Google setzt sich dafür ein, die Rassengerechtigkeit für schwarze Gemeinschaften zu fördern. Siehe wie.
Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Nexus Security Bulletin - September 2015

Veröffentlicht am 9. September 2015

Wir haben ein Sicherheitsupdate für Nexus-Geräte über ein OTA-Update (Over-the-Air) im Rahmen unseres monatlichen Release-Prozesses für das Android Security Bulletin (Build LMY48M) veröffentlicht. Die Updates für Nexus-Geräte und Quellcode-Patches für diese Probleme wurden auch im AOSP-Quellrepository (Android Open Source Project) veröffentlicht. Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät ermöglichen kann.

Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht . Builds LMY48M oder höher beheben diese Probleme. Die Partner wurden am 13. August 2015 oder früher über diese Probleme informiert.

Wir haben keine Kundenausnutzung der neu gemeldeten Probleme festgestellt. Die Ausnahme ist das bestehende Problem (CVE-2015-3636). Weitere Informationen zum Schutz der Android-Sicherheitsplattform und zum Schutz von Diensten wie SafetyNet finden Sie im Abschnitt " Schadensbegrenzungen". Dadurch wird die Wahrscheinlichkeit verringert, dass Sicherheitslücken unter Android erfolgreich ausgenutzt werden können.

Bitte beachten Sie, dass beide kritischen Sicherheitsupdates (CVE-2015-3864 und CVE-2015-3686) bereits offenbarte Sicherheitslücken beheben. In diesem Update sind keine neu gemeldeten kritischen Sicherheitslücken enthalten. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Sicherheitsanfälligkeit möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstminderungen sind für Entwicklungszwecke deaktiviert oder werden erfolgreich umgangen.

Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.

Milderungen

Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform bereitgestellten Maßnahmen und des Schutzes von Diensten wie SafetyNet. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken unter Android erfolgreich ausgenutzt werden können.

  • Die Nutzung vieler Probleme unter Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht mit Verify Apps und SafetyNet aktiv auf Missbrauch, um vor potenziell schädlichen Anwendungen zu warnen, die installiert werden sollen. Geräte-Rooting-Tools sind in Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist "Apps überprüfen" standardmäßig aktiviert und warnt Benutzer vor bekannten Root-Anwendungen. Überprüfen Sie, ob Apps versucht, die Installation bekannter schädlicher Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitsanfälligkeit bezüglich der Eskalation von Berechtigungen ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
  • Gegebenenfalls übergeben Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie den Medienserver.

Danksagung

Wir möchten diesen Forschern für ihre Beiträge danken:

  • Jordan Gruskovnjak von Exodus Intelligence (@jgrusko): CVE-2015-3864
  • Michał Bednarski: CVE-2015-3845
  • Guang Gong von Qihoo 360 Technology Co. Ltd. (@oldfresher): CVE-2015-1528, CVE-2015-3849
  • Brennan Lautner: CVE-2015-3863
  • jgor (@indiecom): CVE-2015-3860
  • Wunsch Wu von Trend Micro Inc. (@wish_wu): CVE-2015-3861

Details zu Sicherheitslücken

In den folgenden Abschnitten finden Sie Details zu den einzelnen Sicherheitslücken in diesem Bulletin. Es gibt eine Beschreibung des Problems, eine Begründung des Schweregrads und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den betroffenen Versionen und dem gemeldeten Datum. Sofern verfügbar, haben wir die AOSP-Änderung, mit der das Problem behoben wurde, mit der Fehler-ID verknüpft. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern verknüpft, die auf die Fehler-ID folgen.

Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Mediaserver

Während der Verarbeitung von Mediendateien und Daten einer speziell gestalteten Datei können Sicherheitslücken im Mediaserver dazu führen, dass ein Angreifer als Mediaserver-Prozess Speicherbeschädigungen und Remotecodeausführung verursacht.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, mit denen sie mit Remote-Inhalten erreicht werden kann, insbesondere mit MMS und der Browser-Wiedergabe von Medien.

Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Dienstes als kritischer Schweregrad eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

Dieses Problem steht im Zusammenhang mit dem bereits gemeldeten CVE-2015-3824 (ANDROID-20923261). Das ursprüngliche Sicherheitsupdate reichte nicht aus, um eine Variante dieses ursprünglich gemeldeten Problems zu beheben.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen
CVE-2015-3864 ANDROID-23034759 Kritisch 5.1 und darunter

Sicherheitsanfälligkeit bezüglich Erhöhungsprivilegien im Kernel

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen bei der Behandlung von Ping-Sockets durch den Linux-Kernel kann es einer böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen.

Dieses Problem wird aufgrund der Möglichkeit der Codeausführung in einem privilegierten Dienst, der den Geräteschutz umgehen kann, als kritischer Schweregrad eingestuft. Dies kann bei einigen Geräten zu dauerhaften Kompromissen führen (dh ein erneutes Flashen der Systempartition erforderlich machen).

Dieses Problem wurde erstmals am 01. Mai 2015 öffentlich identifiziert. Ein Exploit dieser Sicherheitsanfälligkeit wurde in eine Reihe von "Rooting" -Tools aufgenommen, mit denen der Gerätebesitzer die Firmware auf seinem Gerät ändern kann.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen
CVE-2015-3636 ANDROID-20770158 Kritisch 5.1 und darunter

Erhöhung der Sicherheitsanfälligkeit in Binder

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in Binder kann es einer böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Prozesses einer anderen Anwendung auszuführen.

Dieses Problem wird als hoher Schweregrad eingestuft, da eine böswillige Anwendung Berechtigungen erhalten kann, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen
CVE-2015-3845 ANDROID-17312693 Hoch 5.1 und darunter
CVE-2015-1528 ANDROID-19334482 [ 2 ] Hoch 5.1 und darunter

Erhöhung der Sicherheitsanfälligkeit in Keystore

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in Keystore kann es einer böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Keystore-Dienstes auszuführen. Dies kann die unbefugte Verwendung von Schlüsseln ermöglichen, die von Keystore gespeichert werden, einschließlich von Hardware unterstützter Schlüssel.

Dieses Problem wird als hoher Schweregrad eingestuft, da damit Berechtigungen erworben werden können, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen
CVE-2015-3863 ANDROID-22802399 Hoch 5.1 und darunter

Erhöhung der Sicherheitslücke in der Region

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Region kann durch die Erstellung einer böswilligen Nachricht an einen Dienst einer böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Zieldienstes auszuführen.

Dieses Problem wird als hoher Schweregrad eingestuft, da damit Berechtigungen erworben werden können, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen
CVE-2015-3849 ANDROID-20883006 [ 2 ] Hoch 5.1 und darunter

Die Erhöhung der Sicherheitsanfälligkeit in SMS ermöglicht die Umgehung von Benachrichtigungen

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen bei der Verarbeitung von SMS-Nachrichten durch Android kann es einer böswilligen Anwendung ermöglichen, eine SMS-Nachricht zu senden, die die Premium-SMS-Warnmeldung umgeht.

Dieses Problem wird als hoher Schweregrad eingestuft, da damit Berechtigungen erworben werden können, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen
CVE-2015-3858 ANDROID-22314646 Hoch 5.1 und darunter

Erhöhung der Sicherheitsanfälligkeit in Sperrbildschirm

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in Lockscreen kann es einem böswilligen Benutzer ermöglichen, den Lockscreen zu umgehen, indem er zum Absturz führt. Dieses Problem wird nur unter Android 5.0 und 5.1 als Sicherheitsanfälligkeit eingestuft. Während es möglich ist, dass die System-Benutzeroberfläche in 4.4 auf ähnliche Weise vom Sperrbildschirm abstürzt, kann nicht auf den Startbildschirm zugegriffen werden, und das Gerät muss neu gestartet werden, um eine Wiederherstellung durchzuführen.

Dieses Problem wird als mittelschwer eingestuft, da möglicherweise Personen mit physischem Zugriff auf ein Gerät Apps von Drittanbietern installieren können, ohne dass der Gerätebesitzer die Berechtigungen genehmigt. Außerdem kann der Angreifer Kontaktdaten, Telefonprotokolle, SMS-Nachrichten und andere Daten anzeigen, die normalerweise mit einer Berechtigung der Stufe "gefährlich" geschützt sind.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen
CVE-2015-3860 ANDROID-22214934 Mäßig 5.1 und 5.0

Denial-of-Service-Sicherheitsanfälligkeit in Mediaserver

Eine Denial-of-Service-Sicherheitsanfälligkeit in Mediaserver kann es einem lokalen Angreifer ermöglichen, den Zugriff auf ein betroffenes Gerät vorübergehend zu blockieren.

Dieses Problem wird als niedriger Schweregrad eingestuft, da ein Benutzer im abgesicherten Modus neu starten kann, um eine schädliche Anwendung zu entfernen, die dieses Problem ausnutzt. Es ist auch möglich, den Mediaserver zu veranlassen, die schädliche Datei remote über das Web oder über MMS zu verarbeiten. In diesem Fall stürzt der Mediaserver-Prozess ab und das Gerät bleibt verwendbar.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen
CVE-2015-3861 ANDROID-21296336 Niedrig 5.1 und darunter