aber da er zunächst eine Kompromittierung des conn_launcher-Dienstes erfordert, rechtfertigt er eine Herabstufung auf den Schweregrad „Hoch“.
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0822 | ANDROID-25873324* | Hoch | 6.0.1 | 24. November 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Offenlegung von Informationen Sicherheitslücke im Kernel
Eine Schwachstelle zur Offenlegung von Informationen im Kernel könnte eine Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen, um Angreifern das Ausnutzen der Plattform zu erschweren. Diese Probleme werden als hoch eingestuft, da sie eine lokale Umgehung von Exploit-Mitigation-Technologien wie ASLR in einem privilegierten Prozess ermöglichen könnten.
Hinweis: Die Lösung für dieses Problem befindet sich im Linux-Upstream .
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0823 | ANDROID-25739721* | Hoch | 6.0.1 | Google-intern |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Offenlegung von Informationen Schwachstelle in libstagefright
Eine Schwachstelle zur Offenlegung von Informationen in libstagefright könnte eine Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen, um Angreifern die Nutzung der Plattform zu erschweren. Diese Probleme werden als hoher Schweregrad eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen zu erlangen, wie z. B. Signatur- oder SignatureOrSystem -Berechtigungsrechte, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0824 | ANDROID-25765591 | Hoch | 6.0, 6.0.1 | 18. November 2015 |
Sicherheitsanfälligkeit bezüglich Offenlegung von Informationen in Widevine
Eine Schwachstelle bezüglich der Offenlegung von Informationen in der Widevine Trusted Application könnte es Code ermöglichen, der im Kernel-Kontext ausgeführt wird, um auf Informationen im sicheren TrustZone-Speicher zuzugreifen. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungen zu erlangen.
| CVE | Fehler | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0825 | ANDROID-20860039* | Hoch | 6.0.1 | Google-intern |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle in Mediaserver
Eine Schwachstelle bezüglich Rechteerweiterungen in Mediaserver könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext einer Systemanwendung mit erhöhten Rechten auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungsrechte zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0826 | ANDROID-26265403 [2] | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17. Dezember 2015 |
| CVE-2016-0827 | ANDROID-26347509 | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28. Dezember 2015 |
Offenlegung von Informationen Sicherheitslücke in Mediaserver
Eine Schwachstelle zur Offenlegung von Informationen in Mediaserver könnte eine Umgehung der vorhandenen Sicherheitsmaßnahmen ermöglichen, um Angreifern die Nutzung der Plattform zu erschweren. Diese Probleme werden als hoher Schweregrad eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen zu erlangen, wie z. B. Signatur- oder SignatureOrSystem -Berechtigungsrechte, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0828 | ANDROID-26338113 | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1 | 27. Dezember 2015 |
| CVE-2016-0829 | ANDROID-26338109 | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27. Dezember 2015 |
Remote-Denial-of-Service-Schwachstelle in Bluetooth
Eine Remote-Denial-of-Service-Schwachstelle in der Bluetooth-Komponente könnte es einem nahen Angreifer ermöglichen, den Zugriff auf ein betroffenes Gerät zu blockieren. Ein Angreifer könnte einen Überlauf von identifizierten Bluetooth-Geräten in der Bluetooth-Komponente verursachen, was zu einer Speicherbeschädigung und einem Dienststopp führt. Dies wird mit einem hohen Schweregrad bewertet, da es zu einem Denial of Service des Bluetooth-Dienstes führt, der möglicherweise nur durch ein Flashen des Geräts behoben werden könnte.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0830 | ANDROID-26071376 | Hoch | 6.0, 6.0.1 | Google-intern |
Sicherheitsanfälligkeit bezüglich Offenlegung von Informationen in der Telefonie
Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in der Telefonie-Komponente könnte es einer Anwendung ermöglichen, auf vertrauliche Informationen zuzugreifen. Dieses Problem wird mit mittlerem Schweregrad eingestuft, da es für den unsachgemäßen Zugriff auf Daten ohne Genehmigung verwendet werden könnte.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0831 | ANDROID-25778215 | Mäßig | 5.0.2, 5.1.1, 6.0, 6.0.1 | 16. November 2015 |
Sicherheitslücke bezüglich Erhöhung von Berechtigungen im Setup-Assistenten
Eine Schwachstelle im Setup-Assistenten könnte es einem Angreifer mit physischem Zugriff auf das Gerät ermöglichen, Zugriff auf Geräteeinstellungen zu erhalten und einen manuellen Geräte-Reset durchzuführen. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es dazu verwendet werden könnte, den Schutz zum Zurücksetzen auf die Werkseinstellungen zu umgehen.
| CVE | Fehler | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0832 | ANDROID-25955042* | Mäßig | 5.1.1, 6.0, 6.0.1 | Google-intern |
* Für dieses Update wird kein Quellcode-Patch bereitgestellt.
Häufige Fragen und Antworten
In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Bulletins auftreten können.
1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?
Builds LMY49H oder höher und Android 6.0 mit Sicherheits-Patch-Level vom 1. März 2016 oder höher beheben diese Probleme. Anweisungen zum Überprüfen des Sicherheits-Patch-Levels finden Sie in der Nexus-Dokumentation . Gerätehersteller, die diese Updates enthalten, sollten die Patch-String-Ebene auf: [ro.build.version.security_patch]:[2016-03-01] setzen.
Revisionen
- 07. März 2016: Bulletin veröffentlicht.
- 8. März 2016: Bulletin überarbeitet, um AOSP-Links aufzunehmen.