Google is committed to advancing racial equity for Black communities. See how.
This page was translated by the Cloud Translation API.
Switch to English

Boletim de segurança do Nexus - setembro de 2015

Publicado em 9 de setembro de 2015

Lançamos uma atualização de segurança para dispositivos Nexus por meio de uma atualização over-the-air (OTA) como parte de nosso processo de lançamento mensal do boletim de segurança do Android (Build LMY48M). As atualizações para dispositivos Nexus e patches de código-fonte para esses problemas também foram lançadas no repositório de origem Android Open Source Project (AOSP). O mais grave desses problemas é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado.

As imagens do firmware Nexus também foram lançadas no site Google Developer . Builds LMY48M ou posterior tratam desses problemas. Os parceiros foram notificados sobre esses problemas em 13 de agosto de 2015 ou antes.

Não detectamos a exploração do cliente dos problemas relatados recentemente A exceção é o problema existente (CVE-2015-3636). Consulte a seção Mitigações para obter detalhes sobre as proteções da plataforma de segurança Android e proteções de serviço como SafetyNet, que reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.

Observe que ambas as atualizações de segurança críticas (CVE-2015-3864 e CVE-2015-3686) abordam vulnerabilidades já divulgadas. Não há vulnerabilidades de segurança críticas divulgadas recentemente nesta atualização. A avaliação da gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, assumindo que a plataforma e as atenuações do serviço estão desabilitadas para fins de desenvolvimento ou se contornadas com sucesso.

Incentivamos todos os clientes a aceitar essas atualizações em seus dispositivos.

Mitigações

Este é um resumo das atenuações fornecidas pela plataforma de segurança Android e proteções de serviço, como SafetyNet. Esses recursos reduzem a probabilidade de que as vulnerabilidades de segurança possam ser exploradas com sucesso no Android.

  • A exploração de muitos problemas no Android é dificultada pelos aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
  • A equipe de segurança do Android está monitorando ativamente o abuso com Verify Apps e SafetyNet, que avisará sobre aplicativos potencialmente perigosos prestes a serem instalados. As ferramentas de rooting do dispositivo são proibidas no Google Play. Para proteger os usuários que instalam aplicativos de fora do Google Play, o Verify Apps é habilitado por padrão e avisará os usuários sobre aplicativos de root conhecidos. O Verify Apps tenta identificar e bloquear a instalação de aplicativos mal-intencionados conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará remover qualquer um desses aplicativos.
  • Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam mídia automaticamente para processos como mediaserver.

Reconhecimentos

Gostaríamos de agradecer a esses pesquisadores por suas contribuições:

  • Jordan Gruskovnjak da Exodus Intelligence (@jgrusko): CVE-2015-3864
  • Michał Bednarski: CVE-2015-3845
  • Guang Gong da Qihoo 360 Technology Co. Ltd (@oldfresher): CVE-2015-1528, CVE-2015-3849
  • Brennan Lautner: CVE-2015-3863
  • jgor (@indiecom): CVE-2015-3860
  • Wish Wu da Trend Micro Inc. (@wish_wu): CVE-2015-3861

Detalhes de vulnerabilidade de segurança

Nas seções a seguir, fornecemos detalhes para cada uma das vulnerabilidades de segurança neste boletim. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, bug associado, gravidade, versões afetadas e data relatada. Quando disponível, vinculamos a alteração do AOSP que abordou o problema ao ID do bug. Quando várias alterações estão relacionadas a um único bug, referências adicionais do AOSP são vinculadas a números após a ID do bug.

Vulnerabilidade de execução remota de código no Mediaserver

Durante o processamento de arquivos de mídia e dados de um arquivo especialmente criado, as vulnerabilidades no mediaserver podem permitir que um invasor cause corrupção de memória e execução remota de código como o processo do mediaserver.

A funcionalidade afetada é fornecida como uma parte central do sistema operacional e há vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador.

Este problema é classificado como uma gravidade crítica devido à possibilidade de execução remota de código dentro do contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não podem acessar.

Este problema está relacionado ao CVE-2015-3824 já relatado (ANDROID-20923261). A atualização de segurança original não foi suficiente para resolver uma variante desse problema relatado originalmente.

CVE Bug com links AOSP Gravidade Versões afetadas
CVE-2015-3864 ANDROID-23034759 Crítico 5.1 e abaixo

Vulnerabilidade de privilégio de elevação no kernel

Uma vulnerabilidade de elevação de privilégio no processamento de soquetes de ping pelo kernel do Linux pode permitir que um aplicativo malicioso execute código arbitrário no contexto do kernel.

Esse problema é classificado como uma gravidade Crítica devido à possibilidade de execução de código em um serviço privilegiado que pode ignorar as proteções do dispositivo, levando a um comprometimento permanente (ou seja, exigindo um novo flash da partição do sistema) em alguns dispositivos.

Este problema foi identificado publicamente pela primeira vez em 01 de maio de 2015. Uma exploração dessa vulnerabilidade foi incluída em uma série de ferramentas de “enraizamento” que podem ser usadas pelo proprietário do dispositivo para modificar o firmware em seu dispositivo.

CVE Bug (s) com links AOSP Gravidade Versões afetadas
CVE-2015-3636 ANDROID-20770158 Crítico 5.1 e abaixo

Vulnerabilidade de elevação de privilégio no fichário

Uma vulnerabilidade de elevação de privilégio no Binder pode permitir que um aplicativo malicioso execute código arbitrário no contexto do processo de outro aplicativo.

Este problema é classificado como de alta gravidade porque permite que um aplicativo malicioso obtenha privilégios não acessíveis a um aplicativo de terceiros.

CVE Bug (s) com links AOSP Gravidade Versões afetadas
CVE-2015-3845 ANDROID-17312693 Alto 5.1 e abaixo
CVE-2015-1528 ANDROID-19334482 [ 2 ] Alto 5.1 e abaixo

Vulnerabilidade de elevação de privilégio no armazenamento de chaves

Uma vulnerabilidade de elevação de privilégio no Keystore pode permitir que um aplicativo malicioso execute código arbitrário no contexto do serviço de armazenamento de chave. Isso pode permitir o uso não autorizado de chaves armazenadas pelo Keystore, incluindo chaves de hardware.

Este problema é classificado como de alta gravidade porque pode ser usado para obter privilégios não acessíveis a um aplicativo de terceiros.

CVE Bug (s) com links AOSP Gravidade Versões afetadas
CVE-2015-3863 ANDROID-22802399 Alto 5.1 e abaixo

Elevação da vulnerabilidade de privilégio na região

Uma vulnerabilidade de elevação de privilégio na região pode, por meio da criação de uma mensagem maliciosa para um serviço, permitir que um aplicativo malicioso execute código arbitrário dentro do contexto do serviço de destino.

Este problema é classificado como de alta gravidade porque pode ser usado para obter privilégios não acessíveis a um aplicativo de terceiros.

CVE Bug (s) com links AOSP Gravidade Versões afetadas
CVE-2015-3849 ANDROID-20883006 [ 2 ] Alto 5.1 e abaixo

A vulnerabilidade de elevação de privilégio no SMS permite ignorar a notificação

Uma vulnerabilidade de elevação de privilégio na maneira como o Android processa mensagens SMS pode permitir que um aplicativo malicioso envie uma mensagem SMS que ignora a notificação de aviso de SMS de tarifa premium.

Esse problema é classificado como de alta gravidade porque pode ser usado para obter privilégios não acessíveis a um aplicativo de terceiros.

CVE Bug (s) com links AOSP Gravidade Versões afetadas
CVE-2015-3858 ANDROID-22314646 Alto 5.1 e abaixo

Vulnerabilidade de elevação de privilégio na tela de bloqueio

Uma vulnerabilidade de elevação de privilégio no Lockscreen pode permitir que um usuário mal-intencionado ignore a lockscreen, causando seu travamento. Este problema é classificado como uma vulnerabilidade apenas no Android 5.0 e 5.1. Embora seja possível fazer com que a IU do sistema trave na tela de bloqueio de maneira semelhante no 4.4, a tela inicial não pode ser acessada e o dispositivo deve ser reinicializado para se recuperar.

Este problema é classificado como de gravidade moderada porque permite que alguém com acesso físico a um dispositivo instale aplicativos de terceiros sem que o proprietário do dispositivo aprove as permissões. Ele também pode permitir que o invasor visualize dados de contato, registros de telefone, mensagens SMS e outros dados que normalmente são protegidos com uma permissão de nível "perigoso".

CVE Bug (s) com links AOSP Gravidade Versões afetadas
CVE-2015-3860 ANDROID-22214934 Moderado 5.1 e 5.0

Vulnerabilidade de negação de serviço no Mediaserver

Uma vulnerabilidade de negação de serviço no mediaserver pode permitir que um invasor local bloqueie temporariamente o acesso a um dispositivo afetado.

Esse problema é classificado como de baixa gravidade porque um usuário pode reiniciar no modo de segurança para remover um aplicativo malicioso que está explorando esse problema. Também é possível fazer com que o mediaserver processe o arquivo malicioso remotamente através da web ou por MMS, nesse caso o processo do mediaserver trava e o dispositivo permanece utilizável.

CVE Bug (s) com links AOSP Gravidade Versões afetadas
CVE-2015-3861 ANDROID-21296336 Baixo 5.1 e abaixo