Veröffentlicht am 04.04.2016 | Aktualisiert am 19. Dezember 2016
Wir haben ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) als Teil unseres monatlichen Veröffentlichungsprozesses für das Android Security Bulletin veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Site veröffentlicht. Sicherheits-Patch-Level vom 2. April 2016 oder später beheben diese Probleme (Anweisungen zum Überprüfen des Sicherheits-Patch-Levels finden Sie in der Nexus-Dokumentation ).
Partner wurden über die im Bulletin beschriebenen Probleme am 16. März 2016 oder früher benachrichtigt. Wo zutreffend, wurden Quellcode-Patches für diese Probleme im Repository des Android Open Source Project (AOSP) veröffentlicht.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät durch mehrere Methoden wie E-Mail, Webbrowsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstmitigationen werden zu Entwicklungszwecken deaktiviert oder erfolgreich umgangen.
Android Security Advisory 2016-03-18 diskutierte zuvor die Verwendung von CVE-2015-1805 durch eine Rooting-Anwendung. CVE-2015-1805 wird in diesem Update behoben. Es gab keine Berichte über aktive Ausbeutung durch Kunden oder Missbrauch der anderen neu gemeldeten Probleme. Weitere Einzelheiten zum Schutz der Android-Sicherheitsplattform und zu Dienstschutzmaßnahmen wie SafetyNet , die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Abschwächungen.
Abmilderungen
Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bereitgestellten Risikominderungen. Diese Fähigkeiten verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden könnten.
- Die Nutzung für viele Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
- Das Android-Sicherheitsteam überwacht mit Verify Apps und SafetyNet aktiv auf Missbrauch, wodurch der Benutzer vor erkannten potenziell schädlichen Anwendungen gewarnt wird, die installiert werden sollen. Geräte-Rooting-Tools sind bei Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist „Apps überprüfen“ standardmäßig aktiviert und warnt Benutzer vor bekannten rootenden Anwendungen. Verify Apps versucht, die Installation bekannter bösartiger Anwendungen zu identifizieren und zu blockieren, die eine Schwachstelle bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
- Entsprechend leiten Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie mediaserver weiter.
Danksagungen
Das Android-Sicherheitsteam möchte diesen Forschern für ihre Beiträge danken:
- Abhishek Arya, Oliver Chang und Martin Barbella vom Google Chrome-Sicherheitsteam: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
- Anestis Bechtsoudis ( @anestisb ) von CENSUS SA: CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
- Brad Ebinger und Santos Cordon vom Google Telecom Team: CVE-2016-0847
- Dominik Schürmann vom Institut für Betriebssysteme und Rechnernetze , TU Braunschweig: CVE-2016-2425
- Gengjia Chen ( @chengjia4574 ), pjf , Jianqiang Zhao ( @jianqiangzhao ) von IceSword Lab, Qihoo 360: CVE-2016-0844
- George Piskas von der École polytechnique fédérale de Lausanne : CVE-2016-2426
- Guang Gong (龚广) ( @oldfresher ) von Qihoo 360 Technology Co.Ltd : CVE-2016-2412, CVE-2016-2416
- James Forshaw von Google Project Zero: CVE-2016-2417, CVE-2016-0846
- Jianqiang Zhao( @jianqiangzhao ), pjf , und Gengjia Chen ( @chengjia4574 ) von IceSword Lab, Qihoo 360: CVE-2016-2410, CVE-2016-2411
- Jianqiang Zhao ( @jianqiangzhao ) und pjf von IceSword Lab, Qihoo 360: CVE-2016-2409
- Nancy Wang von Vertu Corporation LTD: CVE-2016-0837
- Nasim Zamir : CVE-2016-2409
- Nico Golde ( @iamnion ) von Qualcomm Product Security Initiative: CVE-2016-2420, CVE-2016-0849
- Peter Pi ( @heisecode ) von Trend Micro: CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
- Richard Shupak: CVE-2016-2415
- Romain Trouvé von MWR Labs : CVE-2016-0850
- Stuart Henderson: CVE-2016-2422
- Vishwath Mohan von Android Security: CVE-2016-2424
- Weichao Sun ( @sunblate ) von Alibaba Inc.: CVE-2016-2414
- Wish Wu ( @wish_wu ) von Trend Micro Inc.: CVE-2016-0843
- Yeonjoon Lee und Xiaofeng Wang von der Indiana University Bloomington, Tongxin Li und Xinhui Han von der Peking University: CVE-2016-0848
Das Android-Sicherheitsteam dankt auch Yuan-Tsung Lo , Wenke Dou , Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team und Zimperium für ihren Beitrag zu CVE-2015-1805.
Details zu Sicherheitslücken
Die folgenden Abschnitte enthalten Details zu allen Sicherheitslücken, die für die Patchebene vom 02.04.2016 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den betroffenen Versionen und dem gemeldeten Datum. Wenn verfügbar, verknüpfen wir den AOSP-Commit, der das Problem behoben hat, mit der Fehler-ID. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern nach der Fehler-ID verknüpft.
Schwachstelle bezüglich Remotecodeausführung in DHCPCD
Eine Schwachstelle im Dynamic Host Configuration Protocol-Dienst könnte es einem Angreifer ermöglichen, eine Speicherbeschädigung zu verursachen, die zu einer Remotecodeausführung führen könnte. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des DHCP-Clients als Kritisch eingestuft. Der DHCP-Dienst hat Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2014-6060 | ANDROID-15268738 | Kritisch | 4.4.4 | 30. Juli 2014 |
| CVE-2014-6060 | ANDROID-16677003 | Kritisch | 4.4.4 | 30. Juli 2014 |
| CVE-2016-1503 | ANDROID-26461634 | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 4. Januar 2016 |
Schwachstelle bezüglich Remotecodeausführung im Media Codec
Während der Mediendatei und der Datenverarbeitung einer speziell gestalteten Datei könnten Schwachstellen in einem von Mediaserver verwendeten Mediencodec einem Angreifer ermöglichen, Speicherbeschädigungen und Remote-Codeausführung als Mediaserver-Prozess zu verursachen.
Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, die es ermöglichen, sie mit Remote-Inhalten zu erreichen, insbesondere MMS und Browser-Wiedergabe von Medien.
Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Dienstes als Kritisch eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0834 | ANDROID-26220548* | Kritisch | 6.0, 6.0.1 | 16. Dezember 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Schwachstelle bezüglich Remotecodeausführung in Mediaserver
Während der Mediendatei- und Datenverarbeitung einer speziell gestalteten Datei könnten Schwachstellen im Mediaserver einem Angreifer ermöglichen, Speicherbeschädigungen und Remote-Codeausführung als Mediaserver-Prozess zu verursachen.
Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, die es ermöglichen, sie mit Remote-Inhalten zu erreichen, insbesondere MMS und Browser-Wiedergabe von Medien.
Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Dienstes als Kritisch eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0835 | ANDROID-26070014 [ 2 ] | Kritisch | 6.0, 6.0.1 | 6. Dezember 2015 |
| CVE-2016-0836 | ANDROID-25812590 | Kritisch | 6.0, 6.0.1 | 19. November 2015 |
| CVE-2016-0837 | ANDROID-27208621 | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11. Februar 2016 |
| CVE-2016-0838 | ANDROID-26366256 [ 2 ] | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google-intern |
| CVE-2016-0839 | ANDROID-25753245 | Kritisch | 6.0, 6.0.1 | Google-intern |
| CVE-2016-0840 | ANDROID-26399350 | Kritisch | 6.0, 6.0.1 | Google-intern |
| CVE-2016-0841 | ANDROID-26040840 | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google-intern |
Schwachstelle bezüglich Remotecodeausführung in libstagefright
Während der Mediendatei- und Datenverarbeitung einer speziell gestalteten Datei können Sicherheitsanfälligkeiten in libstagefright einem Angreifer ermöglichen, Speicherbeschädigungen und Remote-Codeausführung als Mediaserver-Prozess zu verursachen.
Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, die es ermöglichen, sie mit Remote-Inhalten zu erreichen, insbesondere MMS und Browser-Wiedergabe von Medien.
Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Dienstes als Kritisch eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0842 | ANDROID-25818142 | Kritisch | 6.0, 6.0.1 | 23. November 2015 |
Erhöhung der Privilegien-Schwachstelle im Kernel
Eine Elevation-of-Privilege-Schwachstelle im Kernel könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code innerhalb des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als kritischer Schweregrad eingestuft, und das Gerät müsste möglicherweise durch erneutes Flashen des Betriebssystems repariert werden. Dieses Problem wurde in der Android-Sicherheitsempfehlung 2016-03-18 beschrieben.
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-1805 | ANDROID-27275324* | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19. Februar 2016 |
* Der Patch in AOSP ist für bestimmte Kernel-Versionen verfügbar: 3.14 , 3.10 und 3.4 .
Elevation of Privilege-Schwachstelle im Qualcomm Performance Module
Eine Elevation-of-Privilege-Schwachstelle in der Performance-Event-Manager-Komponente für ARM-Prozessoren von Qualcomm könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code innerhalb des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als kritischer Schweregrad eingestuft, und das Gerät müsste möglicherweise durch erneutes Flashen des Betriebssystems repariert werden.
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0843 | ANDROID-25801197* | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19. November 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle in Qualcomm RF-Komponente
Im Qualcomm RF-Treiber gibt es eine Schwachstelle, die es einer lokalen Schadanwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als kritischer Schweregrad eingestuft, und das Gerät müsste möglicherweise durch erneutes Flashen des Betriebssystems repariert werden.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0844 | ANDROID-26324307 * | Kritisch | 6.0, 6.0.1 | 25. Dezember 2015 |
* Ein zusätzlicher Patch für dieses Problem befindet sich im Linux Upstream .
Erhöhung der Privilegien-Schwachstelle im Kernel
Eine Elevation-of-Privilege-Schwachstelle im gemeinsamen Kernel könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als kritischer Schweregrad eingestuft und das Gerät müsste möglicherweise durch erneutes Flashen des Betriebssystems repariert werden.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2014-9322 | ANDROID-26927260 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] | Kritisch | 6.0, 6.0.1 | 25. Dezember 2015 |
Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in der nativen IMemory-Schnittstelle
Eine Schwachstelle bezüglich Rechteerweiterungen in der IMemory Native Interface könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext einer Systemanwendung mit erhöhten Rechten auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungsrechte zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0846 | ANDROID-26877992 | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29. Januar 2016 |
Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in Telekommunikationskomponente
Eine Schwachstelle bezüglich der Erhöhung von Berechtigungen in der Telekommunikationskomponente könnte es einem Angreifer ermöglichen, Anrufe so zu machen, als kämen sie von einer beliebigen Nummer. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungen zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0847 | ANDROID-26864502 [ 2 ] | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google-intern |
Sicherheitslücke bezüglich Erhöhung von Berechtigungen im Download-Manager
Eine Schwachstelle bezüglich Rechteerweiterungen im Download-Manager könnte es einem Angreifer ermöglichen, Zugriff auf nicht autorisierte Dateien im privaten Speicher zu erlangen. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungen zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0848 | ANDROID-26211054 | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14. Dezember 2015 |
Erhöhung der Privilegien-Schwachstelle im Wiederherstellungsverfahren
Eine Schwachstelle bezüglich Rechteerweiterungen im Wiederherstellungsverfahren könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext einer Systemanwendung mit erhöhten Rechten auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungsrechte zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0849 | ANDROID-26960931 | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3. Februar 2016 |
Elevation of Privilege-Schwachstelle in Bluetooth
Eine Schwachstelle bezüglich der Erhöhung von Berechtigungen in Bluetooth könnte es einem nicht vertrauenswürdigen Gerät ermöglichen, sich während des anfänglichen Kopplungsvorgangs mit dem Telefon zu koppeln. Dies könnte zu einem unbefugten Zugriff auf die Geräteressourcen wie die Internetverbindung führen. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen zu erhalten, auf die nicht vertrauenswürdige Geräte nicht zugreifen können.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0850 | ANDROID-26551752 | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 13. Januar 2016 |
Elevation of Privilege Vulnerability in Texas Instruments Haptic Driver
In einem haptischen Kernel-Treiber von Texas Instruments gibt es eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen, die es einer lokalen bösartigen Anwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Normalerweise würde ein Fehler bei der Ausführung von Kernelcode wie dieser als Kritisch eingestuft, aber da er zuerst die Kompromittierung eines Dienstes erfordert, der den Treiber aufrufen kann, wird er stattdessen als Hoch eingestuft.
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2409 | ANDROID-25981545* | Hoch | 6.0, 6.0.1 | 25. Dezember 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Qualcomm-Video-Kernel-Treiber
In einem Qualcomm-Video-Kernel-Treiber gibt es eine Sicherheitslücke bezüglich Rechteerweiterungen, die es einer lokalen bösartigen Anwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Normalerweise würde eine Schwachstelle bei der Ausführung von Kernel-Code als Kritisch eingestuft, aber da zuerst ein Dienst kompromittiert werden muss, der den Treiber aufrufen kann, wird sie stattdessen als Hoch eingestuft.
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2410 | ANDROID-26291677* | Hoch | 6.0, 6.0.1 | 21. Dezember 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle in Qualcomm Power Management-Komponente
In einem Qualcomm Power Management-Kerneltreiber gibt es eine Schwachstelle bezüglich Rechteerweiterungen, die es einer lokalen bösartigen Anwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Normalerweise würde ein Fehler bei der Ausführung von Kernel-Code wie dieser als Kritisch eingestuft, aber da er zuerst eine Kompromittierung des Geräts und eine Erhöhung auf Root erfordert, wird er stattdessen als Schweregrad mit Hoher Schweregrad eingestuft.
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2411 | ANDROID-26866053* | Hoch | 6.0, 6.0.1 | 28. Januar 2016 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücke bezüglich Erhöhung von Berechtigungen in System_server
Eine Schwachstelle bezüglich Rechteerweiterungen in System_server könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext einer Systemanwendung mit erhöhten Rechten auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungsrechte zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2412 | ANDROID-26593930 | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15. Januar 2016 |
Elevation of Privilege-Schwachstelle in Mediaserver
Eine Schwachstelle bezüglich Rechteerweiterungen in Mediaserver könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext einer Systemanwendung mit erhöhten Rechten auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungsrechte zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2413 | ANDROID-26403627 | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1 | 5. Januar 2016 |
Denial-of-Service-Schwachstelle in Minikin
Eine Denial-of-Service-Schwachstelle in der Minikin-Bibliothek könnte es einem lokalen Angreifer ermöglichen, den Zugriff auf ein betroffenes Gerät vorübergehend zu blockieren. Ein Angreifer könnte das Laden einer nicht vertrauenswürdigen Schriftart verursachen und einen Überlauf in der Minikin-Komponente verursachen, was zu einem Absturz führt. Dies wird als hoher Schweregrad eingestuft, da Denial of Service zu einer kontinuierlichen Neustartschleife führen würde.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2414 | ANDROID-26413177 [ 2 ] | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3. November 2015 |
Sicherheitsanfälligkeit bezüglich Offenlegung von Informationen in Exchange ActiveSync
Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in Exchange ActiveSync könnte es einer lokalen schädlichen Anwendung ermöglichen, Zugriff auf die privaten Informationen eines Benutzers zu erhalten. Dieses Problem wird als hoch eingestuft, da es den Remotezugriff auf geschützte Daten ermöglicht.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2415 | ANDROID-26488455 | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1 | 11. Januar 2016 |
Offenlegung von Informationen Sicherheitslücke in Mediaserver
Eine Schwachstelle zur Offenlegung von Informationen in Mediaserver könnte eine Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen, um Angreifern die Nutzung der Plattform zu erschweren. Diese Probleme werden als hoher Schweregrad eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen zu erlangen, wie z. B. Signatur- oder SignatureOrSystem -Berechtigungsrechte, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2416 | ANDROID-27046057 [ 2 ] | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5. Februar 2016 |
| CVE-2016-2417 | ANDROID-26914474 | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1. Februar 2016 |
| CVE-2016-2418 | ANDROID-26324358 | Hoch | 6.0, 6.0.1 | 24. Dezember 2015 |
| CVE-2016-2419 | ANDROID-26323455 | Hoch | 6.0, 6.0.1 | 24. Dezember 2015 |
Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in Debuggerd-Komponente
Eine Schwachstelle bezüglich Rechteerweiterungen in der Debuggerd-Komponente könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code auszuführen, der zu einer dauerhaften Kompromittierung des Geräts führen könnte. Infolgedessen müsste das Gerät möglicherweise repariert werden, indem das Betriebssystem erneut geflasht wird. Normalerweise würde ein solcher Code-Ausführungsfehler als Kritisch eingestuft, aber da er nur in Android-Version 4.4.4 eine Rechteerhöhung vom System auf Root ermöglicht, wird er stattdessen als Moderat eingestuft. In Android-Versionen 5.0 und höher verhindern SELinux-Regeln, dass Anwendungen von Drittanbietern den betroffenen Code erreichen.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2420 | ANDROID-26403620 [ 2 ] | Mäßig | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5. Januar 2016 |
Sicherheitslücke bezüglich Erhöhung von Berechtigungen im Setup-Assistenten
Eine Schwachstelle im Setup-Assistenten könnte es einem Angreifer ermöglichen, den Factory Reset Protection zu umgehen und Zugriff auf das Gerät zu erlangen. Dies wird als mittlerer Schweregrad eingestuft, da es möglicherweise jemandem mit physischem Zugriff auf ein Gerät ermöglicht, den Factory Reset Protection zu umgehen, was es einem Angreifer ermöglichen würde, ein Gerät erfolgreich zurückzusetzen und alle Daten zu löschen.
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2421 | ANDROID-26154410* | Mäßig | 5.1.1, 6.0, 6.0.1 | Google-intern |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in der neuesten Binärversion für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar ist.
Elevation of Privilege-Schwachstelle in Wi-Fi
Eine Schwachstelle bezüglich Rechteerweiterungen in Wi-Fi könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext einer Systemanwendung mit erhöhten Rechten auszuführen. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungen zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2422 | ANDROID-26324357 | Mäßig | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23. Dezember 2015 |
Elevation of Privilege-Schwachstelle in der Telefonie
Eine Schwachstelle in der Telefonie könnte es einem Angreifer ermöglichen, den Factory Reset Protection zu umgehen und Zugriff auf das Gerät zu erhalten. Dies wird als mittlerer Schweregrad eingestuft, da es möglicherweise jemandem mit physischem Zugriff auf ein Gerät ermöglicht, den Factory Reset Protection zu umgehen, was es einem Angreifer ermöglichen würde, ein Gerät erfolgreich zurückzusetzen und alle Daten zu löschen.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2423 | ANDROID-26303187 | Mäßig | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google-intern |
Denial-of-Service-Schwachstelle in SyncStorageEngine
Eine Denial-of-Service-Schwachstelle in SyncStorageEngine könnte es einer lokalen bösartigen Anwendung ermöglichen, eine Neustartschleife zu verursachen. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es verwendet werden könnte, um eine lokale vorübergehende Dienstverweigerung zu verursachen, die möglicherweise durch eine Zurücksetzung auf die Werkseinstellungen behoben werden müsste.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2424 | ANDROID-26513719 | Mäßig | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google-intern |
Offenlegung von Informationen Sicherheitslücke in AOSP Mail
Eine Schwachstelle zur Offenlegung von Informationen in AOSP Mail könnte es einer lokalen bösartigen Anwendung ermöglichen, Zugriff auf die privaten Informationen eines Benutzers zu erhalten. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es dazu verwendet werden könnte, unsachgemäß „gefährliche“ Berechtigungen zu erlangen.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2425 | ANDROID-26989185 | Mäßig | 4.4.4, 5.1.1, 6.0, 6.0.1 | 29. Januar 2016 |
| CVE-2016-2425 | ANDROID-7154234* | Mäßig | 5.0.2 | 29. Januar 2016 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in der neuesten Binärversion für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar ist.
Offenlegung von Informationen im Framework
Eine Schwachstelle bezüglich der Offenlegung von Informationen in der Framework-Komponente könnte es einer Anwendung ermöglichen, auf vertrauliche Informationen zuzugreifen. Dieses Problem wird mit mittlerem Schweregrad eingestuft, da es für den unsachgemäßen Zugriff auf Daten ohne Genehmigung verwendet werden könnte.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2426 | ANDROID-26094635 | Mäßig | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 8. Dezember 2015 |
Häufige Fragen und Antworten
In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Bulletins auftreten können.
1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?
Sicherheits-Patch-Level vom 2. April 2016 oder später beheben diese Probleme (Anweisungen zum Überprüfen des Sicherheits-Patch-Levels finden Sie in der Nexus-Dokumentation ). Gerätehersteller, die diese Updates enthalten, sollten die Patch-String-Ebene auf Folgendes festlegen: [ro.build.version.security_patch]:[2016-04-02]
2. Warum ist dieser Sicherheitspatch vom 2. April 2016?
Der Sicherheits-Patch-Level für das monatliche Sicherheitsupdate wird normalerweise auf den Ersten des Monats festgelegt. Für April gibt ein Sicherheits-Patch-Level vom 1. April 2016 an, dass alle in diesem Bulletin beschriebenen Probleme mit Ausnahme von CVE-2015-1805, wie in der Android-Sicherheitsempfehlung 2016-03-18 beschrieben, behoben wurden. Ein Sicherheits-Patch-Level vom 2. April 2016 weist darauf hin, dass alle in diesem Bulletin beschriebenen Probleme, einschließlich CVE-2015-1805, wie in der Android-Sicherheitsempfehlung 2016-03-18 beschrieben, behoben wurden.
Revisionen
- 04. April 2016: Bulletin veröffentlicht.
- 6. April 2016: Bulletin überarbeitet, um AOSP-Links aufzunehmen.
- 7. April 2016: Bulletin überarbeitet, um einen zusätzlichen AOSP-Link aufzunehmen.
- 11. Juli 2016: Aktualisierte Beschreibung von CVE-2016-2427.
- 1. August 2016: Aktualisierte Beschreibung von CVE-2016-2427
- 19. Dezember 2016: Aktualisiert, um CVE-2016-2427 zu entfernen, das rückgängig gemacht wurde.