Nexus のセキュリティに関する公開情報 - 2015 年 10 月

2015 年 10 月 5 日公開 | 2016 年 4 月 28 日更新

Android のセキュリティに関する月例情報公開の一環として、Nexus デバイスに対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。また、Nexus ファームウェア イメージも Google デベロッパー サイトにリリースされています。LMY48T 以降のビルド(LMY48W など)、および Android Marshmallow(セキュリティ パッチ レベルが 2015 年 10 月 1 日以降)で以下の問題に対処しています。セキュリティ パッチ レベルを確認する方法について詳しくは、Nexus のドキュメントをご覧ください。

パートナーには以下の問題について 2015 年 9 月 10 日までに通知済みです。以下の問題に対するソースコードのパッチは、Android オープンソース プロジェクト(AOSP)レポジトリにリリースされています。

以下の問題のうち最も重大度の高いものは、多様な方法(メール、ウェブの閲覧、MMS など)により、攻撃対象のデバイスでメディア ファイルを処理する際にリモートでのコード実行が可能になるおそれのある重大なセキュリティの脆弱性です。重大度の評価は、攻撃対象の端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により無効となっていることを前提としています。

この新たに報告された問題によって実際のユーザー端末が不正使用された報告はありません。Android セキュリティ プラットフォームの保護や SafetyNet のようなサービスの保護について詳しくは、下記のリスクの軽減をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。ご利用のデバイスにこのアップデートを適用することをすべてのユーザーにおすすめします。

リスクの軽減

ここでは、Android セキュリティ プラットフォームの保護と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。

  • Android プラットフォームの最新版での機能強化により、Android 上の多くの問題について悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新バージョンの Android に更新することをおすすめしています。
  • Android セキュリティ チームは、「アプリの確認」や SafetyNet によって脆弱性の悪用を積極的に監視しています。こうした機能は、有害なおそれのあるアプリがインストールされる前に警告します。デバイスのルート権限を取得するツールは Google Play では禁止されています。Google Play 以外からアプリをインストールするユーザーを保護するため、「アプリの確認」はデフォルトで有効になっており、ルート権限を取得する既知のアプリについてユーザーに警告します。「アプリの確認」では、悪意のある既知のアプリで権限昇格の脆弱性が悪用されないように、そのようなアプリのインストールを見つけて阻止します。こうしたアプリがすでにインストールされている場合は、ユーザーに通知して、そのアプリの削除を試みます。
  • Google では必要に応じて、脆弱性のあるプロセス(メディアサーバーなど)にメディアが自動的に渡されないよう、ハングアウト アプリとメッセンジャー アプリを更新しています。

謝辞

調査にご協力くださった次の皆様方に感謝いたします(敬称略)。

  • Brennan Lautner: CVE-2015-3863
  • Qihoo 360 C0RE Team の Chiachih Wu、Xuxian Jiang: CVE-2015-3868、CVE-2015-3869、CVE-2015-3862
  • Qihoo 360 C0RE Team の Yajin Zhou、Lei Wu、Xuxian Jiang: CVE-2015-3865
  • Copperhead Security の Daniel Micay(daniel.micay@copperhead.co): CVE-2015-3875
  • Alibaba Mobile Security Team の dragonltx: CVE-2015-6599
  • Google Project Zero の Ian Beer、Steven Vittitoe: CVE-2015-6604
  • Fundación Dr. Manuel Sadosky(アルゼンチンのブエノスアイレス)Programa STIC の Joaquín Rinaudo(@xeroxnir)、Iván Arce(@4Dgifts): CVE-2015-3870
  • Zimperium の Josh Drake: CVE-2015-3876、CVE-2015-6602
  • Exodus Intelligence(@jgrusko)の Jordan Gruskovnjak: CVE-2015-3867
  • Trend Micro の Peter Pi: CVE-2015-3872、CVE-2015-3871
  • Qihoo 360 Technology Co. Ltd の Ping Li: CVE-2015-3878
  • Seven Shen: CVE-2015-6600、CVE-2015-3847
  • Baidu X-Team の Wangtao(neobyte): CVE-2015-6598
  • Trend Micro Inc. の Wish Wu(@wish_wu): CVE-2015-3823
  • オーバーエスターライヒ応用科学大学ハーゲンベルク校 JR-Center u'smile の Michael Roland: CVE-2015-6606

他にも、Chrome セキュリティ チームや、Google セキュリティ チーム、Project Zero をはじめとして、この公開情報で解決した問題を報告してくれた Google 社員の協力に感謝します。

セキュリティの脆弱性の詳細

パッチレベル 2015-10-01 に該当するセキュリティ脆弱性の各項目について、以下に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連するバグ、重大度、影響を受けるバージョン、報告日を表にまとめています。その問題に対処した AOSP の変更がある場合は、そのバグ ID にリンクを設定しています。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の AOSP リファレンスへのリンクを示します。

libstagefright でのリモートコード実行の脆弱性

libstagefright に脆弱性があり、特別に細工したメディア ファイルやデータが処理される間に、攻撃者がメディアサーバー サービスでメモリ破壊やリモートコード実行を行うおそれがあります。

特権サービスとしてリモートコード実行が可能になるため、この問題は重大と判断されています。攻撃を受けたコンポーネントは音声や動画のストリームにアクセスできる他、通常はサードパーティのアプリがアクセスできない権限にアクセスできます。

CVE バグと AOSP リンク 重大度 影響のあるバージョン 報告日
CVE-2015-3873 ANDROID-20674086 [2,3,4] 重大 5.1 以下 Google 社内
ANDROID-20674674 [2,3,4]
ANDROID-20718524
ANDROID-21048776
ANDROID-21443020
ANDROID-21814993
ANDROID-22008959
ANDROID-22077698
ANDROID-22388975
ANDROID-22845824
ANDROID-23016072
ANDROID-23247055
ANDROID-23248776
ANDROID-20721050 重大 5.0 および 5.1 Google 社内
CVE-2015-3823 ANDROID-21335999 重大 5.1 以下 2015 年 5 月 20 日
CVE-2015-6600 ANDROID-22882938 重大 5.1 以下 2015 年 7 月 31 日
CVE-2015-6601 ANDROID-22935234 重大 5.1 以下 2015 年 8 月 3 日
CVE-2015-3869 ANDROID-23036083 重大 5.1 以下 2015 年 8 月 4 日
CVE-2015-3870 ANDROID-22771132 重大 5.1 以下 2015 年 8 月 5 日
CVE-2015-3871 ANDROID-23031033 重大 5.1 以下 2015 年 8 月 6 日
CVE-2015-3868 ANDROID-23270724 重大 5.1 以下 2015 年 8 月 6 日
CVE-2015-6604 ANDROID-23129786 重大 5.1 以下 2015 年 8 月 11 日
CVE-2015-3867 ANDROID-23213430 重大 5.1 以下 2015 年 8 月 14 日
CVE-2015-6603 ANDROID-23227354 重大 5.1 以下 2015 年 8 月 15 日
CVE-2015-3876 ANDROID-23285192 重大 5.1 以下 2015 年 8 月 15 日
CVE-2015-6598 ANDROID-23306638 重大 5.1 以下 2015 年 8 月 18 日
CVE-2015-3872 ANDROID-23346388 重大 5.1 以下 2015 年 8 月 19 日
CVE-2015-6599 ANDROID-23416608 重大 5.1 以下 2015 年 8 月 21 日

Sonivox でのリモートコード実行の脆弱性

Sonivox に脆弱性があり、特別に細工したメディア ファイルが処理される間に、攻撃者がメディアサーバー サービスでメモリ破壊やリモートコード実行を行うおそれがあります。特権サービスとしてリモートコード実行が可能になるため、この問題は「重大」と判断されています。攻撃を受けたコンポーネントは音声や動画のストリームにアクセスできるほか、通常はサードパーティのアプリがアクセスできない権限にアクセスできます。

CVE バグと AOSP リンク 重大度 影響のあるバージョン 報告日
CVE-2015-3874 ANDROID-23335715 重大 5.1 以下 複数
ANDROID-23307276 [2]
ANDROID-23286323

libutils でのリモートコード実行の脆弱性

汎用ライブラリ libutils での音声ファイルの処理に脆弱性があります。攻撃者がこの脆弱性を悪用して、特別に細工したファイルが処理される間に、メディアサーバーのようなこのライブラリを使用するサービスでメモリ破壊やリモートコード実行を行うおそれがあります。

影響を受ける機能はアプリの API として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。特権サービスでリモートコード実行が可能になるため、この問題は「重大」と判断されています。攻撃を受けたコンポーネントは音声や動画のストリームにアクセスできるほか、通常はサードパーティのアプリがアクセスできない権限にアクセスできます。

CVE バグと AOSP リンク 重大度 影響のあるバージョン 報告日
CVE-2015-3875 ANDROID-22952485 重大 5.1 以下 2015 年 8 月 15 日
CVE-2015-6602 ANDROID-23290056 [2] 重大 5.1 以下 2015 年 8 月 15 日

Skia でのリモートコード実行の脆弱性

Skia コンポーネントに脆弱性があり、特別に細工されたメディア ファイルの処理中に悪用されて、特権プロセスでのメモリ破壊やリモートコード実行につながるおそれがあります。メディア ファイルの処理中に、メール、ウェブの閲覧、MMS などの複数の攻撃方法によりリモートコード実行が可能になるため、この問題の重大度は「重大」と判断されています。

CVE バグと AOSP リンク 重大度 影響のあるバージョン 報告日
CVE-2015-3877 ANDROID-20723696 重大 5.1 以下 2015 年 7 月 30 日

libFLAC でのリモートコード実行の脆弱性

libFLAC でのメディア ファイル処理に脆弱性があります。攻撃者がこの脆弱性を悪用して、特別に細工したファイルが処理される間に、メモリ破壊やリモートコード実行を行うおそれがあります。

影響を受ける機能はアプリの API として提供されており、複数のアプリにおいて、リモート コンテンツ(ブラウザでのメディアの再生など)によってこの脆弱性が攻撃されるおそれがあります。特権サービスでリモートコード実行が可能になるため、この問題は「重大」と判断されています。攻撃を受けたコンポーネントは音声や動画のストリームにアクセスできるほか、通常はサードパーティのアプリがアクセスできない権限にアクセスできます。

CVE バグと AOSP リンク 重大度 影響のあるバージョン 報告日
CVE-2014-9028 ANDROID-18872897 [2] 重大 5.1 以下 2014 年 11 月 14 日

キーストアでの権限昇格の脆弱性

キーストア コンポーネントに権限昇格の脆弱性があり、悪意のあるアプリがキーストア API に呼び出す際に悪用するおそれがあります。たとえば、キーストア内でメモリ破壊を引き起こしたり任意のコードを実行したりする可能性があります。サードパーティのアプリが直接はアクセスできない権限にアクセスできるようになるので、この問題の重大度は「高」と判断されています。

CVE バグと AOSP リンク 重大度 影響のあるバージョン 報告日
CVE-2015-3863 ANDROID-22802399 5.1 以下 2015 年 7 月 28 日

メディア プレーヤー フレームワークでの権限昇格の脆弱性

メディア プレーヤー フレームワークに権限昇格の脆弱性があり、メディアサーバーで悪意のあるアプリが勝手なコードを実行できるおそれがあります。サードパーティのアプリがアクセスできない権限に悪意のあるアプリがアクセスできるようになるので、この問題の重大度は「高」と判断されています。

CVE バグと AOSP リンク 重大度 影響のあるバージョン 報告日
CVE-2015-3879 ANDROID-23223325 [2]* 5.1 以下 2015 年 8 月 14 日

* この問題に対する 2 回目の変更は AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに含まれています。

Android Runtime での権限昇格の脆弱性

Android Runtime に権限昇格の脆弱性があり、昇格されるシステムアプリで悪意のあるローカルアプリが勝手なコードを実行できるおそれがあります。サードパーティ製アプリによるアクセスが許可されていない signature 権限や signatureOrSystem 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE バグと AOSP リンク 重大度 影響のあるバージョン 報告日
CVE-2015-3865 ANDROID-23050463 [2] 5.1 以下 2015 年 8 月 8 日

メディアサーバーでの権限昇格の脆弱性

メディアサーバーに複数の脆弱性があり、ネイティブの特権サービスで悪意のあるローカルアプリが勝手なコードを実行できるおそれがあります。サードパーティのアプリが直接はアクセスできない権限にアクセスできるようになるので、この問題の重大度は「高」と判断されています。

CVE バグと AOSP リンク 重大度 影響のあるバージョン 報告日
CVE-2015-6596 ANDROID-20731946 5.1 以下 複数
ANDROID-20719651*
ANDROID-19573085 5.0~6.0 Google 社内

* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに含まれています。

Secure Element Evaluation Kit での権限昇格の脆弱性

SEEK(Secure Element Evaluation Kit、別名 SmartCard API)プラグインに脆弱性があり、アプリがリクエストせずに権限を昇格できるおそれがあります。サードパーティ アプリによるアクセスが許可されていない signature 権限や signatureOrSystem 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE バグと AOSP リンク 重大度 影響のあるバージョン 報告日
CVE-2015-6606 ANDROID-22301786* 5.1 以下 2015 年 6 月 30 日

* この問題に対処するアップグレードは、SEEK for Android のサイトにあります。

Media Projection での権限昇格の脆弱性

Media Projection コンポーネントに脆弱性があり、画面のスナップショットの形式でユーザーデータを開示できるおそれがあります。オペレーティング システムで過度に長いアプリ名を許可しているためにこの問題が発生します。悪意のあるローカルアプリがこの長い名前を利用して、画面の記録についての警告がユーザーに表示されないようにする可能性があります。不正に権限を昇格できるようになるため、この問題の重大度は「中」と判断されています。

CVE バグと AOSP リンク 重大度 影響のあるバージョン 報告日
CVE-2015-3878 ANDROID-23345192 5.0~6.0 2015 年 8 月 18 日

Bluetooth での権限昇格の脆弱性

Android の Bluetooth コンポーネントに脆弱性があり、保存されている SMS メッセージをアプリが削除できるおそれがあります。不正に権限を昇格できるようになるため、この問題の重大度は「中」と判断されています。

CVE バグと AOSP リンク 重大度 影響のあるバージョン 報告日
CVE-2015-3847 ANDROID-22343270 5.1 以下 2015 年 7 月 8 日

SQLite での権限昇格の脆弱性

SQLite 構文解析エンジンに複数の脆弱性が発見されました。この脆弱性をローカルアプリが悪用して、別のアプリやサービスに勝手な SQL クエリを実行させるおそれがあります。悪用されると、攻撃対象のアプリで勝手なコードが実行されるおそれがあります。

2015 年 4 月 8 日に AOSP マスターに修正がアップロードされ、SQLite がバージョン 3.8.9 にアップグレードされました(https://android-review.googlesource.com/#/c/145961/)。

この公開情報には SQLite の Android 4.4 でのバージョン(SQLite 3.7.11)と Android 5.0、5.1 でのバージョン(SQLite 3.8.6)のパッチが含まれています。

CVE バグと AOSP リンク 重大度 影響のあるバージョン 報告日
CVE-2015-6607 ANDROID-20099586 5.1 以下 2015 年 4 月 7 日
公式情報

メディアサーバーでのサービス拒否の脆弱性

メディアサーバーに複数の脆弱性があり、メディアサーバー プロセスをクラッシュさせてサービス拒否を引き起こすおそれがあります。メディアサーバーをクラッシュさせてローカルで一時的にサービス拒否を引き起こすため、この問題の重大度は「低」と判断されています。

CVE バグと AOSP リンク 重大度 影響のあるバージョン 報告日
CVE-2015-6605 ANDROID-20915134 5.1 以下 Google 社内
ANDROID-23142203
ANDROID-22278703 5.0~6.0 Google 社内
CVE-2015-3862 ANDROID-22954006 5.1 以下 2015 年 8 月 2 日

改訂

  • 2015 年 10 月 5 日: 情報公開
  • 2015 年 10 月 7 日: 公開情報を更新し AOSP 参照を追加、CVE-2014-9028 のバグ参照を明記。
  • 2015 年 10 月 12 日: CVE-2015-3868、CVE-2015-3869、CVE-2015-3865、CVE-2015-3862 の謝辞を更新。
  • 2016 年 1 月 22 日: CVE-2015-6606 の謝辞を更新。
  • 2016 年 4 月 28 日: CVE-2015-6603 を追加、CVE-2014-9028 にあった誤字脱字を修正。