Veröffentlicht am 4. April 2016 | Aktualisiert am 19. Dezember 2016
Im Rahmen unseres monatlichen Release-Prozesses für Android-Sicherheitsbulletins haben wir ein Sicherheitsupdate für Nexus-Geräte als Over-the-air-Update (OTA-Update) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht. Diese Probleme werden durch Sicherheits-Patch-Levels vom 02. April 2016 oder höher behoben. Eine Anleitung zum Prüfen des Sicherheits-Patch-Levels finden Sie in der Nexus-Dokumentation.
Partner wurden am 16. März 2016 oder früher über die in diesem Bulletin beschriebenen Probleme informiert. Gegebenenfalls wurden Quellcode-Patches für diese Probleme im Repository des Android Open Source Project (AOSP) veröffentlicht.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Ausführung von Remote-Code auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Web-Browsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Bewertung des Schweregrads basiert auf der Auswirkung, die die Ausnutzung der Sicherheitslücke auf ein betroffenes Gerät haben könnte, vorausgesetzt, die Plattform- und Dienstmitigationen sind zu Entwicklungszwecken deaktiviert oder werden erfolgreich umgangen.
In der Android-Sicherheitswarnung vom 18. März 2016 wurde bereits die Verwendung von CVE-2015-1805 durch eine Rooting-Anwendung beschrieben. CVE-2015-1805 wird durch dieses Update behoben. Es wurden keine Fälle von aktiver Kundenausnutzung oder Missbrauch der anderen neu gemeldeten Probleme gemeldet. Weitere Informationen zu den Sicherheitsmechanismen der Android-Plattform und zu Dienstschutzmaßnahmen wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Abhilfemaßnahmen.
Abhilfemaßnahmen
Hier finden Sie eine Zusammenfassung der Schutzmaßnahmen, die von der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bereitgestellt werden. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android-Geräten erfolgreich ausgenutzt werden können.
- Die Ausnutzung vieler Probleme auf Android-Geräten wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Nutzern, nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
- Das Android-Sicherheitsteam überwacht mit „Apps überprüfen“ und SafetyNet aktiv den Missbrauch. Nutzer werden dann vor potenziell schädlichen Apps gewarnt, die installiert werden sollen. Tools zum Rooten von Geräten sind bei Google Play verboten. Zum Schutz von Nutzern, die Apps außerhalb von Google Play installieren, ist die Funktion „Apps prüfen“ standardmäßig aktiviert. Nutzer werden vor bekannten Rooting-Apps gewarnt. Mit der Funktion „Apps prüfen“ werden bekannte schädliche Apps, die eine Sicherheitslücke zur Berechtigungserweiterung ausnutzen, identifiziert und die Installation blockiert. Wenn eine solche Anwendung bereits installiert wurde, wird der Nutzer von „Apps überprüfen“ benachrichtigt und die Anwendung wird entfernt.
- Die Google Hangouts- und Messenger-Anwendungen übergeben Medien nicht automatisch an Prozesse wie den Medienserver.
Danksagungen
Das Android-Sicherheitsteam möchte sich bei folgenden Personen für ihre Beiträge bedanken:
- Abhishek Arya, Oliver Chang und Martin Barbella vom Google Chrome-Sicherheitsteam: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
- Anestis Bechtsoudis (@anestisb) von CENSUS S.A.: CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
- Brad Ebinger und Santos Cordon vom Google Telecom Team: CVE-2016-0847
- Dominik Schürmann vom Institut für Betriebssysteme und Computernetzwerke, TU Braunschweig: CVE-2016-2425
- Gengjia Chen (@chengjia4574), pjf, Jianqiang Zhao (@jianqiangzhao) vom IceSword Lab, Qihoo 360: CVE-2016-0844
- George Piskas von der École polytechnique fédérale de Lausanne: CVE-2016-2426
- Guang Gong (龚广) (@oldfresher) von Qihoo 360 Technology Co., Ltd.: CVE-2016-2412, CVE-2016-2416
- James Forshaw von Google Project Zero: CVE-2016-2417, CVE-2016-0846
- Jianqiang Zhao(@jianqiangzhao), pjf und Gengjia Chen (@chengjia4574) vom IceSword Lab, Qihoo 360: CVE-2016-2410, CVE-2016-2411
- Jianqiang Zhao (@jianqiangzhao) und pjf vom IceSword Lab, Qihoo 360: CVE-2016-2409
- Nancy Wang von Vertu Corporation LTD: CVE-2016-0837
- Nasim Zamir: CVE-2016-2409
- Nico Golde (@iamnion) von der Qualcomm Product Security Initiative: CVE-2016-2420, CVE-2016-0849
- Peter Pi (@heisecode) von Trend Micro: CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
- Richard Shupak: CVE-2016-2415
- Romain Trouvé von MWR Labs: CVE-2016-0850
- Stuart Henderson: CVE-2016-2422
- Vishwath Mohan vom Android-Sicherheitsteam: CVE-2016-2424
- Weichao Sun (@sunblate) von Alibaba Inc.: CVE-2016-2414
- Wish Wu (@wish_wu) von Trend Micro Inc.: CVE-2016-0843
- Yeonjoon Lee und Xiaofeng Wang von der Indiana University Bloomington, Tongxin Li und Xinhui Han von der Peking University: CVE-2016-0848
Das Android-Sicherheitsteam bedankt sich außerdem bei Yuan-Tsung Lo, Wenke Dou, Chiachih Wu (@chiachih_wu) und Xuxian Jiang vom C0RE-Team und Zimperium für ihren Beitrag zu CVE-2015-1805.
Details zur Sicherheitslücke
Die folgenden Abschnitte enthalten Details zu den einzelnen Sicherheitslücken, die für das Patchlevel vom 02.04.2016 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den betroffenen Versionen und dem Meldedatum. Sobald verfügbar, verknüpfen wir den AOSP-Commit, mit dem das Problem behoben wurde, mit der Bug-ID. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, sind zusätzliche AOSP-Referenzen mit Zahlen verknüpft, die auf die Fehler-ID folgen.
Sicherheitslücke bei der Remote-Codeausführung in DHCPCD
Eine Sicherheitslücke im Dynamic Host Configuration Protocol-Dienst könnte es einem Angreifer ermöglichen, Speicherbeschädigungen zu verursachen, was zur Ausführung von Remote-Code führen könnte. Dieses Problem wird aufgrund der Möglichkeit der Remote-Codeausführung im Kontext des DHCP-Clients als kritisch eingestuft. Der DHCP-Dienst hat Zugriff auf Berechtigungen, auf die Drittanbieter-Apps normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2014-6060 | ANDROID-15268738 | Kritisch | 4.4.4 | 30. Juli 2014 |
| CVE-2014-6060 | ANDROID-16677003 | Kritisch | 4.4.4 | 30. Juli 2014 |
| CVE-2016-1503 | ANDROID-26461634 | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 4. Januar 2016 |
Sicherheitslücke bei der Remote-Codeausführung in Media Codec
Bei der Verarbeitung von Mediendateien und Daten einer speziell erstellten Datei können Sicherheitslücken in einem vom Mediaserver verwendeten Mediencodec einem Angreifer ermöglichen, Speicherbeschädigungen und die Ausführung von Remote-Code im Rahmen des Mediaserver-Prozesses zu verursachen.
Die betroffene Funktion ist ein zentraler Bestandteil des Betriebssystems und es gibt mehrere Anwendungen, über die sie mit Remote-Inhalten aufgerufen werden kann, insbesondere MMS und die Browserwiedergabe von Medien.
Dieses Problem wird aufgrund der Möglichkeit der Remote-Codeausführung im Kontext des Mediaserver-Dienstes als kritisch eingestuft. Der Mediaserverdienst hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Bug (Fehler) | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0834 | ANDROID-26220548* | Kritisch | 6.0, 6.0.1 | 16. Dezember 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google-Entwicklerwebsite verfügbar sind.
Sicherheitslücke bei der Remote-Codeausführung im Mediaserver
Bei der Verarbeitung von Mediendateien und Daten einer speziell erstellten Datei können Sicherheitslücken im Mediaserver es einem Angreifer ermöglichen, den Arbeitsspeicher zu beschädigen und Remote-Code im Rahmen des Mediaserver-Prozesses auszuführen.
Die betroffene Funktion ist ein zentraler Bestandteil des Betriebssystems und es gibt mehrere Anwendungen, über die sie mit Remote-Inhalten aufgerufen werden kann, insbesondere MMS und die Browserwiedergabe von Medien.
Dieses Problem wird aufgrund der Möglichkeit der Remote-Codeausführung im Kontext des Mediaserver-Dienstes als kritisch eingestuft. Der Mediaserverdienst hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0835 | ANDROID-26070014 [2] | Kritisch | 6.0, 6.0.1 | 6. Dezember 2015 |
| CVE-2016-0836 | ANDROID-25812590 | Kritisch | 6.0, 6.0.1 | 19. November 2015 |
| CVE-2016-0837 | ANDROID-27208621 | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11. Februar 2016 |
| CVE-2016-0838 | ANDROID-26366256 [2] | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Intern |
| CVE-2016-0839 | ANDROID-25753245 | Kritisch | 6.0, 6.0.1 | Google Intern |
| CVE-2016-0840 | ANDROID-26399350 | Kritisch | 6.0, 6.0.1 | Google Intern |
| CVE-2016-0841 | ANDROID-26040840 | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Intern |
Sicherheitslücke bei der Remote-Codeausführung in libstagefright
Bei der Verarbeitung von Mediendateien und Daten einer speziell erstellten Datei können Sicherheitslücken in libstagefright einem Angreifer ermöglichen, Speicher zu beschädigen und Remote-Code als Mediaserver-Prozess auszuführen.
Die betroffene Funktion ist ein zentraler Bestandteil des Betriebssystems und es gibt mehrere Anwendungen, über die sie mit Remote-Inhalten aufgerufen werden kann, insbesondere MMS und die Browserwiedergabe von Medien.
Dieses Problem wird aufgrund der Möglichkeit der Remote-Codeausführung im Kontext des Mediaserver-Dienstes als kritisch eingestuft. Der Mediaserverdienst hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler im AOSP-Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0842 | ANDROID-25818142 | Kritisch | 6.0, 6.0.1 | 23. November 2015 |
Sicherheitslücke im Kernel zur Rechteausweitung
Eine Sicherheitslücke zur Rechteausweitung im Kernel kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer dauerhaften lokalen Gerätemanipulation als kritisch eingestuft. Das Gerät muss möglicherweise durch ein erneutes Flashen des Betriebssystems repariert werden. Dieses Problem wurde in der Sicherheitswarnung für Android vom 18. März 2016 beschrieben.
| CVE | Bug (Fehler) | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-1805 | ANDROID-27275324* | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19. Februar 2016 |
* Der Patch in AOSP ist für bestimmte Kernelversionen verfügbar: 3.14, 3.10 und 3.4.
Sicherheitslücke zur Rechteausweitung im Qualcomm-Leistungsmodul
Eine Sicherheitslücke zur Erhöhung von Berechtigungen in der Performance Event Manager-Komponente für ARM-Prozessoren von Qualcomm kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer dauerhaften lokalen Gerätemanipulation als kritisch eingestuft. Das Gerät muss möglicherweise durch ein erneutes Flashen des Betriebssystems repariert werden.
| CVE | Bug (Fehler) | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0843 | ANDROID-25801197* | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19. November 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google-Entwicklerwebsite verfügbar sind.
Sicherheitslücke vom Typ „Rechteausweitung“ in der Qualcomm-RF-Komponente
Es gibt eine Sicherheitslücke im Qualcomm-RF-Treiber, die es einer lokalen schädlichen Anwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer dauerhaften lokalen Gerätemanipulation als kritisch eingestuft. Das Gerät muss möglicherweise durch ein erneutes Flashen des Betriebssystems repariert werden.
| CVE | Fehler im AOSP-Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0844 | ANDROID-26324307* | Kritisch | 6.0, 6.0.1 | 25. Dezember 2015 |
* Ein zusätzlicher Patch für dieses Problem befindet sich im Linux-Upstream.
Sicherheitslücke im Kernel zur Rechteausweitung
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im gemeinsamen Kernel könnte es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird als kritisch eingestuft, da das Gerät möglicherweise lokal und dauerhaft manipuliert wird und es möglicherweise repariert werden muss, indem das Betriebssystem neu geflasht wird.
| CVE | Fehler bei AOSP-Links | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2014-9322 | ANDROID-26927260
[2]
[3] [4] [5] [6] [7] [8] [9] [10] [11] |
Kritisch | 6.0, 6.0.1 | 25. Dezember 2015 |
Sicherheitslücke vom Typ „Rechteausweitung“ in der nativen IMemory-Schnittstelle
Eine Sicherheitslücke vom Typ „Erhöhung der Berechtigungen“ in der IMemory Native Interface könnte es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext einer erhöhten Systemanwendung auszuführen. Dieses Problem hat den Schweregrad „Hoch“, da es dazu verwendet werden kann, erweiterte Funktionen zu erhalten, z. B. Berechtigungen für Signature oder SignatureOrSystem, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler im AOSP-Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0846 | ANDROID-26877992 | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29. Januar 2016 |
Sicherheitslücke zur Rechteausweitung in einer Telekommunikationskomponente
Eine Sicherheitslücke vom Typ „Erhöhung der Berechtigung“ in der Telekommunikationskomponente könnte es einem Angreifer ermöglichen, Anrufe so aussehen zu lassen, als würden sie von einer beliebigen Nummer stammen. Dieses Problem wird als „Hoch“ eingestuft, da es dazu verwendet werden kann, lokalen Zugriff auf erweiterte Funktionen wie die Berechtigungen Signature oder SignatureOrSystem zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler bei AOSP-Links | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0847 | ANDROID-26864502 [2] | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Intern |
Sicherheitslücke im Download-Manager, die eine Rechteausweitung ermöglicht
Eine Sicherheitslücke im Download-Manager, die eine Erhöhung der Berechtigungen ermöglicht, könnte es einem Angreifer ermöglichen, auf nicht autorisierte Dateien im privaten Speicher zuzugreifen. Dieses Problem hat die Bewertung „Hohe Schwere“, da es dazu verwendet werden könnte, lokalen Zugriff auf erweiterte Funktionen wie die Berechtigungen Signature oder SignatureOrSystem zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler im AOSP-Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0848 | ANDROID-26211054 | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14. Dezember 2015 |
Sicherheitslücke bei der Rechteausweitung im Wiederherstellungsverfahren
Eine Sicherheitslücke beim Erhöhen der Berechtigungen im Wiederherstellungsverfahren könnte es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext einer erhöhten Systemanwendung auszuführen. Dieses Problem hat den Schweregrad „Hoch“, da es dazu verwendet werden könnte, erweiterte Funktionen zu erhalten, z. B. Berechtigungen für Signature oder SignatureOrSystem, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler im AOSP-Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0849 | ANDROID-26960931 | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3. Februar 2016 |
Sicherheitslücke bei der Rechteausweitung in Bluetooth
Eine Sicherheitslücke bei der Berechtigungsaufhebung in Bluetooth kann dazu führen, dass ein nicht vertrauenswürdiges Gerät während des ersten Kopplungsvorgangs mit dem Smartphone gekoppelt wird. Dies kann zu unbefugtem Zugriff auf die Geräteressourcen wie die Internetverbindung führen. Dieses Problem hat den Schweregrad „Hoch“, da es dazu verwendet werden könnte, erweiterte Funktionen zu erhalten, auf die nicht vertrauenswürdige Geräte nicht zugreifen können.
| CVE | Fehler im AOSP-Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0850 | ANDROID-26551752 | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 13. Januar 2016 |
Sicherheitslücke vom Typ „Rechteausweitung“ im Haptic-Treiber von Texas Instruments
In einem haptischen Kernel-Treiber von Texas Instruments gibt es eine Sicherheitslücke, die es einer lokalen schädlichen Anwendung ermöglicht, beliebigen Code im Kontext des Kernels auszuführen. Normalerweise würde ein solcher Fehler bei der Ausführung von Kernelcode als „Kritisch“ eingestuft. Da jedoch zuerst ein Dienst manipuliert werden muss, der den Treiber aufrufen kann, wird er stattdessen als „Hoch“ eingestuft.
| CVE | Bug (Fehler) | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-2409 | ANDROID-25981545* | Hoch | 6.0, 6.0.1 | 25. Dezember 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google-Entwicklerwebsite verfügbar sind.
Sicherheitslücke zur Rechteausweitung im Qualcomm-Video-Kernel-Treiber
In einem Qualcomm-Video-Kernel-Treiber gibt es eine Sicherheitslücke, die es einer schädlichen lokalen Anwendung ermöglicht, beliebigen Code im Kontext des Kernels auszuführen. Normalerweise würde eine Sicherheitslücke bei der Ausführung von Kernelcode als „Kritisch“ eingestuft. Da jedoch zuerst ein Dienst manipuliert werden muss, der den Treiber aufrufen kann, wird sie stattdessen als „Hoch“ eingestuft.
| CVE | Bug (Fehler) | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-2410 | ANDROID-26291677* | Hoch | 6.0, 6.0.1 | 21. Dezember 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google-Entwicklerwebsite verfügbar sind.
Sicherheitslücke vom Typ „Ausweitung von Berechtigungen“ in der Qualcomm-Komponente für die Energieverwaltung
In einem Kernel-Treiber für die Energieverwaltung von Qualcomm gibt es eine Sicherheitslücke, die es einer lokalen schädlichen Anwendung ermöglicht, beliebigen Code im Kontext des Kernels auszuführen. Normalerweise würde ein solcher Fehler bei der Ausführung von Kernelcode als „Kritisch“ eingestuft. Da das Gerät jedoch zuerst manipuliert und die Berechtigung zum Root-Zugriff erlangt werden muss, wird er stattdessen als „Hoch“ eingestuft.
| CVE | Bug (Fehler) | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-2411 | ANDROID-26866053* | Hoch | 6.0, 6.0.1 | 28. Januar 2016 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google-Entwicklerwebsite verfügbar sind.
Sicherheitslücke vom Typ „Rechteausweitung“ in System_server
Eine Sicherheitslücke vom Typ „Ausweitung von Berechtigungen“ in System_server kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext einer erhöhten Systemanwendung auszuführen. Dieses Problem hat den Schweregrad „Hoch“, da es dazu verwendet werden kann, erweiterte Funktionen zu erhalten, z. B. Berechtigungen für Signature oder SignatureOrSystem, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler im AOSP-Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-2412 | ANDROID-26593930 | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15. Januar 2016 |
Sicherheitslücke im Mediaserver, die eine Rechteausweitung ermöglicht
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Mediaserver kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext einer erhöhten Systemanwendung auszuführen. Dieses Problem hat den Schweregrad „Hoch“, da es dazu verwendet werden könnte, erweiterte Funktionen zu erhalten, z. B. Berechtigungen für Signature oder SignatureOrSystem, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler im AOSP-Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-2413 | ANDROID-26403627 | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1 | 5. Januar 2016 |
Denial-of-Service-Sicherheitslücke in Minikin
Eine Denial-of-Service-Sicherheitslücke in der Minikin-Bibliothek kann es einem lokalen Angreifer ermöglichen, den Zugriff auf ein betroffenes Gerät vorübergehend zu blockieren. Ein Angreifer könnte dazu führen, dass ein nicht vertrauenswürdiger Schriftschnitt geladen wird, was einen Überlauf in der Minikin-Komponente verursacht und zu einem Absturz führt. Dieser Fall wird als „Hoch“ eingestuft, da ein Denial-of-Service-Angriff zu einem kontinuierlichen Neustart führt.
| CVE | Fehler bei AOSP-Links | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-2414 | ANDROID-26413177 [2] | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3. November 2015 |
Sicherheitslücke bei der Offenlegung von Informationen in Exchange ActiveSync
Eine Sicherheitslücke bei der Offenlegung von Informationen in Exchange ActiveSync könnte es einer lokalen schädlichen Anwendung ermöglichen, auf die privaten Daten eines Nutzers zuzugreifen. Dieses Problem hat den Schweregrad „Hoch“, da es den Remotezugriff auf geschützte Daten ermöglicht.
| CVE | Fehler im AOSP-Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-2415 | ANDROID-26488455 | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1 | 11. Januar 2016 |
Sicherheitslücke im Mediaserver, die zur Offenlegung von Informationen führt
Eine Sicherheitslücke im Mediaserver, die zur Offenlegung von Informationen führt, könnte es ermöglichen, die Sicherheitsmaßnahmen zu umgehen, die die Ausnutzung der Plattform durch Angreifer erschweren sollen. Diese Probleme werden als „Hoch“ eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen zu erhalten, z. B. Berechtigungen für Signature oder SignatureOrSystem, auf die Drittanbieteranwendungen nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-2416 | ANDROID-27046057 [2] | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5. Februar 2016 |
| CVE-2016-2417 | ANDROID-26914474 | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1. Februar 2016 |
| CVE-2016-2418 | ANDROID-26324358 | Hoch | 6.0, 6.0.1 | 24. Dezember 2015 |
| CVE-2016-2419 | ANDROID-26323455 | Hoch | 6.0, 6.0.1 | 24. Dezember 2015 |
Sicherheitslücke vom Typ „Rechteausweitung“ in einer gedebuggten Komponente
Eine Sicherheitslücke zur Erhöhung der Berechtigungen in der Debuggerd-Komponente könnte es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code auszuführen, was zu einer dauerhaften Manipulation des Geräts führen könnte. Daher muss das Gerät möglicherweise repariert werden, indem das Betriebssystem neu geflasht wird. Normalerweise würde ein solcher Fehler bei der Codeausführung als kritisch eingestuft. Da er jedoch nur bei Android-Version 4.4.4 eine Erhöhung der Berechtigung von „System“ zu „Root“ ermöglicht, wird er stattdessen als mäßig eingestuft. In Android-Versionen 5.0 und höher verhindern SELinux-Regeln, dass Anwendungen von Drittanbietern den betroffenen Code erreichen.
| CVE | Fehler bei AOSP-Links | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-2420 | ANDROID-26403620 [2] | Moderat | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5. Januar 2016 |
Sicherheitslücke im Einrichtungsassistenten, die eine Rechteausweitung ermöglicht
Eine Sicherheitslücke im Einrichtungsassistenten könnte es einem Angreifer ermöglichen, den Schutz vor Zurücksetzen zu umgehen und Zugriff auf das Gerät zu erhalten. Dieser Fehler wird als mäßig eingestuft, da er es potenziell ermöglicht, dass jemand mit physischem Zugriff auf ein Gerät den Schutz vor Zurücksetzen auf die Werkseinstellungen umgeht. Dadurch kann ein Angreifer ein Gerät erfolgreich zurücksetzen und alle Daten löschen.
| CVE | Bug (Fehler) | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-2421 | ANDROID-26154410* | Moderat | 5.1.1, 6.0, 6.0.1 | Google Intern |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in der neuesten Binärversion für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar ist.
Sicherheitslücke bei der Rechteausweitung in WLANs
Eine Sicherheitslücke zur Erhöhung der Berechtigungen in WLANs kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext einer erhöhten Systemanwendung auszuführen. Dieses Problem wird als mäßig eingestuft, da es dazu verwendet werden könnte, erweiterte Funktionen zu erhalten, z. B. Berechtigungen für Signature oder SignatureOrSystem, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler im AOSP-Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-2422 | ANDROID-26324357 | Moderat | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23. Dezember 2015 |
Sicherheitslücke bei der Rechteausweitung in der Telefonie
Eine Sicherheitslücke in der Telefonie kann es Angreifern ermöglichen, den Schutz vor Zurücksetzen zu umgehen und Zugriff auf das Gerät zu erhalten. Dieser Fehler wird als mäßig eingestuft, da er es potenziell einem Nutzer mit physischem Zugriff auf ein Gerät ermöglicht, den Schutz vor dem Zurücksetzen auf die Werkseinstellungen zu umgehen. Dadurch kann ein Angreifer ein Gerät erfolgreich zurücksetzen und alle Daten löschen.
| CVE | Fehler im AOSP-Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-2423 | ANDROID-26303187 | Moderat | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Intern |
Denial-of-Service-Sicherheitslücke in SyncStorageEngine
Eine Denial-of-Service-Sicherheitslücke in SyncStorageEngine kann dazu führen, dass eine lokale schädliche Anwendung einen Neustart-Loop verursacht. Dieses Problem wird als mäßig eingestuft, da es zu einer vorübergehenden lokalen Dienstverweigerung führen kann, die möglicherweise durch ein Zurücksetzen auf die Werkseinstellungen behoben werden muss.
| CVE | Fehler im AOSP-Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-2424 | ANDROID-26513719 | Moderat | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Intern |
Sicherheitslücke bei der Offenlegung von Informationen in AOSP Mail
Eine Sicherheitslücke in AOSP Mail kann es einer schädlichen lokalen Anwendung ermöglichen, auf die privaten Daten eines Nutzers zuzugreifen. Dieses Problem wird als mäßig eingestuft, da es dazu verwendet werden könnte, unberechtigt „gefährliche“ Berechtigungen zu erhalten.
| CVE | Fehler mit AOSP-Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-2425 | ANDROID-26989185 | Moderat | 4.4.4, 5.1.1, 6.0, 6.0.1 | 29. Januar 2016 |
| CVE-2016-2425 | ANDROID-7154234* | Moderat | 5.0.2 | 29. Januar 2016 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in der neuesten Binärversion für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar ist.
Sicherheitslücke im Framework zur Offenlegung von Informationen
Eine Sicherheitslücke in der Framework-Komponente könnte es einer Anwendung ermöglichen, auf vertrauliche Daten zuzugreifen. Dieses Problem hat die Bewertung „Mittel“, da es dazu verwendet werden könnte, ohne Berechtigung auf Daten zuzugreifen.
| CVE | Fehler im AOSP-Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-2426 | ANDROID-26094635 | Moderat | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 8. Dezember 2015 |
Häufig gestellte Fragen und Antworten
In diesem Abschnitt werden häufige Fragen zu diesem Bulletin beantwortet.
1. Wie finde ich heraus, ob mein Gerät entsprechend aktualisiert wurde?
Diese Probleme werden durch Sicherheits-Patch-Levels vom 2. April 2016 oder höher behoben. Eine Anleitung zum Prüfen des Sicherheits-Patch-Levels finden Sie in der Nexus-Dokumentation. Gerätehersteller, die diese Updates einbinden, sollten die Patch-Stringebene auf Folgendes festlegen: [ro.build.version.security_patch]:[2016-04-02]
2. Warum ist das Sicherheitspatch-Level der 2. April 2016?
Das Sicherheitspatch-Level für das monatliche Sicherheitsupdate wird normalerweise auf den Ersten des Monats festgelegt. Ein Sicherheitspatch-Level vom 1. April 2016 für April bedeutet, dass alle in diesem Bulletin beschriebenen Probleme mit Ausnahme von CVE-2015-1805, wie in der Android-Sicherheitswarnung vom 18. März 2016 beschrieben, behoben wurden. Ein Sicherheitspatch-Level vom 2. April 2016 gibt an, dass alle in diesem Bulletin beschriebenen Probleme, einschließlich CVE-2015-1805, wie in der Android-Sicherheitswarnung vom 18. März 2016 beschrieben, behoben wurden.
Überarbeitungen
- 4. April 2016: Veröffentlichung des Bulletins.
- 6. April 2016: Das Bulletin wurde überarbeitet und enthält jetzt AOSP-Links.
- 7. April 2016: Das Bulletin wurde überarbeitet und enthält jetzt einen zusätzlichen AOSP-Link.
- 11. Juli 2016: Beschreibung von CVE-2016-2427 aktualisiert.
- 1. August 2016: Beschreibung von CVE-2016-2427 aktualisiert
- 19. Dezember 2016: CVE-2016-2427 wurde entfernt, da die Sicherheitslücke geschlossen wurde.