Veröffentlicht am 4. April 2016 | Aktualisiert am 19. Dezember 2016
Im Rahmen unseres monatlichen Veröffentlichungsprozesses für Android Security Bulletin haben wir ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht. Sicherheitspatch-Stufen vom 2. April 2016 oder später beheben diese Probleme (Anweisungen zur Überprüfung der Sicherheitspatch-Stufe finden Sie in der Nexus-Dokumentation ).
Die Partner wurden am 16. März 2016 oder früher über die im Bulletin beschriebenen Probleme informiert. Gegebenenfalls wurden Quellcode-Patches für diese Probleme im Android Open Source Project (AOSP)-Repository veröffentlicht.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die bei der Verarbeitung von Mediendateien die Remote-Codeausführung auf einem betroffenen Gerät über verschiedene Methoden wie E-Mail, Webbrowsing und MMS ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät hätte, vorausgesetzt, dass die Plattform- und Service-Abhilfemaßnahmen für Entwicklungszwecke deaktiviert oder erfolgreich umgangen werden.
Im Android-Sicherheitshinweis vom 18.03.2016 wurde bereits die Verwendung von CVE-2015-1805 durch eine Root-Anwendung besprochen. CVE-2015-1805 wird in diesem Update behoben. Es liegen keine Berichte über aktive Kundenausbeutung oder Missbrauch der anderen neu gemeldeten Probleme vor. Weitere Informationen zu den Schutzmaßnahmen der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt „Abhilfemaßnahmen“.
Abhilfemaßnahmen
Dies ist eine Zusammenfassung der Abhilfemaßnahmen, die die Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bieten. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden können.
- Die Ausnutzung vieler Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
- Das Android-Sicherheitsteam überwacht aktiv den Missbrauch mit Verify Apps und SafetyNet, die den Benutzer vor erkannten potenziell schädlichen Anwendungen warnen, die gerade installiert werden. Geräte-Rooting-Tools sind bei Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist Verify Apps standardmäßig aktiviert und warnt Benutzer vor bekannten Root-Anwendungen. Verify Apps versucht, die Installation bekannter schädlicher Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitslücke bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
- Gegebenenfalls leiten Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie Mediaserver weiter.
Danksagungen
Das Android-Sicherheitsteam möchte diesen Forschern für ihre Beiträge danken:
- Abhishek Arya, Oliver Chang und Martin Barbella vom Google Chrome-Sicherheitsteam: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
- Anestis Bechtsoudis ( @anestisb ) von CENSUS SA: CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
- Brad Ebinger und Santos Cordon vom Google Telecom-Team: CVE-2016-0847
- Dominik Schürmann vom Institut für Betriebssysteme und Computernetzwerke , TU Braunschweig: CVE-2016-2425
- Gengjia Chen ( @chengjia4574 ), pjf , Jianqiang Zhao ( @jianqiangzhao ) von IceSword Lab, Qihoo 360: CVE-2016-0844
- George Piskas von der École polytechnique fédérale de Lausanne : CVE-2016-2426
- Guang Gong (龚广) ( @oldfresher ) von Qihoo 360 Technology Co.Ltd : CVE-2016-2412, CVE-2016-2416
- James Forshaw von Google Project Zero: CVE-2016-2417, CVE-2016-0846
- Jianqiang Zhao ( @jianqiangzhao ), pjf und Gengjia Chen ( @chengjia4574 ) von IceSword Lab, Qihoo 360: CVE-2016-2410, CVE-2016-2411
- Jianqiang Zhao ( @jianqiangzhao ) und pjf von IceSword Lab, Qihoo 360: CVE-2016-2409
- Nancy Wang von Vertu Corporation LTD: CVE-2016-0837
- Nasim Zamir : CVE-2016-2409
- Nico Golde ( @iamnion ) von der Qualcomm Product Security Initiative: CVE-2016-2420, CVE-2016-0849
- Peter Pi ( @heisecode ) von Trend Micro: CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
- Richard Shupak: CVE-2016-2415
- Romain Trouvé von MWR Labs : CVE-2016-0850
- Stuart Henderson: CVE-2016-2422
- Vishwath Mohan von Android Security: CVE-2016-2424
- Weichao Sun ( @sunblate ) von Alibaba Inc.: CVE-2016-2414
- Wish Wu ( @wish_wu ) von Trend Micro Inc.: CVE-2016-0843
- Yeonjoon Lee und Xiaofeng Wang von der Indiana University Bloomington, Tongxin Li und Xinhui Han von der Peking University: CVE-2016-0848
Das Android-Sicherheitsteam dankt außerdem Yuan-Tsung Lo , Wenke Dou , Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team und Zimperium für ihren Beitrag zu CVE-2015-1805.
Details zur Sicherheitslücke
Die folgenden Abschnitte enthalten Details zu den einzelnen Sicherheitslücken, die für den Patch-Level 2016-04-02 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den betroffenen Versionen und dem gemeldeten Datum. Sofern verfügbar, verknüpfen wir den AOSP-Commit, der das Problem behoben hat, mit der Fehler-ID. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern verknüpft, die der Fehler-ID folgen.
Sicherheitslücke bezüglich Remotecodeausführung in DHCPCD
Eine Schwachstelle im Dynamic Host Configuration Protocol-Dienst könnte es einem Angreifer ermöglichen, eine Speicherbeschädigung zu verursachen, die zur Remote-Codeausführung führen könnte. Dieses Problem wird aufgrund der Möglichkeit einer Remotecodeausführung im Kontext des DHCP-Clients als „Kritisch“ eingestuft. Der DHCP-Dienst hat Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2014-6060 | ANDROID-15268738 | Kritisch | 4.4.4 | 30. Juli 2014 |
| CVE-2014-6060 | ANDROID-16677003 | Kritisch | 4.4.4 | 30. Juli 2014 |
| CVE-2016-1503 | ANDROID-26461634 | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 4. Januar 2016 |
Sicherheitslücke bezüglich Remotecodeausführung im Mediencodec
Während der Mediendatei und der Datenverarbeitung einer speziell gestalteten Datei könnten Schwachstellen in einem von Mediaserver verwendeten Mediencodec es einem Angreifer ermöglichen, Speicherbeschädigungen und Remotecodeausführung als Mediaserver-Prozess zu verursachen.
Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, die den Zugriff auf Remote-Inhalte ermöglichen, insbesondere MMS und Browser-Wiedergabe von Medien.
Dieses Problem wird aufgrund der Möglichkeit einer Remotecodeausführung im Kontext des Mediaserver-Dienstes als „Kritisch“ eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0834 | ANDROID-26220548* | Kritisch | 6.0, 6.0.1 | 16. Dezember 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücke bezüglich Remotecodeausführung in Mediaserver
Während der Mediendatei und der Datenverarbeitung einer speziell gestalteten Datei könnten Schwachstellen im Medienserver einem Angreifer ermöglichen, Speicherbeschädigungen und Remotecodeausführung als Medienserverprozess zu verursachen.
Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, die den Zugriff auf Remote-Inhalte ermöglichen, insbesondere MMS und Browser-Wiedergabe von Medien.
Dieses Problem wird aufgrund der Möglichkeit einer Remotecodeausführung im Kontext des Mediaserver-Dienstes als „Kritisch“ eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0835 | ANDROID-26070014 [ 2 ] | Kritisch | 6.0, 6.0.1 | 6. Dezember 2015 |
| CVE-2016-0836 | ANDROID-25812590 | Kritisch | 6.0, 6.0.1 | 19. November 2015 |
| CVE-2016-0837 | ANDROID-27208621 | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11. Februar 2016 |
| CVE-2016-0838 | ANDROID-26366256 [ 2 ] | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google-intern |
| CVE-2016-0839 | ANDROID-25753245 | Kritisch | 6.0, 6.0.1 | Google-intern |
| CVE-2016-0840 | ANDROID-26399350 | Kritisch | 6.0, 6.0.1 | Google-intern |
| CVE-2016-0841 | ANDROID-26040840 | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google-intern |
Sicherheitslücke bezüglich Remotecodeausführung in libstagefright
Während der Mediendatei und der Datenverarbeitung einer speziell gestalteten Datei könnten Schwachstellen in libstagefright es einem Angreifer ermöglichen, Speicherbeschädigungen und Remotecodeausführung als Mediaserver-Prozess zu verursachen.
Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, die den Zugriff auf Remote-Inhalte ermöglichen, insbesondere MMS und Browser-Wiedergabe von Medien.
Dieses Problem wird aufgrund der Möglichkeit einer Remotecodeausführung im Kontext des Mediaserver-Dienstes als „Kritisch“ eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0842 | ANDROID-25818142 | Kritisch | 6.0, 6.0.1 | 23. November 2015 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code innerhalb des Kernels auszuführen. Dieses Problem wird als „Kritisch“ eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht und das Gerät möglicherweise durch ein erneutes Flashen des Betriebssystems repariert werden muss. Dieses Problem wurde im Android-Sicherheitshinweis vom 18.03.2016 beschrieben.
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-1805 | ANDROID-27275324* | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19. Februar 2016 |
* Der Patch in AOSP ist für bestimmte Kernel-Versionen verfügbar: 3.14 , 3.10 und 3.4 .
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm-Leistungsmodul
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Performance-Event-Manager-Komponente für ARM-Prozessoren von Qualcomm könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code innerhalb des Kernels auszuführen. Dieses Problem wird als „Kritisch“ eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht und das Gerät möglicherweise durch ein erneutes Flashen des Betriebssystems repariert werden muss.
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0843 | ANDROID-25801197* | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19. November 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Qualcomm RF-Komponente
Im Qualcomm RF-Treiber besteht eine Sicherheitslücke, die es einer lokalen Schadanwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Kritisch“ eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht und das Gerät möglicherweise durch ein erneutes Flashen des Betriebssystems repariert werden muss.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0844 | ANDROID-26324307 * | Kritisch | 6.0, 6.0.1 | 25. Dezember 2015 |
* Ein zusätzlicher Patch für dieses Problem befindet sich im Linux-Upstream .
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im allgemeinen Kernel könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird als „Kritisch“ eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht und das Gerät möglicherweise durch ein erneutes Flashen des Betriebssystems repariert werden muss.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2014-9322 | ANDROID-26927260 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] | Kritisch | 6.0, 6.0.1 | 25. Dezember 2015 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der nativen IMemory-Schnittstelle
Eine Sicherheitslücke bezüglich der Rechteerweiterung im IMemory Native Interface könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext einer Systemanwendung mit erhöhten Rechten auszuführen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es dazu verwendet werden könnte, erweiterte Funktionen zu erlangen, wie z. B. Signature- oder SignatureOrSystem -Berechtigungen, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0846 | ANDROID-26877992 | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29. Januar 2016 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Telekommunikationskomponente
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Telekommunikationskomponente könnte es einem Angreifer ermöglichen, den Eindruck zu erwecken, dass Anrufe von einer beliebigen Nummer kommen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erhöhte Funktionen zu erhalten, z. B. Signatur- oder SignatureOrSystem -Berechtigungen, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0847 | ANDROID-26864502 [ 2 ] | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google-intern |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Download-Manager
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Download-Manager könnte es einem Angreifer ermöglichen, auf nicht autorisierte Dateien im privaten Speicher zuzugreifen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erhöhte Funktionen zu erhalten, z. B. Signatur- oder SignatureOrSystem -Berechtigungen, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0848 | ANDROID-26211054 | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14. Dezember 2015 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Wiederherstellungsverfahren
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Wiederherstellungsverfahren könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext einer Systemanwendung mit erhöhten Rechten auszuführen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es dazu verwendet werden könnte, erweiterte Funktionen zu erlangen, wie z. B. Signature- oder SignatureOrSystem -Berechtigungen, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0849 | ANDROID-26960931 | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3. Februar 2016 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Bluetooth
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Bluetooth könnte es einem nicht vertrauenswürdigen Gerät ermöglichen, sich während des ersten Kopplungsvorgangs mit dem Telefon zu koppeln. Dies könnte zu einem unbefugten Zugriff auf die Geräteressourcen, beispielsweise die Internetverbindung, führen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es dazu genutzt werden könnte, erweiterte Funktionen zu erlangen, auf die nicht vertrauenswürdige Geräte nicht zugreifen können.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-0850 | ANDROID-26551752 | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 13. Januar 2016 |
Erhöhung der Privilege-Schwachstelle im haptischen Treiber von Texas Instruments
In einem haptischen Kerneltreiber von Texas Instruments besteht eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen, die es einer lokalen Schadanwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Normalerweise wird ein Fehler bei der Ausführung des Kernel-Codes wie dieser als „Kritisch“ eingestuft. Da er jedoch zunächst die Kompromittierung eines Dienstes erfordert, der den Treiber aufrufen kann, wird er stattdessen als „Hoch“ eingestuft.
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2409 | ANDROID-25981545* | Hoch | 6.0, 6.0.1 | 25. Dezember 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm Video Kernel-Treiber
In einem Qualcomm-Video-Kernel-Treiber besteht eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen, die es einer lokalen Schadanwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Normalerweise wird eine Schwachstelle bei der Kernel-Codeausführung als „Kritisch“ eingestuft. Da jedoch zunächst ein Dienst kompromittiert werden muss, der den Treiber aufrufen kann, wird sie stattdessen als „Hoch“ eingestuft.
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2410 | ANDROID-26291677* | Hoch | 6.0, 6.0.1 | 21. Dezember 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Qualcomm Power Management-Komponente
In einem Qualcomm Power Management-Kerneltreiber besteht eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen, die es einer lokalen Schadanwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Normalerweise würde ein Fehler bei der Ausführung des Kernel-Codes wie dieser als „Kritisch“ eingestuft. Da er jedoch zunächst eine Kompromittierung des Geräts und eine Erhöhung zum Root erfordert, wird er stattdessen als „Hoch“ eingestuft.
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2411 | ANDROID-26866053* | Hoch | 6.0, 6.0.1 | 28. Januar 2016 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in System_server
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in System_server könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext einer erhöhten Systemanwendung auszuführen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es dazu verwendet werden könnte, erweiterte Funktionen zu erlangen, wie z. B. Signature- oder SignatureOrSystem -Berechtigungen, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2412 | ANDROID-26593930 | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15. Januar 2016 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Mediaserver
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Medienserver könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext einer erhöhten Systemanwendung auszuführen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es dazu verwendet werden könnte, erweiterte Funktionen zu erlangen, wie z. B. Signature- oder SignatureOrSystem -Berechtigungen, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2413 | ANDROID-26403627 | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1 | 5. Januar 2016 |
Denial-of-Service-Sicherheitslücke in Minikin
Eine Denial-of-Service-Schwachstelle in der Minikin-Bibliothek könnte es einem lokalen Angreifer ermöglichen, den Zugriff auf ein betroffenes Gerät vorübergehend zu blockieren. Ein Angreifer könnte das Laden einer nicht vertrauenswürdigen Schriftart bewirken und einen Überlauf in der Minikin-Komponente verursachen, der zu einem Absturz führt. Dies wird als „Hoher Schweregrad“ eingestuft, da ein Denial of Service zu einer kontinuierlichen Neustartschleife führen würde.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2414 | ANDROID-26413177 [ 2 ] | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3. November 2015 |
Sicherheitslücke bezüglich der Offenlegung von Informationen in Exchange ActiveSync
Eine Sicherheitslücke bezüglich der Offenlegung von Informationen in Exchange ActiveSync könnte es einer lokalen Schadanwendung ermöglichen, Zugriff auf die privaten Informationen eines Benutzers zu erhalten. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es den Fernzugriff auf geschützte Daten ermöglicht.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2415 | ANDROID-26488455 | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1 | 11. Januar 2016 |
Sicherheitslücke bezüglich der Offenlegung von Informationen in Mediaserver
Eine Sicherheitslücke bei der Offenlegung von Informationen in Mediaserver könnte eine Umgehung bestehender Sicherheitsmaßnahmen ermöglichen, um die Schwierigkeit für Angreifer zu erhöhen, die Plattform auszunutzen. Diese Probleme werden als „Hoher Schweregrad“ eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen wie Signature- oder SignatureOrSystem -Berechtigungen zu erlangen, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2416 | ANDROID-27046057 [ 2 ] | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5. Februar 2016 |
| CVE-2016-2417 | ANDROID-26914474 | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1. Februar 2016 |
| CVE-2016-2418 | ANDROID-26324358 | Hoch | 6.0, 6.0.1 | 24. Dezember 2015 |
| CVE-2016-2419 | ANDROID-26323455 | Hoch | 6.0, 6.0.1 | 24. Dezember 2015 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Debuggerd-Komponente
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Debuggerd-Komponente könnte es einer lokalen Schadanwendung ermöglichen, willkürlichen Code auszuführen, der zu einer dauerhaften Gefährdung des Geräts führen könnte. Daher müsste das Gerät möglicherweise durch ein erneutes Flashen des Betriebssystems repariert werden. Normalerweise würde ein Codeausführungsfehler wie dieser als kritisch eingestuft, aber da er eine Erhöhung der Berechtigungen vom System zum Root nur in Android-Version 4.4.4 ermöglicht, wird er stattdessen als mittel eingestuft. In Android-Versionen 5.0 und höher verhindern SELinux-Regeln, dass Anwendungen von Drittanbietern den betroffenen Code erreichen.
| CVE | Fehler mit AOSP-Links | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2420 | ANDROID-26403620 [ 2 ] | Mäßig | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5. Januar 2016 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Setup-Assistenten
Eine Schwachstelle im Setup-Assistenten könnte es einem Angreifer ermöglichen, den Werksreset-Schutz zu umgehen und Zugriff auf das Gerät zu erhalten. Dies wird als mittlerer Schweregrad eingestuft, da es möglicherweise jemandem mit physischem Zugriff auf ein Gerät ermöglicht, den Werksreset-Schutz zu umgehen, was es einem Angreifer ermöglichen würde, ein Gerät erfolgreich zurückzusetzen und alle Daten zu löschen.
| CVE | Insekt | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2421 | ANDROID-26154410* | Mäßig | 5.1.1, 6.0, 6.0.1 | Google-intern |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in der neuesten Binärversion für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar ist.
Sicherheitslücke bezüglich der Erhöhung von Privilegien in Wi-Fi
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Wi-Fi könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext einer erhöhten Systemanwendung auszuführen. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es dazu verwendet werden könnte, erweiterte Funktionen wie Signature- oder SignatureOrSystem -Berechtigungen zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2422 | ANDROID-26324357 | Mäßig | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23. Dezember 2015 |
Erhöhung der Sicherheitslücke in der Telefonie
Eine Schwachstelle in der Telefonie könnte es einem Angreifer ermöglichen, den Werksreset-Schutz zu umgehen und sich Zugriff auf das Gerät zu verschaffen. Dies wird als mittlerer Schweregrad eingestuft, da es möglicherweise jemandem mit physischem Zugriff auf ein Gerät ermöglicht, den Werksreset-Schutz zu umgehen, was es einem Angreifer ermöglichen würde, ein Gerät erfolgreich zurückzusetzen und alle Daten zu löschen.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2423 | ANDROID-26303187 | Mäßig | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google-intern |
Denial-of-Service-Schwachstelle in SyncStorageEngine
Eine Denial-of-Service-Schwachstelle in SyncStorageEngine könnte es einer lokalen Schadanwendung ermöglichen, eine Neustartschleife zu verursachen. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es zu einer lokalen vorübergehenden Dienstverweigerung führen kann, die möglicherweise durch einen Werksreset behoben werden muss.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2424 | ANDROID-26513719 | Mäßig | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google-intern |
Sicherheitslücke bezüglich der Offenlegung von Informationen in AOSP-Mail
Eine Sicherheitslücke zur Offenlegung von Informationen in AOSP Mail könnte es einer lokalen Schadanwendung ermöglichen, Zugriff auf die privaten Informationen eines Benutzers zu erhalten. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es dazu genutzt werden könnte, unrechtmäßig „gefährliche“ Berechtigungen zu erlangen.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2425 | ANDROID-26989185 | Mäßig | 4.4.4, 5.1.1, 6.0, 6.0.1 | 29. Januar 2016 |
| CVE-2016-2425 | ANDROID-7154234* | Mäßig | 5.0.2 | 29. Januar 2016 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in der neuesten Binärversion für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar ist.
Sicherheitslücke im Rahmen der Offenlegung von Informationen
Eine Sicherheitslücke bezüglich der Offenlegung von Informationen in der Framework-Komponente könnte es einer Anwendung ermöglichen, auf vertrauliche Informationen zuzugreifen. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es für den unrechtmäßigen Zugriff auf Daten ohne Erlaubnis genutzt werden könnte.
| CVE | Fehler mit AOSP-Link | Schwere | Aktualisierte Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2426 | ANDROID-26094635 | Mäßig | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 8. Dezember 2015 |
Häufige Fragen und Antworten
In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Bulletins auftreten können.
1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?
Sicherheitspatch-Stufen vom 2. April 2016 oder später beheben diese Probleme (Anweisungen zur Überprüfung der Sicherheitspatch-Stufe finden Sie in der Nexus-Dokumentation ). Gerätehersteller, die diese Updates enthalten, sollten die Patch-String-Ebene auf Folgendes festlegen: [ro.build.version.security_patch]:[2016-04-02]
2. Warum ist dieser Sicherheitspatch der 2. April 2016?
Der Sicherheitspatch-Level für das monatliche Sicherheitsupdate ist normalerweise auf den Ersten des Monats festgelegt. Für April bedeutet ein Sicherheitspatch-Level vom 1. April 2016, dass alle in diesem Bulletin beschriebenen Probleme mit Ausnahme von CVE-2015-1805, wie im Android-Sicherheitshinweis vom 18.03.2016 beschrieben, behoben wurden. Ein Sicherheitspatch-Level vom 2. April 2016 weist darauf hin, dass alle in diesem Bulletin beschriebenen Probleme, einschließlich CVE-2015-1805, wie im Android-Sicherheitshinweis vom 18.03.2016 beschrieben, behoben wurden.
Überarbeitungen
- 4. April 2016: Bulletin veröffentlicht.
- 6. April 2016: Bulletin überarbeitet, um AOSP-Links aufzunehmen.
- 7. April 2016: Bulletin überarbeitet, um einen zusätzlichen AOSP-Link aufzunehmen.
- 11. Juli 2016: Aktualisierte Beschreibung von CVE-2016-2427.
- 1. August 2016: Aktualisierte Beschreibung von CVE-2016-2427
- 19. Dezember 2016: Aktualisiert, um CVE-2016-2427 zu entfernen, das zurückgesetzt wurde.