Veröffentlicht am 07. März 2016 | Aktualisiert am 8. März 2016
Im Rahmen unseres monatlichen Veröffentlichungsprozesses für Android Security Bulletin haben wir ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht. Builds LMY49H oder höher und Android M mit Sicherheitspatch-Level vom 1. März 2016 oder höher beheben diese Probleme. Anweisungen zum Überprüfen des Sicherheitspatch-Levels finden Sie in der Nexus-Dokumentation .
Die Partner wurden am 1. Februar 2016 oder früher über die im Bulletin beschriebenen Probleme informiert. Gegebenenfalls wurden Quellcode-Patches für diese Probleme im Android Open Source Project (AOSP)-Repository veröffentlicht.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die bei der Verarbeitung von Mediendateien die Remote-Codeausführung auf einem betroffenen Gerät über verschiedene Methoden wie E-Mail, Webbrowsing und MMS ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät hätte, vorausgesetzt, dass die Plattform- und Service-Abhilfemaßnahmen für Entwicklungszwecke deaktiviert oder erfolgreich umgangen werden.
Uns liegen keine Berichte über eine aktive Ausnutzung dieser neu gemeldeten Probleme durch Kunden vor. Einzelheiten zu den Schutzmaßnahmen der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt „ Abhilfemaßnahmen “. Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.
Abhilfemaßnahmen
Dies ist eine Zusammenfassung der Abhilfemaßnahmen, die die Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bieten. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden können.
- Die Ausnutzung vieler Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
- Das Android-Sicherheitsteam überwacht aktiv Missbrauch mit Verify Apps und SafetyNet, das vor der Installation potenziell schädlicher Anwendungen warnt. Geräte-Rooting-Tools sind bei Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist Verify Apps standardmäßig aktiviert und warnt Benutzer vor bekannten Root-Anwendungen. Verify Apps versucht, die Installation bekannter schädlicher Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitslücke bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
- Gegebenenfalls leiten Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie Mediaserver weiter.
Danksagungen
Wir möchten diesen Forschern für ihre Beiträge danken:
- Abhishek Arya, Oliver Chang und Martin Barbella vom Google Chrome-Sicherheitsteam: CVE-2016-0815
- Anestis Bechtsoudis ( @anestisb ) von CENSUS SA: CVE-2016-0816, CVE-2016-0824
- Chad Brubaker von Android Security: CVE-2016-0818
- Markieren Sie die Marke von Google Project Zero: CVE-2016-0820
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team von Qihoo 360 : CVE-2016-0826
- Peter Pi ( @heisecode ) von Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
- Scott Bauer ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
- Wish Wu ( @wish_wu ) von Trend Micro Inc.: CVE-2016-0819
- Yongzheng Wu und Tieyan Li von Huawei: CVE-2016-0831
- Su Mon Kywe und Yingjiu Li von der Singapore Management University: CVE-2016-0831
- Zach Riggle ( *ebeip90 ) vom Android-Sicherheitsteam: CVE-2016-0821
Details zur Sicherheitslücke
In den folgenden Abschnitten stellen wir Einzelheiten zu den einzelnen Sicherheitslücken bereit, die für den Patch-Level 2016-03-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den betroffenen Versionen und dem gemeldeten Datum. Sobald verfügbar, verknüpfen wir die AOSP-Änderung, die das Problem behoben hat, mit der Fehler-ID. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern verknüpft, die der Fehler-ID folgen.
Sicherheitslücke bezüglich Remotecodeausführung in Mediaserver
Während der Mediendatei und der Datenverarbeitung einer speziell gestalteten Datei könnten Schwachstellen im Medienserver einem Angreifer ermöglichen, Speicherbeschädigungen und Remotecodeausführung als Medienserverprozess zu verursachen.
Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, die den Zugriff auf Remote-Inhalte ermöglichen, insbesondere MMS und Browser-Wiedergabe von Medien.
Dieses Problem wird aufgrund der Möglichkeit einer Remotecodeausführung im Kontext des Mediaserver-Dienstes als „Kritisch“ eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0815 | ANDROID-26365349 | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google-intern |
| CVE-2016-0816 | ANDROID-25928803 | Kritisch | 6.0, 6.0.1 | Google-intern |
Sicherheitslücken bei der Remotecodeausführung in libvpx
Während der Mediendatei und der Datenverarbeitung einer speziell gestalteten Datei könnten Schwachstellen im Medienserver einem Angreifer ermöglichen, Speicherbeschädigungen und Remotecodeausführung als Medienserverprozess zu verursachen.
Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt und es gibt mehrere Anwendungen, die den Zugriff auf Remote-Inhalte ermöglichen, insbesondere MMS und Browser-Wiedergabe von Medien.
Die Probleme werden als kritisch eingestuft, da sie für die Remotecodeausführung im Kontext des Mediaserver-Dienstes verwendet werden könnten. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-1621 | ANDROID-23452792 [2] [3] | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0 | Google-intern |
Erhöhung der Privilegien in Conscrypt
Eine Schwachstelle in Conscrypt könnte dazu führen, dass ein bestimmter Typ ungültiger Zertifikate, die von einer zwischengeschalteten Zertifizierungsstelle (CA) ausgestellt wurden, fälschlicherweise als vertrauenswürdig eingestuft wird. Dies kann einen Man-in-the-Middle-Angriff ermöglichen. Dieses Problem wird als „Kritisch“ eingestuft, da die Möglichkeit einer Berechtigungserweiterung und der Ausführung willkürlichen Codes aus der Ferne besteht.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0818 | ANDROID-26232830 [2] | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google-intern |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Qualcomm-Leistungskomponente
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Qualcomm-Leistungskomponente könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird als „Kritisch“ eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht und das Gerät nur durch ein erneutes Flashen des Betriebssystems repariert werden konnte.
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0819 | ANDROID-25364034* | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29. Okt. 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im MediaTek Wi-Fi-Kernel-Treiber
Im MediaTek Wi-Fi-Kerneltreiber besteht eine Sicherheitslücke, die es einer lokalen Schadanwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als kritisch eingestuft, da im Kontext des Kernels die Möglichkeit einer Rechteerweiterung und der Ausführung willkürlichen Codes besteht.
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0820 | ANDROID-26267358* | Kritisch | 6.0.1 | 18. Dezember 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Kernel-Schlüsselbundkomponente
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Kernel-Schlüsselringkomponente könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code innerhalb des Kernels auszuführen. Dieses Problem wird als „Kritisch“ eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht und das Gerät möglicherweise nur durch ein erneutes Flashen des Betriebssystems repariert werden kann. In Android-Versionen 5.0 und höher verhindern SELinux-Regeln jedoch, dass Anwendungen von Drittanbietern den betroffenen Code erreichen.
Hinweis: Als Referenz ist der Patch in AOSP für bestimmte Kernel-Versionen verfügbar: 4.1 , 3.18 , 3.14 und 3.10 .
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0728 | ANDROID-26636379 | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11. Januar 2016 |
Mitigation Bypass-Schwachstelle im Kernel
Eine Sicherheitslücke im Kernel könnte eine Umgehung bestehender Sicherheitsmaßnahmen ermöglichen, um die Schwierigkeit für Angreifer zu erhöhen, die Plattform auszunutzen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es eine Umgehung bestehender Sicherheitsmaßnahmen ermöglichen könnte, um die Schwierigkeit für Angreifer zu erhöhen, die Plattform auszunutzen.
Hinweis: Das Update für dieses Problem befindet sich im Linux-Upstream .
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0821 | ANDROID-26186802 | Hoch | 6.0.1 | Google-intern |
Erhöhung der Berechtigungen im MediaTek Connectivity Kernel-Treiber
In einem MediaTek-Konnektivitätskerneltreiber besteht eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen, die es einer lokalen Schadanwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Normalerweise wird ein Fehler bei der Ausführung des Kernel-Codes wie dieser als kritisch eingestuft. Da er jedoch zunächst eine Kompromittierung des conn_launcher-Dienstes erfordert, ist eine Herabstufung auf den Schweregrad „Hoch“ gerechtfertigt.
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0822 | ANDROID-25873324* | Hoch | 6.0.1 | 24. November 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücke bezüglich der Offenlegung von Informationen im Kernel
Eine Sicherheitslücke im Kernel zur Offenlegung von Informationen könnte eine Umgehung bestehender Sicherheitsmaßnahmen ermöglichen, um die Schwierigkeit für Angreifer zu erhöhen, die Plattform auszunutzen. Diese Probleme werden als „Hoher Schweregrad“ eingestuft, da sie eine lokale Umgehung von Exploit-Abwehrtechnologien wie ASLR in einem privilegierten Prozess ermöglichen könnten.
Hinweis: Die Lösung für dieses Problem befindet sich im Linux-Upstream .
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0823 | ANDROID-25739721* | Hoch | 6.0.1 | Google-intern |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücke bezüglich Offenlegung von Informationen in libstagefright
Eine Schwachstelle bei der Offenlegung von Informationen in libstagefright könnte eine Umgehung bestehender Sicherheitsmaßnahmen ermöglichen, um die Schwierigkeit für Angreifer zu erhöhen, die Plattform auszunutzen. Diese Probleme werden als „Hoher Schweregrad“ eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen wie Signature- oder SignatureOrSystem -Berechtigungen zu erlangen, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0824 | ANDROID-25765591 | Hoch | 6.0, 6.0.1 | 18. November 2015 |
Sicherheitslücke bei der Offenlegung von Informationen in Widevine
Eine Sicherheitslücke bei der Offenlegung von Informationen in der Widevine Trusted Application könnte dazu führen, dass Code, der im Kernel-Kontext ausgeführt wird, auf Informationen im sicheren TrustZone-Speicher zugreift. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es dazu genutzt werden könnte, erweiterte Funktionen zu erlangen, wie z. B. Signature- oder SignatureOrSystem -Berechtigungen.
| CVE | Fehler | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0825 | ANDROID-20860039* | Hoch | 6.0.1 | Google-intern |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Mediaserver
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Medienserver könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext einer erhöhten Systemanwendung auszuführen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es dazu verwendet werden könnte, erweiterte Funktionen zu erlangen, wie z. B. Signature- oder SignatureOrSystem -Berechtigungen, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0826 | ANDROID-26265403 [2] | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17. Dezember 2015 |
| CVE-2016-0827 | ANDROID-26347509 | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28. Dezember 2015 |
Sicherheitslücke bezüglich der Offenlegung von Informationen in Mediaserver
Eine Schwachstelle bei der Offenlegung von Informationen im Mediaserver könnte eine Umgehung bestehender Sicherheitsmaßnahmen ermöglichen, um die Schwierigkeit für Angreifer zu erhöhen, die Plattform auszunutzen. Diese Probleme werden als „Hoher Schweregrad“ eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen wie Signature- oder SignatureOrSystem -Berechtigungen zu erlangen, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0828 | ANDROID-26338113 | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1 | 27. Dezember 2015 |
| CVE-2016-0829 | ANDROID-26338109 | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27. Dezember 2015 |
Remote-Denial-of-Service-Schwachstelle in Bluetooth
Eine Remote-Denial-of-Service-Schwachstelle in der Bluetooth-Komponente könnte es einem nahen Angreifer ermöglichen, den Zugriff auf ein betroffenes Gerät zu blockieren. Ein Angreifer könnte einen Überlauf identifizierter Bluetooth-Geräte in der Bluetooth-Komponente verursachen, was zu einer Speicherbeschädigung und einem Dienststopp führt. Dies wird als „Hoher Schweregrad“ eingestuft, da es zu einem Denial-of-Service für den Bluetooth-Dienst führt, der möglicherweise nur durch einen Flash des Geräts behoben werden kann.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0830 | ANDROID-26071376 | Hoch | 6.0, 6.0.1 | Google-intern |
Sicherheitslücke bei der Offenlegung von Informationen in der Telefonie
Eine Sicherheitslücke bei der Offenlegung von Informationen in der Telefoniekomponente könnte es einer Anwendung ermöglichen, auf vertrauliche Informationen zuzugreifen. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es zum unrechtmäßigen Zugriff auf Daten ohne Erlaubnis verwendet werden könnte.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0831 | ANDROID-25778215 | Mäßig | 5.0.2, 5.1.1, 6.0, 6.0.1 | 16. November 2015 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Setup-Assistenten
Eine Schwachstelle im Setup-Assistenten könnte es einem Angreifer, der physischen Zugriff auf das Gerät hatte, ermöglichen, auf Geräteeinstellungen zuzugreifen und ein manuelles Zurücksetzen des Geräts durchzuführen. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es dazu verwendet werden könnte, den Werksreset-Schutz fälschlicherweise zu umgehen.
| CVE | Fehler | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0832 | ANDROID-25955042* | Mäßig | 5.1.1, 6.0, 6.0.1 | Google-intern |
* Für dieses Update ist kein Quellcode-Patch verfügbar.
Häufige Fragen und Antworten
In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Bulletins auftreten können.
1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?
Builds LMY49H oder höher und Android 6.0 mit Sicherheitspatch-Level vom 1. März 2016 oder höher beheben diese Probleme. Anweisungen zum Überprüfen des Sicherheitspatch-Levels finden Sie in der Nexus-Dokumentation . Gerätehersteller, die diese Updates enthalten, sollten die Patch-String-Ebene auf Folgendes festlegen: [ro.build.version.security_patch]:[2016-03-01]
Überarbeitungen
- 7. März 2016: Bulletin veröffentlicht.
- 8. März 2016: Bulletin überarbeitet, um AOSP-Links aufzunehmen.