Pubblicato il 4 aprile 2016 | Aggiornato il 19 dicembre 2016
Abbiamo rilasciato un aggiornamento della sicurezza per i dispositivi Nexus tramite un aggiornamento over-the-air (OTA) nell'ambito della nostra procedura di rilascio mensile del Bollettino sulla sicurezza di Android. Le immagini del firmware di Nexus sono state rilasciate anche sul sito per sviluppatori Google. I livelli patch di sicurezza dal 2 aprile 2016 o versioni successive risolvono questi problemi (consulta la documentazione di Nexus per istruzioni su come controllare il livello patch di sicurezza).
I partner sono stati informati dei problemi descritti nel bollettino il 16 marzo 2016 o prima. Ove applicabile, le patch del codice sorgente per questi problemi sono state rilasciate nel repository Android Open Source Project (AOSP).
Il più grave di questi problemi è una vulnerabilità di sicurezza critica che potrebbe consentire l'esecuzione di codice remoto su un dispositivo interessato tramite diversi metodi, come email, navigazione web e MMS durante l'elaborazione di file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, supponendo che le mitigazioni della piattaforma e del servizio siano disattivate a scopo di sviluppo o se sono state aggirate.
Il Security Advisory per Android del 18 marzo 2016 ha discusso in precedenza dell'utilizzo di CVE-2015-1805 da parte di un'applicazione di rooting. Il problema CVE-2015-1805 è stato risolto in questo aggiornamento. Non sono stati segnalati casi di sfruttamento o abuso attivi da parte dei clienti degli altri problemi appena segnalati. Consulta la sezione Mitigazioni per ulteriori dettagli sulle protezioni della piattaforma di sicurezza Android e sulle protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android.
Mitigazioni
Questo è un riepilogo delle mitigazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni dei servizi come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità di sicurezza possano essere sfruttate con successo su Android.
- Lo sfruttamento di molti problemi su Android è reso più difficile dai miglioramenti nelle versioni più recenti della piattaforma Android. Invitiamo tutti gli utenti a eseguire l'aggiornamento all'ultima versione di Android, se possibile.
- Il team di Android Security monitora attivamente gli abusi con Verifica app e SafetyNet, che avvisano l'utente delle applicazioni potenzialmente dannose rilevate che stanno per essere installate. Gli strumenti per il rooting dei dispositivi sono vietati su Google Play. Per proteggere gli utenti che installano applicazioni al di fuori di Google Play, Verifica app è attiva per impostazione predefinita e avvisa gli utenti delle applicazioni di rooting note. Verifica app tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di elevazione dei privilegi. Se un'applicazione di questo tipo è già stata installata, Verifica app invierà una notifica all'utente e tenterà di rimuoverla.
- A seconda dei casi, le applicazioni Google Hangouts e Messenger non trasmettono automaticamente i contenuti multimediali a processi come mediaserver.
Ringraziamenti
Il team di Android Security vuole ringraziare questi ricercatori per il loro contributo:
- Abhishek Arya, Oliver Chang e Martin Barbella del team di sicurezza di Google Chrome: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
- Anestis Bechtsoudis (@anestisb) di CENSUS S.A.: CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
- Brad Ebinger e Santos Cordon del team di Google Telecom: CVE-2016-0847
- Dominik Schürmann dell'Institute for Operating Systems and Computer Networks, TU Braunschweig: CVE-2016-2425
- Gengjia Chen (@chengjia4574), pjf, Jianqiang Zhao (@jianqiangzhao) del laboratorio IceSword, Qihoo 360: CVE-2016-0844
- George Piskas dell' École polytechnique fédérale de Lausanne: CVE-2016-2426
- Guang Gong (龚广) (@oldfresher) di Qihoo 360 Technology Co.Ltd: CVE-2016-2412, CVE-2016-2416
- James Forshaw di Google Project Zero: CVE-2016-2417, CVE-2016-0846
- Jianqiang Zhao(@jianqiangzhao), pjf e Gengjia Chen (@chengjia4574) del laboratorio IceSword, Qihoo 360: CVE-2016-2410, CVE-2016-2411
- Jianqiang Zhao (@jianqiangzhao) e pjf di IceSword Lab, Qihoo 360: CVE-2016-2409
- Nancy Wang di Vertu Corporation LTD: CVE-2016-0837
- Nasim Zamir: CVE-2016-2409
- Nico Golde (@iamnion) di Qualcomm Product Security Initiative: CVE-2016-2420, CVE-2016-0849
- Peter Pi (@heisecode) di Trend Micro: CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
- Richard Shupak: CVE-2016-2415
- Romain Trouvé di MWR Labs: CVE-2016-0850
- Stuart Henderson: CVE-2016-2422
- Vishwath Mohan di Android Security: CVE-2016-2424
- Weichao Sun (@sunblate) di Alibaba Inc.: CVE-2016-2414
- Wish Wu (@wish_wu) di Trend Micro Inc.: CVE-2016-0843
- Yeonjoon Lee e Xiaofeng Wang dell'Indiana University Bloomington, Tongxin Li e Xinhui Han dell'Università di Pechino: CVE-2016-0848
Il team di Android Security ringrazia inoltre Yuan-Tsung Lo, Wenke Dou, Chiachih Wu (@chiachih_wu), e Xuxian Jiang del C0RE Team e di Zimperium per il loro contributo a CVE-2015-1805.
Dettagli sulla vulnerabilità di sicurezza
Le sezioni seguenti contengono i dettagli di ciascuna delle vulnerabilità di sicurezza che si applicano al livello del patch del 2 aprile 2016. Sono presenti una descrizione del problema, una motivazione della gravità e una tabella con il CVE, il bug associato, la gravità, le versioni interessate e la data di segnalazione. Se disponibile, collegheremo il commit AOSP che ha risolto il problema all'ID bug. Quando più modifiche riguardano un singolo bug, i riferimenti AOSP aggiuntivi sono collegati ai numeri che seguono l'ID bug.
Vulnerabilità di esecuzione di codice remoto in DHCPCD
Una vulnerabilità nel servizio Dynamic Host Configuration Protocol potrebbe consentire a un malintenzionato di causare una corruzione della memoria, che potrebbe portare all'esecuzione di codice remoto. Questo problema è classificato come di gravità Critica a causa della possibilità di eseguire codice remoto nel contesto del client DHCP. Il servizio DHCP ha accesso a privilegi a cui le app di terze parti non potrebbero normalmente accedere.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2014-6060 | ANDROID-15268738 | Critico | 4.4.4 | 30 luglio 2014 |
| CVE-2014-6060 | ANDROID-16677003 | Critico | 4.4.4 | 30 luglio 2014 |
| CVE-2016-1503 | ANDROID-26461634 | Critico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 gennaio 2016 |
Vulnerabilità di esecuzione di codice remoto nel codec multimediale
Durante l'elaborazione dei dati e dei file multimediali di un file appositamente creato, le vulnerabilità in un codec multimediale utilizzato da mediaserver potrebbero consentire a un malintenzionato di causare la corruzione della memoria e l'esecuzione di codice remoto come processo mediaserver.
La funzionalità interessata è fornita come parte integrante del sistema operativo e esistono più applicazioni che consentono di accedervi con contenuti remoti, in particolare MMS e riproduzione di contenuti multimediali nel browser.
Questo problema è classificato come di gravità Critica a causa della possibilità di esecuzione di codice remoto nel contesto del servizio mediaserver. Il servizio MediaServer ha accesso agli stream audio e video, nonché ai privilegi a cui normalmente non possono accedere le app di terze parti.
| CVE | Bug | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0834 | ANDROID-26220548* | Critico | 6.0, 6.0.1 | 16 dicembre 2015 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di esecuzione di codice remoto in Mediaserver
Durante l'elaborazione di file multimediali e dati di un file appositamente creato, le vulnerabilità in mediaserver potrebbero consentire a un utente malintenzionato di causare la corruzione della memoria e l'esecuzione di codice da remoto come processo mediaserver.
La funzionalità interessata è fornita come parte integrante del sistema operativo e esistono più applicazioni che consentono di accedervi con contenuti remoti, in particolare MMS e riproduzione di contenuti multimediali nel browser.
Questo problema è classificato come di gravità Critica a causa della possibilità di esecuzione di codice remoto nel contesto del servizio mediaserver. Il servizio MediaServer ha accesso agli stream audio e video, nonché ai privilegi a cui normalmente non possono accedere le app di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0835 | ANDROID-26070014 [2] | Critico | 6.0, 6.0.1 | 6 dicembre 2015 |
| CVE-2016-0836 | ANDROID-25812590 | Critico | 6.0, 6.0.1 | 19 novembre 2015 |
| CVE-2016-0837 | ANDROID-27208621 | Critico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 febbraio 2016 |
| CVE-2016-0838 | ANDROID-26366256 [2] | Critico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno Google |
| CVE-2016-0839 | ANDROID-25753245 | Critico | 6.0, 6.0.1 | Interno Google |
| CVE-2016-0840 | ANDROID-26399350 | Critico | 6.0, 6.0.1 | Interno Google |
| CVE-2016-0841 | ANDROID-26040840 | Critico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno Google |
Vulnerabilità di esecuzione di codice remoto in libstagefright
Durante l'elaborazione di file multimediali e dati di un file appositamente creato, le vulnerabilità in libstagefright potrebbero consentire a un utente malintenzionato di causare la corruzione della memoria e l'esecuzione di codice da remoto come processo mediaserver.
La funzionalità interessata è fornita come parte integrante del sistema operativo e esistono più applicazioni che consentono di accedervi con contenuti remoti, in particolare MMS e riproduzione di contenuti multimediali nel browser.
Questo problema è classificato come di gravità Critica a causa della possibilità di eseguire codice remoto nel contesto del servizio mediaserver. Il servizio MediaServer ha accesso agli stream audio e video, nonché ai privilegi a cui normalmente non possono accedere le app di terze parti.
| CVE | Bug con il link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0842 | ANDROID-25818142 | Critico | 6.0, 6.0.1 | 23 novembre 2015 |
Vulnerabilità di elevazione dei privilegi nel kernel
Una vulnerabilità di elevazione dei privilegi nel kernel potrebbe consentire a un'applicazione malintenzionata locale di eseguire codice arbitrario all'interno del kernel. Questo problema è classificato come di gravità critica a causa della possibilità di un compromesso permanente locale del dispositivo, che potrebbe dover essere riparato tramite il riflash del sistema operativo. Questo problema è descritto nell'Android Security Advisory del 18 marzo 2016.
| CVE | Bug | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-1805 | ANDROID-27275324* | Critico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 febbraio 2016 |
* La patch in AOSP è disponibile per versioni specifiche del kernel: 3.14, 3.10 e 3.4.
Vulnerabilità di elevazione dei privilegi nel modulo di prestazioni Qualcomm
Una vulnerabilità di elevazione dei privilegi nel componente Performance Event Manager per i processori ARM di Qualcomm potrebbe consentire a un'applicazione locale malintenzionata di eseguire codice arbitrario all'interno del kernel. Questo problema è classificato come di gravità critica a causa della possibilità di un compromesso permanente locale del dispositivo e potrebbe essere necessario ripararlo riflashando il sistema operativo.
| CVE | Bug | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0843 | ANDROID-25801197* | Critico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 novembre 2015 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi nel componente RF di Qualcomm
Esiste una vulnerabilità nel driver RF di Qualcomm che potrebbe consentire a un'applicazione local malintenzionata di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come di gravità critica a causa della possibilità di un compromesso permanente locale del dispositivo e potrebbe essere necessario ripararlo eseguendo il reflash del sistema operativo.
| CVE | Bug con il link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0844 | ANDROID-26324307* | Critico | 6.0, 6.0.1 | 25 dicembre 2015 |
* Un'altra patch per questo problema si trova in Linux upstream.
Vulnerabilità di elevazione dei privilegi nel kernel
Una vulnerabilità di elevazione dei privilegi nel kernel comune potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel kernel. Questo problema è classificato come di gravità critica a causa della possibilità di un compromesso permanente locale del dispositivo, che potrebbe dover essere riparato tramite il riflash del sistema operativo.
| CVE | Bug con i link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2014-9322 | ANDROID-26927260
[2]
[3] [4] [5] [6] [7] [8] [9] [10] [11] |
Critico | 6.0, 6.0.1 | 25 dicembre 2015 |
Vulnerabilità di elevazione dei privilegi nell'interfaccia nativa IMemory
Una vulnerabilità di elevazione dei privilegi nell'interfaccia nativa IMemory potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto di un'applicazione di sistema con privilegi elevati. Questo problema è classificato come di gravità Alta perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi di Signature o SignatureOrSystem, che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug con il link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0846 | ANDROID-26877992 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 gen 2016 |
Vulnerabilità di elevazione dei privilegi nel componente di telecomunicazioni
Una vulnerabilità di elevazione dei privilegi nel componente di telecomunicazioni potrebbe consentire a un malintenzionato di far apparire le chiamate come provenienti da qualsiasi numero arbitrario. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere l'accesso locale a funzionalità con privilegi elevati, come i privilegi delle autorizzazioni Signature o SignatureOrSystem, che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug con i link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0847 | ANDROID-26864502 [2] | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno Google |
Vulnerabilità di elevazione dei privilegi in Gestione dei download
Una vulnerabilità di elevazione dei privilegi in Gestione download potrebbe consentire a un malintenzionato di accedere a file non autorizzati nello spazio di archiviazione privato. Questo problema è stato classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere l'accesso locale a funzionalità con privilegi elevati, come i privilegi di autorizzazione Signature o SignatureOrSystem, che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug con il link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0848 | ANDROID-26211054 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 dicembre 2015 |
Vulnerabilità di elevazione dei privilegi nella procedura di recupero
Una vulnerabilità di elevazione dei privilegi nella procedura di recupero potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto di un'applicazione di sistema con privilegi elevati. Questo problema è classificato come di gravità Alta perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem, che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug con il link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0849 | ANDROID-26960931 | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 febbraio 2016 |
Vulnerabilità di elevazione dei privilegi nel Bluetooth
Una vulnerabilità di elevazione dei privilegi nel Bluetooth potrebbe consentire a un dispositivo non attendibile di accoppiarsi con lo smartphone durante la procedura di accoppiamento iniziale. Ciò potrebbe portare a un accesso non autorizzato alle risorse del dispositivo, ad esempio alla connessione a internet. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate non accessibili ai dispositivi non attendibili.
| CVE | Bug con il link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0850 | ANDROID-26551752 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 13 gennaio 2016 |
Vulnerabilità di elevazione dei privilegi nel driver aptico di Texas Instruments
Esiste una vulnerabilità di elevazione dei privilegi in un driver del kernel per il feedback aptico di Texas Instruments che potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. In genere, un bug di esecuzione del codice del kernel come questo viene classificato come Critico, ma poiché richiede innanzitutto di compromettere un servizio che può chiamare il driver, viene classificato come di gravità Alta.
| CVE | Bug | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2409 | ANDROID-25981545* | Alto | 6.0, 6.0.1 | 25 dicembre 2015 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi nel driver del kernel video Qualcomm
Esiste una vulnerabilità di elevazione dei privilegi in un driver del kernel video Qualcomm che potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Normalmente, una vulnerabilità di esecuzione di codice del kernel viene classificata come critica, ma poiché richiede prima di compromettere un servizio che può chiamare il driver, viene classificata come di gravità elevata.
| CVE | Bug | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2410 | ANDROID-26291677* | Alto | 6.0, 6.0.1 | 21 dicembre 2015 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi nel componente di gestione dell'alimentazione Qualcomm
Esiste una vulnerabilità di elevazione dei privilegi in un driver del kernel di gestione dell'alimentazione Qualcomm che potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Normalmente, un bug di esecuzione del codice del kernel come questo verrebbe classificato come Critico, ma poiché richiede prima di compromettere il dispositivo e di eseguire l'elevazione a root, viene invece classificato come di gravità Alta.
| CVE | Bug | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2411 | ANDROID-26866053* | Alto | 6.0, 6.0.1 | 28 gennaio 2016 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi in System_server
Una vulnerabilità di elevazione dei privilegi in System_server potrebbe consentire a un'applicazione local maligna di eseguire codice arbitrario nel contesto di un'applicazione di sistema con privilegi elevati. Questo problema è classificato come di gravità Alta perché potrebbe essere utilizzato per ottenere funzionalità elevate, ad esempio i privilegi delle autorizzazioni Signature o SignatureOrSystem, che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug con il link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2412 | ANDROID-26593930 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 gennaio 2016 |
Vulnerabilità di elevazione dei privilegi in Mediaserver
Una vulnerabilità di elevazione dei privilegi in mediaserver potrebbe consentire a un'applicazione local maligna di eseguire codice arbitrario nel contesto di un' applicazione di sistema con privilegi elevati. Questo problema è classificato come di gravità Alta perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem, che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug con il link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2413 | ANDROID-26403627 | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 gennaio 2016 |
Vulnerabilità Denial of Service in Minikin
Una vulnerabilità di denial of service nella libreria Minikin potrebbe consentire a un malintenzionato locale di bloccare temporaneamente l'accesso a un dispositivo interessato. Un malintenzionato potrebbe provocare il caricamento di un carattere non attendibile e causare un overflow nel componente Minikin, che porta a un arresto anomalo. La gravità è stata classificata come Alta perché un attacco di Denial of Service potrebbe portare a un ciclo di riavvio continuo.
| CVE | Bug con i link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2414 | ANDROID-26413177 [2] | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 novembre 2015 |
Vulnerabilità di divulgazione di informazioni in Exchange ActiveSync
Una vulnerabilità di divulgazione di informazioni in Exchange ActiveSync potrebbe consentire a un'applicazione dannosa locale di accedere alle informazioni private di un utente. Questo problema è classificato come di gravità Alta perché consente l'accesso remoto ai dati protetti.
| CVE | Bug con il link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2415 | ANDROID-26488455 | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 gennaio 2016 |
Vulnerabilità di divulgazione di informazioni in Mediaserver
Una vulnerabilità di divulgazione di informazioni in Mediaserver potrebbe consentire il aggiramento delle misure di sicurezza in atto per aumentare la difficoltà per gli attaccanti di sfruttare la piattaforma. Questi problemi sono classificati come di gravità Alta perché potrebbero anche essere utilizzati per ottenere funzionalità elevate, come i privilegi di firma o firmaOrSystem, che non sono accessibili alle applicazioni di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2416 | ANDROID-27046057 [2] | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 febbraio 2016 |
| CVE-2016-2417 | ANDROID-26914474 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1° febbraio 2016 |
| CVE-2016-2418 | ANDROID-26324358 | Alto | 6.0, 6.0.1 | 24 dicembre 2015 |
| CVE-2016-2419 | ANDROID-26323455 | Alto | 6.0, 6.0.1 | 24 dicembre 2015 |
Vulnerabilità di elevazione dei privilegi nel componente sottoposto a debug
Una vulnerabilità di elevazione dei privilegi nel componente Debuggerd potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario che potrebbe portare a una compromissione permanente del dispositivo. Di conseguenza, il dispositivo potrebbe dover essere riparato tramite il riflash del sistema operativo. Normalmente, un bug di esecuzione del codice come questo verrebbe classificato come Critico, ma poiché consente l'elevazione dei privilegi dal sistema a root solo nella versione 4.4.4 di Android, viene classificato come Intermedio. Nelle versioni di Android 5.0 e successive, le regole SELinux impediscono alle applicazioni di terze parti di raggiungere il codice interessato.
| CVE | Bug con i link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2420 | ANDROID-26403620 [2] | Moderata | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 gennaio 2016 |
Vulnerabilità di elevazione dei privilegi nella configurazione guidata
Una vulnerabilità nella configurazione guidata potrebbe consentire a un malintenzionato di aggirare la protezione del ripristino dei dati di fabbrica e ottenere l'accesso al dispositivo. La gravità è stata classificata come moderata perché potenzialmente consente a una persona con accesso fisico a un dispositivo di bypassare la Protezione ripristino dati di fabbrica, il che consentirebbe a un malintenzionato di reimpostare correttamente un dispositivo, cancellando tutti i dati.
| CVE | Bug | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2421 | ANDROID-26154410* | Moderata | 5.1.1, 6.0, 6.0.1 | Interno Google |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nell'ultima release binaria per i dispositivi Nexus disponibile sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi nel Wi-Fi
Una vulnerabilità di elevazione dei privilegi nel Wi-Fi potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto di un'applicazione di sistema con privilegi elevati. Questo problema è classificato come di gravità moderata perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem, che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug con il link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2422 | ANDROID-26324357 | Moderata | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 dicembre 2015 |
Vulnerabilità di elevazione dei privilegi nella telefonia
Una vulnerabilità nella telefonia potrebbe consentire a un malintenzionato di aggirare la protezione del ripristino dei dati di fabbrica e ottenere l'accesso al dispositivo. Questa è considerata una violazione di gravità moderata perché potenzialmente consente a un utente con accesso fisico a un dispositivo di aggirare la Protezione ripristino dati di fabbrica, il che consentirebbe a un malintenzionato di ripristinare correttamente un dispositivo, cancellando tutti i dati.
| CVE | Bug con il link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2423 | ANDROID-26303187 | Moderata | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno Google |
Vulnerabilità Denial of Service in SyncStorageEngine
Una vulnerabilità di denial of service in SyncStorageEngine potrebbe consentire a un'applicazione malevola locale di causare un ciclo di riavvio. Questo problema è classificato come di gravità moderata perché potrebbe essere utilizzato per causare un Denial of Service locale temporaneo che potrebbe dover essere risolto tramite un ripristino dei dati di fabbrica.
| CVE | Bug con il link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2424 | ANDROID-26513719 | Moderata | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno Google |
Vulnerabilità di divulgazione di informazioni in AOSP Mail
Una vulnerabilità di divulgazione di informazioni in AOSP Mail potrebbe consentire a un'applicazione dannosa locale di accedere alle informazioni private di un utente. Questo problema è classificato come di gravità moderata perché potrebbe essere utilizzato per ottenere impropriamente autorizzazioni "pericolose".
| CVE | Bug relativi al link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2425 | ANDROID-26989185 | Moderata | 4.4.4, 5.1.1, 6.0, 6.0.1 | 29 gen 2016 |
| CVE-2016-2425 | ANDROID-7154234* | Moderata | 5.0.2 | 29 gen 2016 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nell'ultima release binaria per i dispositivi Nexus disponibile sul sito per sviluppatori Google.
V vulnerabilità di divulgazione di informazioni nel framework
Una vulnerabilità di divulgazione di informazioni nel componente del framework potrebbe consentire a un'applicazione di accedere a informazioni sensibili. Questo problema è classificato come di gravità moderata perché potrebbe essere utilizzato per accedere in modo improprio ai dati senza autorizzazione.
| CVE | Bug con il link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2426 | ANDROID-26094635 | Moderata | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 8 dicembre 2015 |
Domande frequenti e risposte
Questa sezione esamina le risposte alle domande frequenti che potrebbero sorgere dopo aver letto questo bollettino.
1. Come faccio a stabilire se il mio dispositivo è aggiornato per risolvere questi problemi?
I livelli patch di sicurezza dal 2 aprile 2016 o versioni successive risolvono questi problemi (consulta la documentazione di Nexus per istruzioni su come controllare il livello patch di sicurezza). I produttori di dispositivi che includono questi aggiornamenti devono impostare il livello della stringa della patch su: [ro.build.version.security_patch]:[2016-04-02]
2. Perché questo livello patch di sicurezza è del 2 aprile 2016?
Il livello patch di sicurezza per l'aggiornamento della sicurezza mensile è normalmente impostato sul primo giorno del mese. Per aprile, un livello patch di sicurezza del 1° aprile 2016 indica che tutti i problemi descritti in questo bollettino, ad eccezione di CVE-2015-1805, come descritto nel bollettino sulla sicurezza di Android del 18 marzo 2016, sono stati risolti. Un livello patch di sicurezza del 2 aprile 2016 indica che tutti i problemi descritti in questo bollettino, incluso CVE-2015-1805, come descritto nel bollettino sulla sicurezza Android del 18 marzo 2016, sono stati risolti.
Revisioni
- 4 aprile 2016: bollettino pubblicato.
- 6 aprile 2016: bollettino rivisto per includere i link AOSP.
- 7 aprile 2016: il bollettino è stato rivisto per includere un link AOSP aggiuntivo.
- 11 luglio 2016: descrizione aggiornata di CVE-2016-2427.
- 1° agosto 2016: aggiornamento della descrizione di CVE-2016-2427
- 19 dicembre 2016: aggiornamento per la rimozione di CVE-2016-2427, che è stato ripristinato.