Pubblicato il 2 maggio 2016 | Aggiornato il 4 maggio 2016
Il Bollettino sulla sicurezza Android contiene dettagli delle vulnerabilità di sicurezza che interessano i dispositivi Android. Insieme al bollettino, abbiamo rilasciato un aggiornamento della sicurezza per i dispositivi Nexus tramite un aggiornamento over-the-air (OTA). Le immagini del firmware di Nexus sono state rilasciate anche sul sito Google Developers. I livelli delle patch di sicurezza a partire dal 1° maggio 2016 risolvono questi problemi (consulta la documentazione di Nexus per istruzioni su come controllare il livello delle patch di sicurezza).
I partner sono stati informati dei problemi descritti nel bollettino il 4 aprile 2016 o prima. Ove applicabile, le patch del codice sorgente per questi problemi sono state rilasciate nel repository Android Open Source Project (AOSP).
Il più grave di questi problemi è una vulnerabilità di sicurezza critica che potrebbe consentire l'esecuzione di codice remoto su un dispositivo interessato tramite diversi metodi, come email, navigazione web e MMS durante l'elaborazione di file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, supponendo che le mitigazioni della piattaforma e del servizio siano disattivate a scopo di sviluppo o se sono state aggirate.
Non abbiamo ricevuto segnalazioni di sfruttamento o abuso attivo da parte dei clienti di questi problemi appena segnalati. Consulta la sezione Mitigazioni per Android e i servizi Google per informazioni dettagliate sulle protezioni della piattaforma di sicurezza Android e sulle protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android.
Invitiamo tutti i clienti ad accettare questi aggiornamenti sui loro dispositivi.
Annunci
- Per riflettere un ambito più ampio, abbiamo rinominato questo bollettino (e tutti quelli successivi della serie) in Bollettino sulla sicurezza di Android. Questi bollettini coprono un insieme più ampio di vulnerabilità che potrebbero interessare i dispositivi Android, anche se non interessano i dispositivi Nexus.
- Abbiamo aggiornato le classificazioni della gravità della sicurezza di Android. Queste modifiche sono il risultato dei dati raccolti negli ultimi sei mesi sulle vulnerabilità di sicurezza segnalate e hanno lo scopo di allineare maggiormente le severità all'impatto reale sugli utenti.
Mitigazioni per Android e servizi Google
Questo è un riepilogo delle mitigazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni dei servizi come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità di sicurezza possano essere sfruttate con successo su Android.
- Lo sfruttamento di molti problemi su Android è reso più difficile dai miglioramenti nelle versioni più recenti della piattaforma Android. Invitiamo tutti gli utenti a eseguire l'aggiornamento all'ultima versione di Android, se possibile.
- Il team di sicurezza di Android monitora attivamente gli abusi con Verify Apps e SafetyNet, progettati per avvisare gli utenti di applicazioni potenzialmente dannose. Verifica app è attivata per impostazione predefinita sui dispositivi con Google Mobile Services ed è particolarmente importante per gli utenti che installano applicazioni al di fuori di Google Play. Gli strumenti di rooting del dispositivo sono vietati in Google Play, ma Verifica app avvisa gli utenti quando tentano di installare un'applicazione di rooting rilevata, indipendentemente dalla sua provenienza. Inoltre, Verifica app tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di escalation dei privilegi. Se un'applicazione di questo tipo è già stata installata, Verifica app invierà una notifica all'utente e tenterà di rimuovere l'applicazione rilevata.
- A seconda dei casi, le applicazioni Google Hangouts e Messenger non trasmettono automaticamente i contenuti multimediali a processi come mediaserver.
Ringraziamenti
Vogliamo ringraziare per il loro contributo i seguenti ricercatori:
- Abhishek Arya, Oliver Chang e Martin Barbella del team Google Chrome Security: CVE-2016-2454
- Andy Tyler (@ticarpi) di e2e-assure: CVE-2016-2457
- Chiachih Wu (@chiachih_wu) e Xuxian Jiang del team C0RE: CVE-2016-2441, CVE-2016-2442
- Dzmitry Lukyanenka ( www.linkedin.com/in/dzima): CVE-2016-2458
- Gal Beniamini: CVE-2016-2431
- Hao Chen del team Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2016-2456
- Jake Valletta di Mandiant, una società di FireEye: CVE-2016-2060
- Jianqiang Zhao (@jianqiangzhao) e pjf (weibo.com/jfpan) di IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, CVE-2016-2442, CVE-2016-2444, CVE-2016-2445, CVE-2016-2446
- Imre Rad di Search-Lab Ltd.: CVE-2016-4477
- Jeremy C. Joslin di Google: CVE-2016-2461
- Kenny Root di Google: CVE-2016-2462
- Marco Grassi (@marcograss) di KeenLab (@keen_lab), Tencent: CVE-2016-2443
- Michał Bednarski ( https://github.com/michalbednarski): CVE-2016-2440
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) e Xuxian Jiang del team C0RE: CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451, CVE-2016-2452
- Peter Pi (@heisecode) di Trend Micro: CVE-2016-2459, CVE-2016-2460
- Weichao Sun (@sunblate) di Alibaba Inc.: CVE-2016-2428, CVE-2016-2429
- Yuan-Tsung Lo, Lubo Zhang, Chiachih Wu (@chiachih_wu) e Xuxian Jiang del team C0RE: CVE-2016-2437
- Yulong Zhang e Tao (Lenx) Wei di Baidu X-Lab: CVE-2016-2439
- Zach Riggle (@ebeip90) del team di sicurezza di Android: CVE-2016-2430
Dettagli sulla vulnerabilità di sicurezza
Nelle sezioni seguenti sono riportati i dettagli di ciascuna delle vulnerabilità di sicurezza che si applicano al livello del patch del 1° maggio 2016. Sono presenti una descrizione del problema, una motivazione della gravità e una tabella con il CVE, il bug associato, la gravità, i dispositivi Nexus aggiornati, le versioni AOSP aggiornate (se applicabili) e la data di segnalazione. Se disponibile, collegheremo la modifica AOSP che ha risolto il problema all'ID bug. Quando più modifiche si riferiscono a un singolo bug, i riferimenti AOSP aggiuntivi sono collegati ai numeri che seguono l'ID bug.
Vulnerabilità di esecuzione di codice remoto in Mediaserver
Durante l'elaborazione dei dati e dei file multimediali di un file appositamente creato, una vulnerabilità in mediaserver potrebbe consentire a un utente malintenzionato di causare la corruzione della memoria e l'esecuzione di codice remoto come processo mediaserver.
La funzionalità interessata è fornita come parte integrante del sistema operativo e sono disponibili più applicazioni che consentono di accedervi con contenuti remote, tra cui MMS e riproduzione di contenuti multimediali nel browser.
Questo problema è classificato come di gravità Critica a causa della possibilità di esecuzione di codice remoto nel contesto del servizio mediaserver. Il servizio MediaServer ha accesso agli stream audio e video, nonché ai privilegi a cui normalmente non possono accedere le app di terze parti.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-2428 | 26751339 | Critico | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 gennaio 2016 |
| CVE-2016-2429 | 27211885 | Critico | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 febbraio 2016 |
Vulnerabilità di elevazione dei privilegi in Debuggerd
Una vulnerabilità di elevazione dei privilegi nel debugger Android integrato potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del debugger Android. Questo problema è classificato come di gravità critica a causa della possibilità di una compromissione permanente locale del dispositivo, che potrebbe richiedere il riflash del sistema operativo per ripararlo.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-2430 | 27299236 | Critico | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 febbraio 2016 |
Vulnerabilità di elevazione dei privilegi in Qualcomm TrustZone
Una vulnerabilità di elevazione dei privilegi nel componente Qualcomm TrustZone potrebbe consentire a un'applicazione locale dannosa sicura di eseguire codice arbitrario nel contesto del kernel TrustZone. Questo problema è classificato come di gravità critica a causa della possibilità di un compromesso permanente locale del dispositivo, che potrebbe richiedere il riflash del sistema operativo per ripararlo.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2431 | 24968809* | Critico | Nexus 5, Nexus 6, Nexus 7 (2013), Android One | 15 ottobre 2015 |
| CVE-2016-2432 | 25913059* | Critico | Nexus 6, Android One | 28 novembre 2015 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi nel driver Wi-Fi Qualcomm
Una vulnerabilità di elevazione dei privilegi nel driver Wi-Fi Qualcomm potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come di gravità critica a causa della possibilità di un'escalation dei privilegi locali e dell'esecuzione di codice arbitrario che potrebbe comportare un compromesso permanente locale del dispositivo, che potrebbe richiedere il riflash del sistema operativo per ripararlo.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-0569 | 26754117* | Critico | Nexus 5X, Nexus 7 (2013) | 23 gennaio 2016 |
| CVE-2015-0570 | 26764809* | Critico | Nexus 5X, Nexus 7 (2013) | 25 gennaio 2016 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi nel driver video NVIDIA
Una vulnerabilità di elevazione dei privilegi nel driver video NVIDIA potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come di gravità critica a causa della possibilità di un compromesso permanente locale del dispositivo, che potrebbe richiedere il riflash del sistema operativo per ripararlo.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2434 | 27251090* | Critico | Nexus 9 | 17 febbraio 2016 |
| CVE-2016-2435 | 27297988* | Critico | Nexus 9 | 20 febbraio 2016 |
| CVE-2016-2436 | 27299111* | Critico | Nexus 9 | 22 febbraio 2016 |
| CVE-2016-2437 | 27436822* | Critico | Nexus 9 | 1° marzo 2016 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi nel kernel
Una vulnerabilità di elevazione dei privilegi nel kernel potrebbe consentire a un'applicazione malevola locale di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come di gravità critica a causa della possibilità di un aumento di privilegi locale e dell'esecuzione di codice arbitrario che potrebbe portare a un compromesso permanente locale del dispositivo, che potrebbe richiedere il riflash del sistema operativo per riparare il dispositivo. Questo problema è descritto nel bollettino sulla sicurezza di Android del 18 marzo 2016.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-1805 | 27275324* | Critico | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9 | 19 febbraio 2016 |
* La patch in AOSP è disponibile per versioni specifiche del kernel: 3.14, 3.10 e 3.4.
Vulnerabilità di esecuzione di codice remoto nel kernel
Una vulnerabilità di esecuzione di codice da remoto nel sottosistema audio potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Normalmente, un bug di esecuzione del codice del kernel come questo viene classificato come critico, ma poiché richiede prima di compromettere un servizio privilegiato per chiamare il sottosistema audio, viene classificato come di gravità elevata.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2438 | 26636060* | Alto | Nexus 9 | Interno Google |
* La patch per questo problema è disponibile in Linux upstream.
Vulnerabilità di divulgazione di informazioni nel controller di tethering Qualcomm
Una vulnerabilità di divulgazione di informazioni nel controller Qualcomm Tethering potrebbe consentire a un'applicazione locale dannosa di accedere a informazioni che consentono l'identificazione personale senza i privilegi necessari. Questo problema è classificato come di gravità elevata perché può essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem, che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2060 | 27942588* | Alto | Nessuno | 23 marzo 2016 |
* La patch per questo problema non è in AOSP. L'aggiornamento dovrebbe essere contenuto nei driver più recenti dei dispositivi interessati.
Vulnerabilità di esecuzione di codice remoto nel Bluetooth
Durante l'accoppiamento di un dispositivo Bluetooth, una vulnerabilità nel Bluetooth potrebbe consentire a un malintenzionato nelle vicinanze di eseguire codice arbitrario durante la procedura di accoppiamento. Questo problema è classificato come di gravità Alta a causa della possibilità di esecuzione di codice remoto durante l'inizializzazione di un dispositivo Bluetooth.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-2439 | 27411268 | Alto | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 febbraio 2016 |
Vulnerabilità di elevazione dei privilegi in Binder
Una vulnerabilità di elevazione dei privilegi in Binder potrebbe consentire a un'applicazione localmente dannosa di eseguire codice arbitrario nel contesto del processo di un'altra app. Durante lo svuotamento della memoria, una vulnerabilità in Binder potrebbe consentire a un malintenzionato di causare l'esecuzione di codice locale. Questo problema è classificato come di gravità elevata a causa della possibilità di esecuzione di codice locale durante il processo di svuotamento della memoria nel Binder.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-2440 | 27252896 | Alto | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 18 febbraio 2016 |
Vulnerabilità di elevazione dei privilegi nel driver Buspm di Qualcomm
Una vulnerabilità di elevazione dei privilegi nel driver buspm di Qualcomm potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. In genere, un bug di esecuzione del codice del kernel come questo viene classificato come Critico, ma poiché richiede innanzitutto la compromissione di un servizio che può chiamare il driver, viene classificato come di gravità Alta.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2441 | 26354602* | Alto | Nexus 5X, Nexus 6, Nexus 6P | 30 dicembre 2015 |
| CVE-2016-2442 | 26494907* | Alto | Nexus 5X, Nexus 6, Nexus 6P | 30 dicembre 2015 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi nel driver MDP di Qualcomm
Una vulnerabilità di elevazione dei privilegi nel driver MDP di Qualcomm potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. In genere, un bug di esecuzione del codice del kernel come questo viene classificato come Grave, ma poiché richiede innanzitutto la compromissione di un servizio che può chiamare il driver, viene classificato come di gravità Alta.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2443 | 26404525* | Alto | Nexus 5, Nexus 7 (2013) | 5 gennaio 2016 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi nel driver Wi-Fi Qualcomm
Una vulnerabilità di elevazione dei privilegi nel componente Wi-Fi di Qualcomm potrebbe consentire a un'applicazione locale dannosa di richiamare chiamate di sistema modificando le impostazioni e il comportamento del dispositivo senza disporre dei privilegi necessari. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere l'accesso locale a funzionalità con privilegi elevati, come i privilegi di autorizzazione Signature o SignatureOrSystem, che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-0571 | 26763920* | Alto | Nexus 5X, Nexus 7 (2013) | 25 gennaio 2016 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi nel driver video NVIDIA
Una vulnerabilità di elevazione dei privilegi nel driver multimediale NVIDIA potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. In genere, un bug di esecuzione del codice del kernel come questo viene classificato come Grave, ma poiché richiede innanzitutto la compromissione di un servizio con privilegi elevati per chiamare il driver, viene classificato come di gravità Alta.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2444 | 27208332* | Alto | Nexus 9 | 16 febbraio 2016 |
| CVE-2016-2445 | 27253079* | Alto | Nexus 9 | 17 febbraio 2016 |
| CVE-2016-2446 | 27441354* | Alto | Nexus 9 | 1° marzo 2016 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi nel Wi-Fi
Una vulnerabilità di elevazione dei privilegi nel Wi-Fi potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto di un'applicazione di sistema con privilegi elevati. Questo problema è classificato come di gravità Alta perché potrebbe essere utilizzato anche per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem, che non sono accessibili alle applicazioni di terze parti.
Nota:il numero CVE è stato aggiornato, su richiesta di MITRE, da CVE-2016-2447 a CVE-2016-4477.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-4477 | 27371366 [2] | Alto | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 febbraio 2016 |
Vulnerabilità di elevazione dei privilegi in Mediaserver
Una vulnerabilità di elevazione dei privilegi in mediaserver potrebbe consentire a un'applicazione local maligna di eseguire codice arbitrario nel contesto di un' applicazione di sistema con privilegi elevati. Questo problema è classificato come di gravità Alta perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem, che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-2448 | 27533704 | Alto | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 marzo 2016 |
| CVE-2016-2449 | 27568958 | Alto | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 marzo 2016 |
| CVE-2016-2450 | 27569635 | Alto | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 marzo 2016 |
| CVE-2016-2451 | 27597103 | Alto | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 marzo 2016 |
| CVE-2016-2452 | 27662364 [2] [3] | Alto | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 marzo 2016 |
Vulnerabilità di elevazione dei privilegi nel driver Wi-Fi MediaTek
Una vulnerabilità di elevazione dei privilegi nel driver Wi-Fi MediaTek potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. In genere, un bug di esecuzione del codice del kernel come questo viene classificato come Critico, ma poiché richiede innanzitutto la compromissione di un servizio che può chiamare il driver, viene classificato come di gravità Alta.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2453 | 27549705* | Alto | Android One | 8 marzo 2016 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di Denial-of-Service remoto nel codec hardware Qualcomm
Durante l'elaborazione di file multimediali e dati di un file appositamente creato, una vulnerabilità di denial of service da remoto nel codec video hardware Qualcomm potrebbe consentire a un malintenzionato remoto di bloccare l'accesso a un dispositivo interessato provocandone il riavvio. Questa è classificata come di gravità Alta a causa della possibilità di un denial of service remoto.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2454 | 26221024* | Alto | Nexus 5 | 16 dicembre 2015 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi in Conscrypt
Una vulnerabilità di elevazione dei privilegi in Conscrypt potrebbe consentire a un'applicazione locale di ritenere che un messaggio sia stato autenticato quando non lo è. Questo problema è classificato come di gravità moderata perché richiede passaggi coordinati su più dispositivi.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-2461 | 27324690 [2] | Moderata | Tutti i Nexus | 6.0, 6.0.1 | Interno Google |
| CVE-2016-2462 | 27371173 | Moderata | Tutti i Nexus | 6.0, 6.0.1 | Interno Google |
Vulnerabilità di elevazione dei privilegi in OpenSSL e BoringSSL
Una vulnerabilità di elevazione dei privilegi in OpenSSL e BoringSSL potrebbe consentire a un'applicazione locale dannosa di accedere ai dati al di fuori dei suoi livelli di autorizzazione. Normalmente, questa opzione avrebbe una classificazione Alta, ma poiché richiede una configurazione manuale insolita, è classificata come di gravità Media.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-0705 | 27449871 | Moderata | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 febbraio 2016 |
Vulnerabilità di elevazione dei privilegi nel driver Wi-Fi MediaTek
Una vulnerabilità di elevazione dei privilegi nel driver Wi-Fi MediaTek potrebbe consentire a un'applicazione locale dannosa di causare un denial of service. Normalmente un bug di elevazione dei privilegi come questo viene classificato come Alto, ma poiché richiede prima di compromettere un servizio di sistema, viene classificato come di gravità moderata.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2456 | 27275187* | Moderata | Android One | 19 febbraio 2016 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi nel Wi-Fi
Una vulnerabilità di elevazione dei privilegi nella rete Wi-Fi potrebbe consentire a un account ospite di modificare le impostazioni Wi-Fi permanenti per l'utente principale. Questo problema è stato classificato come di gravità moderata perché consente l'accesso locale a funzionalità " pericolose" senza autorizzazione.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-2457 | 27411179 | Moderata | Tutti i Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 febbraio 2016 |
Vulnerabilità di divulgazione di informazioni in AOSP Mail
Una vulnerabilità di divulgazione di informazioni in AOSP Mail potrebbe consentire a un'applicazione dannosa locale di accedere alle informazioni private dell'utente. Questo problema è stato valutato come di gravità moderata perché potrebbe essere utilizzato per accedere in modo improprio ai dati senza autorizzazione.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-2458 | 27335139 [2] | Moderata | Tutti i Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 febbraio 2016 |
Vulnerabilità di divulgazione di informazioni in Mediaserver
Una vulnerabilità di divulgazione di informazioni in Mediaserver potrebbe consentire a un'applicazione di accedere a informazioni sensibili. Questo problema è classificato come di gravità moderata perché potrebbe essere utilizzato per accedere in modo improprio ai dati senza autorizzazione.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-2459 | 27556038 | Moderata | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 marzo 2016 |
| CVE-2016-2460 | 27555981 | Moderata | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 marzo 2016 |
Vulnerabilità Denial of Service nel kernel
Una vulnerabilità di denial of service nel kernel potrebbe consentire a un'applicazione localmente dannosa di causare il riavvio di un dispositivo. Questo problema è classificato come di gravità Bassa perché l'effetto è un'interruzione temporanea del servizio.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0774 | 27721803* | Bassa | Tutti i Nexus | 17 marzo 2016 |
* La patch per questo problema è disponibile in Linux upstream.
Domande frequenti e risposte
Questa sezione esamina le risposte alle domande frequenti che potrebbero sorgere dopo aver letto questo bollettino.
1. Come faccio a stabilire se il mio dispositivo è aggiornato per risolvere questi problemi?
I livelli delle patch di sicurezza a partire dal 1° maggio 2016 risolvono questi problemi (consulta la documentazione di Nexus per istruzioni su come controllare il livello delle patch di sicurezza). I produttori di dispositivi che includono questi aggiornamenti devono impostare il livello della stringa della patch su: [ro.build.version.security_patch]:[2016-05-01]
2. Come faccio a stabilire quali dispositivi Nexus sono interessati da ogni problema?
Nella sezione Dettagli sulla vulnerabilità di sicurezza, ogni tabella contiene una colonna Dispositivi Nexus aggiornati che copre l'intervallo di dispositivi Nexus interessati aggiornati per ogni problema. Questa colonna offre alcune opzioni:
- Tutti i dispositivi Nexus: se un problema riguarda tutti i dispositivi Nexus, nella colonna Dispositivi Nexus aggiornati sarà presente la dicitura Tutti i Nexus. Tutti i Nexus racchiudono i seguenti dispositivi supportati: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player e Pixel C.
- Alcuni dispositivi Nexus: se un problema non riguarda tutti i dispositivi Nexus, quelli interessati sono elencati nella colonna Dispositivi Nexus aggiornati.
- Nessun dispositivo Nexus: se nessun dispositivo Nexus è interessato dal problema, nella colonna Dispositivi Nexus aggiornati della tabella sarà presente il valore "Nessun dispositivo".
3. Perché CVE-2015-1805 è incluso in questo bollettino?
CVE-2015-1805 è inclusa in questo bollettino perché l' Avviso sulla sicurezza di Android del 18 marzo 2016 è stato pubblicato molto vicino alla pubblicazione del bollettino di aprile. A causa delle tempistiche strette, ai produttori di dispositivi è stata data la possibilità di implementare le correzioni del Bollettino sulla sicurezza di Nexus di aprile 2016, senza la correzione per CVE-2015-1805, se utilizzavano il livello della patch di sicurezza del 1° aprile 2016. È incluso di nuovo in questo bollettino perché deve essere corretto per poter utilizzare il livello patch di sicurezza dell'1° maggio 2016.
Revisioni
- 2 maggio 2016: bollettino pubblicato.
- 4 maggio 2016:
- Bollettino rivisto per includere i link AOSP.
- Elenco di tutti i dispositivi Nexus aggiornato per includere Nexus Player e Pixel C.
- CVE-2016-2447 aggiornato a CVE-2016-4477, in base alla richiesta di MITRE.