Pubblicato il 07 marzo 2016 | Aggiornato l'8 marzo 2016
Abbiamo rilasciato un aggiornamento di sicurezza per i dispositivi Nexus tramite un aggiornamento over-the-air (OTA) come parte del nostro processo di rilascio mensile del Bollettino sulla sicurezza Android. Le immagini del firmware Nexus sono state rilasciate anche al sito degli sviluppatori di Google . Le build LMY49H o successive e Android M con livello di patch di sicurezza del 01 marzo 2016 o successive risolvono questi problemi. Fare riferimento alla documentazione di Nexus per istruzioni su come controllare il livello di patch di sicurezza.
I partner sono stati informati dei problemi descritti nel bollettino il 1° febbraio 2016 o prima. Ove applicabile, le patch del codice sorgente per questi problemi sono state rilasciate nel repository Android Open Source Project (AOSP).
Il più grave di questi problemi è una vulnerabilità di sicurezza critica che potrebbe consentire l'esecuzione di codice in modalità remota su un dispositivo interessato tramite più metodi come e-mail, navigazione Web e MMS durante l'elaborazione di file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, supponendo che la piattaforma e le attenuazioni del servizio siano disabilitate per scopi di sviluppo o se bypassate correttamente.
Non abbiamo avuto segnalazioni di sfruttamento attivo da parte dei clienti di questi problemi appena segnalati. Fare riferimento alla sezione Mitigazioni per i dettagli sulle protezioni della piattaforma di sicurezza Android e sulle protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android. Invitiamo tutti i clienti ad accettare questi aggiornamenti sui propri dispositivi.
Mitigazioni
Questo è un riepilogo delle attenuazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni del servizio come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità della sicurezza possano essere sfruttate con successo su Android.
- Lo sfruttamento per molti problemi su Android è reso più difficile dai miglioramenti nelle versioni più recenti della piattaforma Android. Incoraggiamo tutti gli utenti ad aggiornare all'ultima versione di Android, ove possibile.
- Il team di sicurezza di Android sta monitorando attivamente gli abusi con Verifica app e SafetyNet che avviseranno di applicazioni potenzialmente dannose che stanno per essere installate. Gli strumenti di rooting del dispositivo sono vietati all'interno di Google Play. Per proteggere gli utenti che installano applicazioni al di fuori di Google Play, Verifica app è abilitato per impostazione predefinita e avviserà gli utenti delle applicazioni di rooting note. Verifica app tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di escalation dei privilegi. Se tale applicazione è già stata installata, Verifica app avviserà l'utente e tenterà di rimuovere tali applicazioni.
- A seconda dei casi, le applicazioni Google Hangouts e Messenger non trasmettono automaticamente i file multimediali a processi come mediaserver.
Ringraziamenti
Vorremmo ringraziare questi ricercatori per il loro contributo:
- Abhishek Arya, Oliver Chang e Martin Barbella del team di sicurezza di Google Chrome: CVE-2016-0815
- Anestis Bechtsoudis ( @anestisb ) di CENSUS SA: CVE-2016-0816, CVE-2016-0824
- Chad Brubaker da Android Security: CVE-2016-0818
- Contrassegna il marchio di Google Project Zero: CVE-2016-0820
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) e Xuxian Jiang del C0RE Team di Qihoo 360 : CVE-2016-0826
- Peter Pi ( @heisecode ) di Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
- Scott Bauer ( sbauer@eng.utah.edu , sbauer@plzdonthhack.me ): CVE-2016-0822
- Wish Wu ( @wish_wu ) di Trend Micro Inc.: CVE-2016-0819
- Yongzheng Wu e Tieyan Li di Huawei: CVE-2016-0831
- Su Mon Kywe e Yingjiu Li della Singapore Management University: CVE-2016-0831
- Zach Riggle ( @ebeip90 ) dell'Android Security Team: CVE-2016-0821
Dettagli vulnerabilità di sicurezza
Nelle sezioni seguenti, forniamo i dettagli per ciascuna delle vulnerabilità di sicurezza che si applicano al livello di patch 2016-03-01. C'è una descrizione del problema, una logica di gravità e una tabella con il CVE, il bug associato, la gravità, le versioni interessate e la data segnalata. Quando disponibile, collegheremo la modifica AOSP che ha risolto il problema all'ID del bug. Quando più modifiche si riferiscono a un singolo bug, ulteriori riferimenti AOSP sono collegati a numeri che seguono l'ID del bug.
Vulnerabilità nell'esecuzione di codice in remoto in Mediaserver
Durante l'elaborazione di file multimediali e dati di un file appositamente predisposto, le vulnerabilità in mediaserver possono consentire a un utente malintenzionato di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota come processo mediaserver.
La funzionalità interessata è fornita come parte fondamentale del sistema operativo e sono disponibili più applicazioni che consentono di raggiungerla con contenuti remoti, in particolare MMS e riproduzione di file multimediali tramite browser.
Questo problema è classificato come Critico a causa della possibilità di esecuzione di codice in modalità remota nel contesto del servizio mediaserver. Il servizio mediaserver ha accesso a flussi audio e video, nonché accesso a privilegi a cui normalmente le app di terze parti non potrebbero accedere.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0815 | ANDROID-26365349 | Critico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google interno |
| CVE-2016-0816 | ANDROID-25928803 | Critico | 6.0, 6.0.1 | Google interno |
Vulnerabilità nell'esecuzione di codice in remoto in libvpx
Durante l'elaborazione di file multimediali e dati di un file appositamente predisposto, le vulnerabilità in mediaserver possono consentire a un utente malintenzionato di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota come processo mediaserver.
La funzionalità interessata è fornita come parte fondamentale del sistema operativo e sono disponibili più applicazioni che consentono di raggiungerla con contenuti remoti, in particolare MMS e riproduzione di file multimediali tramite browser.
I problemi sono classificati come severità critica perché potrebbero essere utilizzati per l'esecuzione di codice in modalità remota nel contesto del servizio mediaserver. Il servizio mediaserver ha accesso a flussi audio e video, nonché accesso a privilegi a cui normalmente le app di terze parti non possono accedere.
| CVE | Bug con i collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-1621 | ANDROID-23452792 [2] [3] | Critico | 4.4.4, 5.0.2, 5.1.1, 6.0 | Google interno |
Elevazione del privilegio in Conscrypt
Una vulnerabilità in Conscrypt potrebbe consentire di considerare erroneamente attendibile un tipo specifico di certificato non valido, emesso da un'autorità di certificazione (CA) intermedia. Ciò potrebbe consentire un attacco man-in-the-middle. Questo problema è classificato come Critico a causa della possibilità di elevazione dei privilegi e di esecuzione di codice arbitrario remoto.
| CVE | Bug con i collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0818 | ANDROID-26232830 [2] | Critico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google interno |
Aumento della vulnerabilità dei privilegi nella componente delle prestazioni di Qualcomm
Una vulnerabilità legata all'acquisizione di privilegi più elevati nel componente delle prestazioni di Qualcomm potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel kernel. Questo problema è classificato come di gravità Critico a causa della possibilità di una compromissione permanente del dispositivo locale e il dispositivo può essere riparato solo eseguendo un nuovo flash del sistema operativo.
| CVE | Insetto | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0819 | ANDROID-25364034* | Critico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 ottobre 2015 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito Google Developer .
Aumento della vulnerabilità dei privilegi nel driver del kernel Wi-Fi MediaTek
Esiste una vulnerabilità nel driver del kernel Wi-Fi MediaTek che potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto del kernel. Questo problema è considerato di gravità critica a causa della possibilità di elevazione dei privilegi e di esecuzione di codice arbitrario nel contesto del kernel.
| CVE | Insetto | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0820 | ANDROID-26267358* | Critico | 6.0.1 | 18 dicembre 2015 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito Google Developer .
Aumento della vulnerabilità dei privilegi nel componente Keyring del kernel
Una vulnerabilità relativa all'acquisizione di privilegi più elevati nel componente Keyring del kernel potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario all'interno del kernel. Questo problema è classificato come di gravità Critico a causa della possibilità di una compromissione permanente del dispositivo locale e il dispositivo potrebbe essere potenzialmente riparato solo eseguendo un nuovo flash del sistema operativo. Tuttavia, nelle versioni Android 5.0 e successive, le regole di SELinux impediscono alle applicazioni di terze parti di raggiungere il codice interessato.
Nota: per riferimento, la patch in AOSP è disponibile per versioni specifiche del kernel: 4.1 , 3.18 , 3.14 e 3.10 .
| CVE | Insetto | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0728 | ANDROID-26636379 | Critico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 gennaio 2016 |
Mitigazione della vulnerabilità di bypass nel kernel
Una vulnerabilità di bypass di mitigazione nel kernel potrebbe consentire un bypass delle misure di sicurezza in atto per aumentare la difficoltà degli aggressori che sfruttano la piattaforma. Questo problema è classificato come di gravità elevata perché potrebbe consentire di aggirare le misure di sicurezza in atto per aumentare la difficoltà degli aggressori che sfruttano la piattaforma.
Nota: l'aggiornamento per questo problema si trova nell'upstream di Linux .
| CVE | Insetto | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0821 | ANDROID-26186802 | Alto | 6.0.1 | Google interno |
Elevazione dei privilegi nel driver del kernel di connettività MediaTek
Esiste una vulnerabilità di elevazione dei privilegi in un driver del kernel di connettività MediaTek che potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto del kernel. Normalmente un bug di esecuzione del codice del kernel come questo sarebbe considerato critico, ma poiché richiede prima di compromettere il servizio conn_launcher, giustifica un downgrade a un livello di gravità Alta.
| CVE | Insetto | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0822 | ANDROID-25873324* | Alto | 6.0.1 | 24 novembre 2015 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito Google Developer .
Vulnerabilità di divulgazione di informazioni nel kernel
Una vulnerabilità di divulgazione delle informazioni nel kernel potrebbe consentire di aggirare le misure di sicurezza in atto per aumentare la difficoltà degli aggressori a sfruttare la piattaforma. Questi problemi sono classificati come severità elevata perché potrebbero consentire un bypass locale di tecnologie di mitigazione degli exploit come ASLR in un processo privilegiato.
Nota: la soluzione per questo problema si trova in Linux upstream .
| CVE | Insetto | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0823 | ANDROID-25739721* | Alto | 6.0.1 | Google interno |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito Google Developer .
Vulnerabilità di divulgazione di informazioni in libstagefright
Una vulnerabilità di divulgazione di informazioni in libstagefright potrebbe consentire di aggirare le misure di sicurezza in atto per aumentare la difficoltà degli aggressori a sfruttare la piattaforma. Questi problemi sono classificati come Elevata gravità perché possono essere utilizzati anche per ottenere funzionalità elevate, come i privilegi di autorizzazione Firma o Firma o Sistema, che non sono accessibili ad applicazioni di terze parti.
| CVE | Bug con collegamento AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0824 | ANDROID-25765591 | Alto | 6.0, 6.0.1 | 18 novembre 2015 |
Vulnerabilità di divulgazione di informazioni in Widevine
Una vulnerabilità di divulgazione di informazioni nell'applicazione attendibile Widevine potrebbe consentire al codice in esecuzione nel contesto del kernel di accedere alle informazioni nell'archiviazione sicura TrustZone. Questo problema è classificato come severità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, ad esempio i privilegi di autorizzazione Firma o Firma o Sistema.
| CVE | Bug(i) | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0825 | ANDROID-20860039* | Alto | 6.0.1 | Google interno |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito Google Developer .
Aumento della vulnerabilità dei privilegi in Mediaserver
Una vulnerabilità relativa all'acquisizione di privilegi più elevati in mediaserver potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto di un'applicazione di sistema con privilegi elevati. Questo problema è classificato con gravità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, ad esempio i privilegi di autorizzazione Firma o Firma o Sistema, che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0826 | ANDROID-26265403 [2] | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 dicembre 2015 |
| CVE-2016-0827 | ANDROID-26347509 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 dicembre 2015 |
Vulnerabilità di divulgazione di informazioni in Mediaserver
Una vulnerabilità di divulgazione di informazioni in mediaserver potrebbe consentire di aggirare le misure di sicurezza in atto per aumentare la difficoltà degli aggressori a sfruttare la piattaforma. Questi problemi sono classificati come Elevata gravità perché possono essere utilizzati anche per ottenere funzionalità elevate, come i privilegi di autorizzazione Firma o Firma o Sistema, che non sono accessibili ad applicazioni di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0828 | ANDROID-26338113 | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 dicembre 2015 |
| CVE-2016-0829 | ANDROID-26338109 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 dicembre 2015 |
Vulnerabilità Remote Denial of Service in Bluetooth
Una vulnerabilità denial of service remota nel componente Bluetooth potrebbe consentire a un utente malintenzionato prossimale di bloccare l'accesso a un dispositivo interessato. Un utente malintenzionato potrebbe causare un overflow dei dispositivi Bluetooth identificati nel componente Bluetooth, con conseguente danneggiamento della memoria e arresto del servizio. Questo è classificato come un livello di gravità Alta perché porta a un Denial of Service al servizio Bluetooth, che potrebbe potenzialmente essere risolto solo con un flash del dispositivo.
| CVE | Bug con collegamento AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0830 | ANDROID-26071376 | Alto | 6.0, 6.0.1 | Google interno |
Vulnerabilità di divulgazione di informazioni nella telefonia
Una vulnerabilità di divulgazione di informazioni nel componente Telefonia potrebbe consentire a un'applicazione di accedere a informazioni riservate. Questo problema è classificato di gravità moderata perché potrebbe essere utilizzato per accedere in modo improprio ai dati senza autorizzazione.
| CVE | Bug con collegamento AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0831 | ANDROID-25778215 | Moderare | 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 novembre 2015 |
Aumento della vulnerabilità dei privilegi nella procedura guidata di installazione
Una vulnerabilità nell'Installazione guidata potrebbe consentire a un utente malintenzionato che aveva accesso fisico al dispositivo di accedere alle impostazioni del dispositivo ed eseguire un ripristino manuale del dispositivo. Questo problema è classificato come di gravità moderata perché potrebbe essere utilizzato per aggirare in modo improprio la protezione del ripristino delle impostazioni di fabbrica.
| CVE | Bug(i) | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0832 | ANDROID-25955042* | Moderare | 5.1.1, 6.0, 6.0.1 | Google interno |
* Non è stata fornita alcuna patch del codice sorgente per questo aggiornamento.
Domande e risposte comuni
Questa sezione esamina le risposte alle domande più comuni che possono sorgere dopo la lettura di questo bollettino.
1. Come faccio a determinare se il mio dispositivo è aggiornato per risolvere questi problemi?
Le build LMY49H o successive e Android 6.0 con Security Patch Level del 1 marzo 2016 o successive risolvono questi problemi. Fare riferimento alla documentazione di Nexus per istruzioni su come controllare il livello di patch di sicurezza. I produttori di dispositivi che includono questi aggiornamenti devono impostare il livello della stringa di patch su: [ro.build.version.security_patch]:[2016-03-01]
Revisioni
- 07 marzo 2016: pubblicato il bollettino.
- 8 marzo 2016: Bollettino rivisto per includere i collegamenti AOSP.