Pubblicato il 4 aprile 2016 | Aggiornato il 19 dicembre 2016
Abbiamo rilasciato un aggiornamento di sicurezza per i dispositivi Nexus tramite un aggiornamento over-the-air (OTA) come parte del nostro processo di rilascio mensile del bollettino sulla sicurezza di Android. Le immagini del firmware del Nexus sono state rilasciate anche sul sito degli sviluppatori di Google . I livelli delle patch di sicurezza del 2 aprile 2016 o successivi risolvono questi problemi (fare riferimento alla documentazione di Nexus per istruzioni su come controllare il livello delle patch di sicurezza).
I partner sono stati informati dei problemi descritti nel bollettino il 16 marzo 2016 o prima. Ove applicabile, le patch del codice sorgente per questi problemi sono state rilasciate nel repository Android Open Source Project (AOSP).
Il più grave di questi problemi è una vulnerabilità critica della sicurezza che potrebbe consentire l'esecuzione di codice remoto su un dispositivo interessato attraverso più metodi come e-mail, navigazione Web e MMS durante l'elaborazione di file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, presupponendo che le mitigazioni della piattaforma e del servizio siano disabilitate per scopi di sviluppo o se aggirate con successo.
L'avviso sulla sicurezza Android del 18 marzo 2016 ha già trattato l'uso di CVE-2015-1805 da parte di un'applicazione di rooting. CVE-2015-1805 è stato risolto in questo aggiornamento. Non sono stati segnalati casi di sfruttamento attivo da parte dei clienti o abuso degli altri problemi recentemente segnalati. Fare riferimento alla sezione Mitigazioni per ulteriori dettagli sulle protezioni della piattaforma di sicurezza Android e sulle protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android.
Mitigazioni
Questo è un riepilogo delle mitigazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni dei servizi come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità della sicurezza possano essere sfruttate con successo su Android.
- Lo sfruttamento di molti problemi su Android è reso più difficile dai miglioramenti apportati alle versioni più recenti della piattaforma Android. Incoraggiamo tutti gli utenti ad aggiornare all'ultima versione di Android, ove possibile.
- Il team di sicurezza Android sta monitorando attivamente eventuali abusi con Verify Apps e SafetyNet, che avviseranno l'utente in caso di applicazioni potenzialmente dannose rilevate che stanno per essere installate. Gli strumenti di rooting del dispositivo sono vietati in Google Play. Per proteggere gli utenti che installano applicazioni dall'esterno di Google Play, Verifica app è abilitato per impostazione predefinita e avviserà gli utenti delle applicazioni di rooting note. Verify Apps tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di escalation dei privilegi. Se tale applicazione è già stata installata, Verify Apps avviserà l'utente e tenterà di rimuovere tali applicazioni.
- A seconda dei casi, le applicazioni Google Hangouts e Messenger non trasmettono automaticamente i contenuti multimediali a processi come mediaserver.
Ringraziamenti
Il team di Android Security desidera ringraziare questi ricercatori per il loro contributo:
- Abhishek Arya, Oliver Chang e Martin Barbella del team di sicurezza di Google Chrome: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
- Anestis Bechtsoudis ( @anestisb ) di CENSUS SA: CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
- Brad Ebinger e Santos Cordon del team Google Telecom: CVE-2016-0847
- Dominik Schürmann dell'Istituto per i sistemi operativi e le reti di computer , TU Braunschweig: CVE-2016-2425
- Gengjia Chen ( @chengjia4574 ), pjf , Jianqiang Zhao ( @jianqiangzhao ) di IceSword Lab, Qihoo 360: CVE-2016-0844
- George Piskas dell'École polytechnique fédérale de Lausanne : CVE-2016-2426
- Guang Gong (龚广) ( @oldfresher ) di Qihoo 360 Technology Co.Ltd : CVE-2016-2412, CVE-2016-2416
- James Forshaw di Google Project Zero: CVE-2016-2417, CVE-2016-0846
- Jianqiang Zhao( @jianqiangzhao ), pjf , e Gengjia Chen ( @chengjia4574 ) di IceSword Lab, Qihoo 360: CVE-2016-2410, CVE-2016-2411
- Jianqiang Zhao ( @jianqiangzhao ) e pjf di IceSword Lab, Qihoo 360: CVE-2016-2409
- Nancy Wang di Vertu Corporation LTD: CVE-2016-0837
- Nasim Zamir : CVE-2016-2409
- Nico Golde ( @iamnion ) di Qualcomm Product Security Initiative: CVE-2016-2420, CVE-2016-0849
- Peter Pi ( @heisecode ) di Trend Micro: CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
- Richard Shupak: CVE-2016-2415
- Romain Trouvé di MWR Labs : CVE-2016-0850
- Stuart Henderson: CVE-2016-2422
- Vishwath Mohan di Sicurezza Android: CVE-2016-2424
- Weichao Sun ( @sunblate ) di Alibaba Inc.: CVE-2016-2414
- Wish Wu ( @wish_wu ) di Trend Micro Inc.: CVE-2016-0843
- Yeonjoon Lee e Xiaofeng Wang dell'Università dell'Indiana Bloomington, Tongxin Li e Xinhui Han dell'Università di Pechino: CVE-2016-0848
Il team Android Security ringrazia inoltre Yuan-Tsung Lo , Wenke Dou , Chiachih Wu ( @chiachih_wu ) e Xuxian Jiang del C0RE Team e Zimperium per il loro contributo a CVE-2015-1805.
Dettagli sulla vulnerabilità della sicurezza
Le sezioni seguenti contengono dettagli per ciascuna vulnerabilità della sicurezza che si applica al livello di patch 2016-04-02. È presente una descrizione del problema, una motivazione relativa alla gravità e una tabella con il CVE, il bug associato, la gravità, le versioni interessate e la data segnalata. Quando disponibile, collegheremo il commit AOSP che ha risolto il problema all'ID del bug. Quando più modifiche riguardano un singolo bug, ulteriori riferimenti AOSP sono collegati a numeri che seguono l'ID del bug.
Vulnerabilità legata all'esecuzione di codice in modalità remota nel DHCPCD
Una vulnerabilità nel servizio Dynamic Host Configuration Protocol potrebbe consentire a un utente malintenzionato di causare il danneggiamento della memoria, con conseguente esecuzione di codice in modalità remota. Questo problema è classificato come critico a causa della possibilità di esecuzione di codice remoto nel contesto del client DHCP. Il servizio DHCP ha accesso a privilegi a cui normalmente le app di terze parti non potrebbero accedere.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2014-6060 | ANDROID-15268738 | Critico | 4.4.4 | 30 luglio 2014 |
| CVE-2014-6060 | ANDROID-16677003 | Critico | 4.4.4 | 30 luglio 2014 |
| CVE-2016-1503 | ANDROID-26461634 | Critico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 gennaio 2016 |
Vulnerabilità legata all'esecuzione di codice in modalità remota nel codec multimediale
Durante l'elaborazione di file multimediali e dati di un file appositamente predisposto, le vulnerabilità in un codec multimediale utilizzato da mediaserver potrebbero consentire a un utente malintenzionato di causare il danneggiamento della memoria e l'esecuzione di codice remoto come processo del mediaserver.
La funzionalità interessata viene fornita come parte fondamentale del sistema operativo ed esistono diverse applicazioni che consentono di raggiungerla con contenuti remoti, in particolare MMS e riproduzione di contenuti multimediali tramite browser.
Questo problema è classificato come critico a causa della possibilità di esecuzione di codice remoto nel contesto del servizio mediaserver. Il servizio mediaserver ha accesso a flussi audio e video, nonché accesso a privilegi a cui normalmente le app di terze parti non potrebbero accedere.
| CVE | Insetto | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0834 | ANDROID-26220548* | Critico | 6.0, 6.0.1 | 16 dicembre 2015 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito degli sviluppatori di Google .
Vulnerabilità legata all'esecuzione di codice in modalità remota nel Mediaserver
Durante l'elaborazione di file multimediali e dati di un file appositamente predisposto, le vulnerabilità nel mediaserver potrebbero consentire a un utente malintenzionato di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota come processo del mediaserver.
La funzionalità interessata viene fornita come parte fondamentale del sistema operativo ed esistono diverse applicazioni che consentono di raggiungerla con contenuti remoti, in particolare MMS e riproduzione di contenuti multimediali tramite browser.
Questo problema è classificato come critico a causa della possibilità di esecuzione di codice remoto nel contesto del servizio mediaserver. Il servizio mediaserver ha accesso a flussi audio e video, nonché accesso a privilegi a cui normalmente le app di terze parti non potrebbero accedere.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0835 | ANDROID-26070014 [ 2 ] | Critico | 6.0, 6.0.1 | 6 dicembre 2015 |
| CVE-2016-0836 | ANDROID-25812590 | Critico | 6.0, 6.0.1 | 19 novembre 2015 |
| CVE-2016-0837 | ANDROID-27208621 | Critico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 febbraio 2016 |
| CVE-2016-0838 | ANDROID-26366256 [ 2 ] | Critico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno di Google |
| CVE-2016-0839 | ANDROID-25753245 | Critico | 6.0, 6.0.1 | Interno di Google |
| CVE-2016-0840 | ANDROID-26399350 | Critico | 6.0, 6.0.1 | Interno di Google |
| CVE-2016-0841 | ANDROID-26040840 | Critico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno di Google |
Vulnerabilità legata all'esecuzione di codice in modalità remota in libstagefright
Durante l'elaborazione di file multimediali e dati di un file appositamente predisposto, le vulnerabilità in libstagefright potrebbero consentire a un utente malintenzionato di causare il danneggiamento della memoria e l'esecuzione di codice remoto come processo del server multimediale.
La funzionalità interessata viene fornita come parte fondamentale del sistema operativo ed esistono diverse applicazioni che consentono di raggiungerla con contenuti remoti, in particolare MMS e riproduzione di contenuti multimediali tramite browser.
Questo problema è classificato come grave a causa della possibilità di esecuzione di codice remoto nel contesto del servizio mediaserver. Il servizio mediaserver ha accesso a flussi audio e video, nonché accesso a privilegi a cui normalmente le app di terze parti non potrebbero accedere.
| CVE | Bug con il collegamento AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0842 | ANDROID-25818142 | Critico | 6.0, 6.0.1 | 23 novembre 2015 |
Elevazione della vulnerabilità dei privilegi nel kernel
Una vulnerabilità legata all'elevazione dei privilegi nel kernel potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario all'interno del kernel. Questo problema è classificato come grave a causa della possibilità di una compromissione permanente del dispositivo locale e potrebbe essere necessario riparare il dispositivo eseguendo nuovamente il flashing del sistema operativo. Questo problema è stato descritto nell'avviso sulla sicurezza Android del 2016-03-18 .
| CVE | Insetto | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2015-1805 | ANDROID-27275324* | Critico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 febbraio 2016 |
* La patch in AOSP è disponibile per versioni specifiche del kernel: 3.14 , 3.10 e 3.4 .
Elevazione della vulnerabilità dei privilegi nel modulo Performance di Qualcomm
Una vulnerabilità legata all'elevazione dei privilegi nel componente performance event manager per i processori ARM di Qualcomm potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario all'interno del kernel. Questo problema è classificato come grave a causa della possibilità di una compromissione permanente del dispositivo locale e potrebbe essere necessario riparare il dispositivo eseguendo nuovamente il flashing del sistema operativo.
| CVE | Insetto | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0843 | ANDROID-25801197* | Critico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 novembre 2015 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito degli sviluppatori di Google .
Elevazione della vulnerabilità dei privilegi nel componente RF di Qualcomm
Esiste una vulnerabilità nel driver RF di Qualcomm che potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come grave a causa della possibilità di una compromissione permanente del dispositivo locale e potrebbe essere necessario riparare il dispositivo eseguendo nuovamente il flashing del sistema operativo.
| CVE | Bug con il collegamento AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0844 | ANDROID-26324307 * | Critico | 6.0, 6.0.1 | 25 dicembre 2015 |
*Una patch aggiuntiva per questo problema si trova nell'upstream di Linux .
Elevazione della vulnerabilità dei privilegi nel kernel
Una vulnerabilità legata all'aumento dei privilegi nel kernel comune potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel kernel. Questo problema è classificato come grave a causa della possibilità di una compromissione permanente del dispositivo locale e potrebbe essere necessario riparare il dispositivo eseguendo nuovamente il flashing del sistema operativo.
| CVE | Bug con i collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2014-9322 | ANDROID-26927260 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6] [7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] | Critico | 6.0, 6.0.1 | 25 dicembre 2015 |
Vulnerabilità dell'elevazione dei privilegi nell'interfaccia nativa IMemory
Una vulnerabilità legata all'elevazione dei privilegi nell'interfaccia nativa IMemory potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto di un'applicazione di sistema con privilegi elevati. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug con il collegamento AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0846 | ANDROID-26877992 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 gennaio 2016 |
Elevazione della vulnerabilità dei privilegi nella componente Telecom
Una vulnerabilità legata all'aumento dei privilegi nel componente Telecom potrebbe consentire a un utente malintenzionato di far sembrare che le chiamate provengano da qualsiasi numero arbitrario. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere l'accesso locale a funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug con i collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0847 | ANDROID-26864502 [ 2 ] | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno di Google |
Elevazione della vulnerabilità dei privilegi in Download Manager
Una vulnerabilità che aumenta i privilegi nel Download Manager potrebbe consentire a un utente malintenzionato di ottenere l'accesso a file non autorizzati nell'archivio privato. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere l'accesso locale a funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug con il collegamento AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0848 | ANDROID-26211054 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 dicembre 2015 |
Elevazione della vulnerabilità dei privilegi nella procedura di ripristino
Una vulnerabilità legata all'elevazione dei privilegi nella procedura di ripristino potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto di un'applicazione di sistema con privilegi elevati. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug con il collegamento AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0849 | ANDROID-26960931 | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 febbraio 2016 |
Elevazione della vulnerabilità dei privilegi in Bluetooth
Una vulnerabilità legata all'elevazione dei privilegi nel Bluetooth potrebbe consentire a un dispositivo non attendibile di accoppiarsi con il telefono durante il processo di accoppiamento iniziale. Ciò potrebbe portare ad un accesso non autorizzato alle risorse del dispositivo, come la connessione Internet. Questo problema è classificato con gravità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate non accessibili a dispositivi non attendibili.
| CVE | Bug con il collegamento AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-0850 | ANDROID-26551752 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 13 gennaio 2016 |
Elevazione della vulnerabilità dei privilegi nel driver Haptic di Texas Instruments
Esiste una vulnerabilità che aumenta i privilegi in un driver del kernel tattile di Texas Instruments che potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto del kernel. Normalmente un bug di esecuzione del codice del kernel come questo verrebbe classificato come critico, ma poiché richiede prima di compromettere un servizio che può chiamare il driver, viene invece classificato come di gravità elevata.
| CVE | Insetto | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-2409 | ANDROID-25981545* | Alto | 6.0, 6.0.1 | 25 dicembre 2015 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito degli sviluppatori di Google .
Elevazione della vulnerabilità dei privilegi nel driver del kernel video Qualcomm
Esiste una vulnerabilità che aumenta i privilegi in un driver del kernel video Qualcomm che potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto del kernel. Normalmente una vulnerabilità legata all'esecuzione del codice del kernel viene classificata come Critica, ma poiché richiede prima la compromissione di un servizio che può chiamare il driver, viene invece classificata come di gravità Alta.
| CVE | Insetto | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-2410 | ANDROID-26291677* | Alto | 6.0, 6.0.1 | 21 dicembre 2015 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito degli sviluppatori di Google .
Elevazione della vulnerabilità dei privilegi nel componente Qualcomm Power Management
Esiste una vulnerabilità che aumenta i privilegi in un driver del kernel Qualcomm Power Management che potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto del kernel. Normalmente un bug di esecuzione del codice del kernel come questo verrebbe classificato come critico, ma poiché richiede prima la compromissione del dispositivo e l'elevazione al livello root, viene invece classificato come di gravità elevata.
| CVE | Insetto | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-2411 | ANDROID-26866053* | Alto | 6.0, 6.0.1 | 28 gennaio 2016 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito degli sviluppatori di Google .
Elevazione della vulnerabilità dei privilegi in System_server
Una vulnerabilità legata all'elevazione dei privilegi in System_server potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto di un'applicazione di sistema con privilegi elevati. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug con il collegamento AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-2412 | ANDROID-26593930 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 gennaio 2016 |
Elevazione della vulnerabilità dei privilegi nel Mediaserver
Una vulnerabilità legata all'elevazione dei privilegi nel mediaserver potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto di un'applicazione di sistema con privilegi elevati. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug con il collegamento AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-2413 | ANDROID-26403627 | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 gennaio 2016 |
Vulnerabilità alla negazione del servizio in Minikin
Una vulnerabilità di tipo Denial of Service nella libreria Minikin potrebbe consentire a un utente malintenzionato locale di bloccare temporaneamente l'accesso a un dispositivo interessato. Un utente malintenzionato potrebbe causare il caricamento di un carattere non attendibile e provocare un overflow nel componente Minikin, con conseguente arresto anomalo del sistema. Questo livello di gravità è classificato come elevato poiché un attacco di tipo Denial of Service porterebbe a un ciclo di riavvio continuo.
| CVE | Bug con i collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-2414 | ANDROID-26413177 [ 2 ] | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 novembre 2015 |
Vulnerabilità nella divulgazione di informazioni in Exchange ActiveSync
Una vulnerabilità legata alla divulgazione di informazioni in Exchange ActiveSync potrebbe consentire a un'applicazione dannosa locale di accedere alle informazioni private di un utente. Questo problema è classificato come di gravità elevata perché consente l'accesso remoto ai dati protetti.
| CVE | Bug con il collegamento AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-2415 | ANDROID-26488455 | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 gennaio 2016 |
Vulnerabilità nella divulgazione di informazioni in Mediaserver
Una vulnerabilità nella divulgazione di informazioni in Mediaserver potrebbe consentire di aggirare le misure di sicurezza in atto per aumentare la difficoltà degli aggressori nello sfruttamento della piattaforma. Questi problemi sono classificati come di gravità elevata perché potrebbero essere utilizzati anche per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili ad applicazioni di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-2416 | ANDROID-27046057 [ 2 ] | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 febbraio 2016 |
| CVE-2016-2417 | ANDROID-26914474 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1 febbraio 2016 |
| CVE-2016-2418 | ANDROID-26324358 | Alto | 6.0, 6.0.1 | 24 dicembre 2015 |
| CVE-2016-2419 | ANDROID-26323455 | Alto | 6.0, 6.0.1 | 24 dicembre 2015 |
Elevazione della vulnerabilità dei privilegi nel componente debuggato
Una vulnerabilità che eleva i privilegi nel componente Debuggerd potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario che potrebbe portare a una compromissione permanente del dispositivo. Di conseguenza, potrebbe essere necessario riparare il dispositivo eseguendo nuovamente il flashing del sistema operativo. Normalmente un bug di esecuzione del codice come questo verrebbe classificato come critico, ma poiché consente un'elevazione dei privilegi dal sistema al root solo nella versione Android 4.4.4, viene invece classificato come moderato. Nelle versioni Android 5.0 e successive, le regole SELinux impediscono alle applicazioni di terze parti di raggiungere il codice interessato.
| CVE | Bug con i collegamenti AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-2420 | ANDROID-26403620 [ 2 ] | Moderare | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 gennaio 2016 |
Elevazione della vulnerabilità dei privilegi nella configurazione guidata
Una vulnerabilità nella configurazione guidata potrebbe consentire a un utente malintenzionato di ignorare la protezione dal ripristino delle impostazioni di fabbrica e ottenere l'accesso al dispositivo. Questo livello di gravità è classificato come moderato perché consente potenzialmente a qualcuno con accesso fisico a un dispositivo di ignorare la protezione del ripristino delle impostazioni di fabbrica, che consentirebbe a un utente malintenzionato di ripristinare con successo un dispositivo, cancellando tutti i dati.
| CVE | Insetto | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-2421 | ANDROID-26154410* | Moderare | 5.1.1, 6.0, 6.0.1 | Interno di Google |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nell'ultima versione binaria per i dispositivi Nexus disponibile sul sito degli sviluppatori di Google .
Elevazione della vulnerabilità dei privilegi nel Wi-Fi
Una vulnerabilità legata all'elevazione dei privilegi nel Wi-Fi potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto di un'applicazione di sistema con privilegi elevati. Questo problema è classificato con gravità moderata perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug con il collegamento AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-2422 | ANDROID-26324357 | Moderare | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 dicembre 2015 |
Elevazione della vulnerabilità dei privilegi nella telefonia
Una vulnerabilità nella telefonia potrebbe consentire a un utente malintenzionato di aggirare la protezione dal ripristino delle impostazioni di fabbrica e ottenere l'accesso al dispositivo. Questo livello di gravità è classificato come moderato perché consente potenzialmente a qualcuno con accesso fisico a un dispositivo di ignorare la protezione del ripristino delle impostazioni di fabbrica, che consentirebbe a un utente malintenzionato di ripristinare con successo un dispositivo, cancellando tutti i dati.
| CVE | Bug con il collegamento AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-2423 | ANDROID-26303187 | Moderare | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno di Google |
Vulnerabilità di tipo Denial of Service in SyncStorageEngine
Una vulnerabilità di tipo Denial of Service in SyncStorageEngine potrebbe consentire a un'applicazione dannosa locale di causare un ciclo di riavvio. Questo problema è classificato come di gravità moderata perché potrebbe essere utilizzato per causare una negazione del servizio temporanea a livello locale che potrebbe dover essere risolta tramite un ripristino delle impostazioni di fabbrica.
| CVE | Bug con il collegamento AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-2424 | ANDROID-26513719 | Moderare | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno di Google |
Vulnerabilità nella divulgazione di informazioni nella posta AOSP
Una vulnerabilità legata alla divulgazione di informazioni in AOSP Mail potrebbe consentire a un'applicazione dannosa locale di ottenere l'accesso alle informazioni private di un utente. Questo problema è classificato con gravità moderata perché potrebbe essere utilizzato per ottenere in modo improprio autorizzazioni "pericolose".
| CVE | Bug con il collegamento AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-2425 | ANDROID-26989185 | Moderare | 4.4.4, 5.1.1, 6.0, 6.0.1 | 29 gennaio 2016 |
| CVE-2016-2425 | ANDROID-7154234* | Moderare | 5.0.2 | 29 gennaio 2016 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nell'ultima versione binaria per i dispositivi Nexus disponibile sul sito degli sviluppatori di Google .
Vulnerabilità nella divulgazione di informazioni nel framework
Una vulnerabilità legata alla divulgazione di informazioni nel componente Framework potrebbe consentire a un'applicazione di accedere a informazioni riservate. Questo problema è classificato con gravità moderata perché potrebbe essere utilizzato per accedere in modo improprio ai dati senza autorizzazione.
| CVE | Bug con il collegamento AOSP | Gravità | Versioni aggiornate | Data riportata |
|---|---|---|---|---|
| CVE-2016-2426 | ANDROID-26094635 | Moderare | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 8 dicembre 2015 |
Domande e risposte comuni
In questa sezione vengono esaminate le risposte alle domande più comuni che potrebbero sorgere dopo aver letto questo bollettino.
1. Come posso determinare se il mio dispositivo è aggiornato per risolvere questi problemi?
I livelli delle patch di sicurezza del 2 aprile 2016 o successivi risolvono questi problemi (fare riferimento alla documentazione di Nexus per istruzioni su come controllare il livello delle patch di sicurezza). I produttori di dispositivi che includono questi aggiornamenti dovrebbero impostare il livello della stringa di patch su: [ro.build.version.security_patch]:[2016-04-02]
2. Perché il livello della patch di sicurezza è il 2 aprile 2016?
Il livello della patch di sicurezza per l'aggiornamento di sicurezza mensile è normalmente impostato al primo giorno del mese. Per aprile, un livello di patch di sicurezza del 1 aprile 2016 indica che tutti i problemi descritti in questo bollettino, ad eccezione di CVE-2015-1805, come descritto nell'avviso sulla sicurezza Android 2016-03-18, sono stati risolti. Un livello di patch di sicurezza del 2 aprile 2016 indica che tutti i problemi descritti in questo bollettino, incluso CVE-2015-1805, come descritto nell'avviso sulla sicurezza Android 2016-03-18, sono stati risolti.
Revisioni
- 4 aprile 2016: pubblicato il bollettino.
- 6 aprile 2016: bollettino rivisto per includere collegamenti AOSP.
- 7 aprile 2016: bollettino rivisto per includere un collegamento AOSP aggiuntivo.
- 11 luglio 2016: descrizione aggiornata di CVE-2016-2427.
- 1 agosto 2016: descrizione aggiornata di CVE-2016-2427
- 19 dicembre 2016: aggiornato per rimuovere CVE-2016-2427, che è stato ripristinato.