Google setzt sich dafür ein, die Rassengerechtigkeit für schwarze Gemeinschaften zu fördern. Siehe wie.
Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Nexus Security Bulletin - Oktober 2015

Veröffentlicht am 05. Oktober 2015 | Aktualisiert am 28. April 2016

Wir haben ein Sicherheitsupdate für Nexus-Geräte über ein OTA-Update (Over-the-Air) als Teil unseres monatlichen Release-Prozesses für das Android Security Bulletin veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht . Builds LMY48T oder höher (z. B. LMY48W) und Android M mit Sicherheits-Patch-Level vom 1. Oktober 2015 oder höher beheben diese Probleme. Anweisungen zum Überprüfen der Sicherheits-Patch-Stufe finden Sie in der Nexus-Dokumentation .

Die Partner wurden am 10. September 2015 oder früher über diese Probleme informiert. Quellcode-Patches für diese Probleme wurden im AOSP-Repository (Android Open Source Project) veröffentlicht.

Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Surfen im Internet und MMS bei der Verarbeitung von Mediendateien ermöglichen kann. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Sicherheitsanfälligkeit möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstminderungen sind für Entwicklungszwecke deaktiviert oder werden erfolgreich umgangen.

Wir haben keine Berichte über die aktive Nutzung dieser neu gemeldeten Probleme durch Kunden erhalten. Weitere Informationen zum Schutz der Android-Sicherheitsplattform und zum Schutz von Diensten wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Schadensbegrenzungen . Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.

Milderungen

Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform bereitgestellten Maßnahmen und des Schutzes von Diensten wie SafetyNet. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken unter Android erfolgreich ausgenutzt werden können.

  • Die Nutzung vieler Probleme unter Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht mit Verify Apps und SafetyNet aktiv auf Missbrauch, um vor potenziell schädlichen Anwendungen zu warnen, die installiert werden sollen. Geräte-Rooting-Tools sind in Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist "Apps überprüfen" standardmäßig aktiviert und warnt Benutzer vor bekannten Root-Anwendungen. Überprüfen Sie, ob Apps versucht, die Installation bekannter schädlicher Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitsanfälligkeit bezüglich der Eskalation von Berechtigungen ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
  • Gegebenenfalls hat Google die Hangouts- und Messenger-Anwendungen aktualisiert, sodass Medien nicht automatisch an anfällige Prozesse (z. B. Mediaserver) übergeben werden.

Danksagung

Wir möchten diesen Forschern für ihre Beiträge danken:

  • Brennan Lautner: CVE-2015-3863
  • Chiachih Wu und Xuxian Jiang vom C0RE-Team von Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
  • Yajin Zhou, Lei Wu und Xuxian Jiang vom C0RE-Team von Qihoo 360: CVE-2015-3865
  • Daniel Micay (daniel.micay@copperhead.co) bei Copperhead Security: CVE-2015-3875
  • dragonltx des Alibaba Mobile Security Teams: CVE-2015-6599
  • Ian Beer und Steven Vittitoe von Google Project Zero: CVE-2015-6604
  • Joaquín Rinaudo (@xeroxnir) und Iván Arce (@ 4Dgifts) von Programa STIC bei der Fundación Dr. Manuel Sadosky, Buenos Aires, Argentinien: CVE-2015-3870
  • Josh Drake von Zimperium: CVE-2015-3876, CVE-2015-6602
  • Jordan Gruskovnjak von Exodus Intelligence (@jgrusko): CVE-2015-3867
  • Peter Pi von Trend Micro: CVE-2015-3872, CVE-2015-3871
  • Ping Li von Qihoo 360 Technology Co. Ltd: CVE-2015-3878
  • Sieben Shen: CVE-2015-6600, CVE-2015-3847
  • Wangtao (Neobyt) vom Baidu X-Team: CVE-2015-6598
  • Wunsch Wu von Trend Micro Inc. (@wish_wu): CVE-2015-3823
  • Michael Roland vom JR-Center u'smile an der Fachhochschule Oberösterreich / Hagenberg: CVE-2015-6606

Wir möchten auch die Beiträge des Chrome-Sicherheitsteams, des Google-Sicherheitsteams, von Project Zero und anderer Personen innerhalb von Google für die Meldung mehrerer in diesem Bulletin behobener Probleme anerkennen.

Details zu Sicherheitslücken

In den folgenden Abschnitten finden Sie Details zu den Sicherheitslücken, die für die Patch-Version 2015-10-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung des Schweregrads und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den betroffenen Versionen und dem gemeldeten Datum. Sofern verfügbar, haben wir die AOSP-Änderung, mit der das Problem behoben wurde, mit der Fehler-ID verknüpft. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern verknüpft, die auf die Fehler-ID folgen.

Sicherheitslücken bei der Remotecodeausführung in libstagefright

In libstagefright gibt es Sicherheitslücken, die es einem Angreifer ermöglichen können, während der Verarbeitung von Mediendateien und Daten einer speziell gestalteten Datei Speicherbeschädigungen und die Ausführung von Remotecode im Mediaserver-Dienst zu verursachen.

Diese Probleme werden aufgrund der Möglichkeit der Remotecodeausführung als privilegierter Dienst als kritischer Schweregrad eingestuft. Die betroffenen Komponenten haben Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Anwendungen von Drittanbietern normalerweise nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen Datum der Meldung
CVE-2015-3873 ANDROID-20674086 [ 2 , 3 , 4 ] Kritisch 5.1 und darunter Google Intern
ANDROID-20674674 [ 2 , 3 , 4 ]
ANDROID-20718524
ANDROID-21048776
ANDROID-21443020
ANDROID-21814993
ANDROID-22008959
ANDROID-22077698
ANDROID-22388975
ANDROID-22845824
ANDROID-23016072
ANDROID-23247055
ANDROID-23248776
ANDROID-20721050 Kritisch 5.0 und 5.1 Google Intern
CVE-2015-3823 ANDROID-21335999 Kritisch 5.1 und darunter 20. Mai 2015
CVE-2015-6600 ANDROID-22882938 Kritisch 5.1 und darunter 31. Juli 2015
CVE-2015-6601 ANDROID-22935234 Kritisch 5.1 und darunter 3. August 2015
CVE-2015-3869 ANDROID-23036083 Kritisch 5.1 und darunter 4. August 2015
CVE-2015-3870 ANDROID-22771132 Kritisch 5.1 und darunter 5. August 2015
CVE-2015-3871 ANDROID-23031033 Kritisch 5.1 und darunter 6. August 2015
CVE-2015-3868 ANDROID-23270724 Kritisch 5.1 und darunter 6. August 2015
CVE-2015-6604 ANDROID-23129786 Kritisch 5.1 und darunter 11. August 2015
CVE-2015-3867 ANDROID-23213430 Kritisch 5.1 und darunter 14. August 2015
CVE-2015-6603 ANDROID-23227354 Kritisch 5.1 und darunter 15. August 2015
CVE-2015-3876 ANDROID-23285192 Kritisch 5.1 und darunter 15. August 2015
CVE-2015-6598 ANDROID-23306638 Kritisch 5.1 und darunter 18. August 2015
CVE-2015-3872 ANDROID-23346388 Kritisch 5.1 und darunter 19. August 2015
CVE-2015-6599 ANDROID-23416608 Kritisch 5.1 und darunter 21. August 2015

Sicherheitslücken bei der Remotecodeausführung in Sonivox

In Sonivox sind Sicherheitslücken vorhanden, die es einem Angreifer ermöglichen können, während der Verarbeitung von Mediendateien einer speziell gestalteten Datei Speicherbeschädigungen und die Ausführung von Remotecode im Mediaserver-Dienst zu verursachen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung als privilegierter Dienst als kritischer Schweregrad eingestuft. Die betroffene Komponente hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Anwendungen von Drittanbietern normalerweise nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen Datum der Meldung
CVE-2015-3874 ANDROID-23335715 Kritisch 5.1 und darunter Mehrere
ANDROID-23307276 [ 2 ]
ANDROID-23286323

Sicherheitslücken bei der Remotecodeausführung in libutils

In der Verarbeitung von Audiodateien bestehen Sicherheitslücken in libutils, einer generischen Bibliothek. Diese Sicherheitsanfälligkeiten können es einem Angreifer ermöglichen, während der Verarbeitung einer speziell gestalteten Datei Speicherbeschädigung und Remotecodeausführung in einem Dienst zu verursachen, der diese Bibliothek verwendet, z. B. Mediaserver.

Die betroffene Funktionalität wird als Anwendungs-API bereitgestellt, und es gibt mehrere Anwendungen, mit denen sie mit Remote-Inhalten erreicht werden kann, insbesondere mit MMS und der Browser-Wiedergabe von Medien. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung in einem privilegierten Dienst als kritischer Schweregrad eingestuft. Die betroffene Komponente hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen Datum der Meldung
CVE-2015-3875 ANDROID-22952485 Kritisch 5.1 und darunter 15. August 2015
CVE-2015-6602 ANDROID-23290056 [ 2 ] Kritisch 5.1 und darunter 15. August 2015

Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Skia

Bei der Verarbeitung einer speziell gestalteten Mediendatei kann eine Sicherheitsanfälligkeit in der Skia-Komponente ausgenutzt werden, die in einem privilegierten Prozess zu Speicherbeschädigung und Remotecodeausführung führen kann. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung durch mehrere Angriffsmethoden wie E-Mail, Surfen im Internet und MMS bei der Verarbeitung von Mediendateien als kritischer Schweregrad eingestuft.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen Datum der Meldung
CVE-2015-3877 ANDROID-20723696 Kritisch 5.1 und darunter 30. Juli 2015

Sicherheitslücken bei der Remotecodeausführung in libFLAC

Bei der Verarbeitung von Mediendateien liegt eine Sicherheitsanfälligkeit in libFLAC vor. Diese Sicherheitsanfälligkeiten können es einem Angreifer ermöglichen, während der Verarbeitung einer speziell gestalteten Datei eine Speicherbeschädigung und Remotecodeausführung zu verursachen.

Die betroffene Funktionalität wird als Anwendungs-API bereitgestellt, und es gibt mehrere Anwendungen, mit denen sie mit Remote-Inhalten wie der Browser-Wiedergabe von Medien erreicht werden kann. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung in einem privilegierten Dienst als kritischer Schweregrad eingestuft. Die betroffene Komponente hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen Datum der Meldung
CVE-2014-9028 ANDROID-18872897 [ 2 ] Kritisch 5.1 und darunter 14. November 2014

Erhöhung der Sicherheitsanfälligkeit in KeyStore

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der KeyStore-Komponente kann von einer böswilligen Anwendung beim Aufruf der KeyStore-APIs ausgenutzt werden. Diese Anwendung kann im Kontext von KeyStore zu Speicherbeschädigung und Ausführung von beliebigem Code führen. Dieses Problem wird als hoher Schweregrad eingestuft, da damit auf Berechtigungen zugegriffen werden kann, auf die eine Drittanbieteranwendung nicht direkt zugreifen kann.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen Datum der Meldung
CVE-2015-3863 ANDROID-22802399 Hoch 5.1 und darunter 28. Juli 2015

Erhöhung der Sicherheitsanfälligkeit in Bezug auf Berechtigungen im Media Player Framework

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Media Player-Framework-Komponente kann es einer böswilligen Anwendung ermöglichen, beliebigen Code im Kontext von mediaserver auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da eine böswillige Anwendung auf Berechtigungen zugreifen kann, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen Datum der Meldung
CVE-2015-3879 ANDROID-23223325 [2] * Hoch 5.1 und darunter 14. August 2015

* Eine zweite Änderung für dieses Problem ist nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit für Berechtigungen in Android Runtime

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in Android Runtime kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext einer Anwendung mit erhöhtem System auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da damit erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen erworben werden können, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen Datum der Meldung
CVE-2015-3865 ANDROID-23050463 [ 2 ] Hoch 5.1 und darunter 8. August 2015

Erhöhung der Sicherheitslücken in Mediaserver

In Mediaserver gibt es mehrere Sicherheitslücken, die es einer lokalen bösartigen Anwendung ermöglichen können, beliebigen Code im Kontext eines privilegierten nativen Dienstes auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da damit auf Berechtigungen zugegriffen werden kann, auf die eine Drittanbieteranwendung nicht direkt zugreifen kann.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen Datum der Meldung
CVE-2015-6596 ANDROID-20731946 Hoch 5.1 und darunter Mehrere
ANDROID-20719651 *
ANDROID-19573085 Hoch 5,0 - 6,0 Google Intern

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Bezug auf Berechtigungen im Secure Element Evaluation Kit

Eine Sicherheitsanfälligkeit im SEEK-Plugin (Secure Element Evaluation Kit, auch bekannt als SmartCard API) kann es einer Anwendung ermöglichen, erhöhte Berechtigungen zu erhalten, ohne sie anzufordern. Dieses Problem wird als hoher Schweregrad eingestuft, da damit erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen erworben werden können, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen Datum der Meldung
CVE-2015-6606 ANDROID-22301786 * Hoch 5.1 und darunter 30. Juni 2015

* Das Upgrade, mit dem dieses Problem behoben wird, befindet sich auf der SEEK for Android-Website .

Erhöhung der Sicherheitslücke in Bezug auf Privilegien bei der Medienprojektion

Durch eine Sicherheitsanfälligkeit in der Media Projection-Komponente können Benutzerdaten in Form von Bildschirmschnappschüssen angezeigt werden. Das Problem ist darauf zurückzuführen, dass das Betriebssystem zu lange Anwendungsnamen zulässt. Die Verwendung dieser langen Namen durch eine lokale schädliche Anwendung kann verhindern, dass eine Warnung zur Bildschirmaufzeichnung für den Benutzer sichtbar wird. Dieses Problem wird als mittelschwer eingestuft, da es verwendet werden kann, um nicht ordnungsgemäß erhöhte Berechtigungen zu erhalten.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen Datum der Meldung
CVE-2015-3878 ANDROID-23345192 Mäßig 5,0 - 6,0 18. August 2015

Erhöhung der Sicherheitsanfälligkeit in Bluetooth

Eine Sicherheitsanfälligkeit in der Bluetooth-Komponente von Android kann es einer Anwendung ermöglichen, gespeicherte SMS-Nachrichten zu löschen. Dieses Problem wird als mittelschwer eingestuft, da es verwendet werden kann, um nicht ordnungsgemäß erhöhte Berechtigungen zu erhalten.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen Datum der Meldung
CVE-2015-3847 ANDROID-22343270 Mäßig 5.1 und darunter 8. Juli 2015

Erhöhung der Sicherheitsanfälligkeiten in SQLite

In der SQLite-Parsing-Engine wurden mehrere Sicherheitslücken entdeckt. Diese Sicherheitsanfälligkeiten können von einer lokalen Anwendung ausgenutzt werden, wodurch eine andere Anwendung oder ein anderer Dienst beliebige SQL-Abfragen ausführen kann. Eine erfolgreiche Ausnutzung kann zu einer willkürlichen Codeausführung im Kontext der Zielanwendung führen.

Am 8. April 2015 wurde ein Fix auf AOSP Master hochgeladen, mit dem die SQLite-Version auf 3.8.9 aktualisiert wurde: https://android-review.googlesource.com/#/c/145961/

Dieses Bulletin enthält Patches für die SQLite-Versionen in Android 4.4 (SQLite 3.7.11) sowie Android 5.0 und 5.1 (SQLite 3.8.6).

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen Datum der Meldung
CVE-2015-6607 ANDROID-20099586 Mäßig 5.1 und darunter 7. April 2015
Öffentlich bekannt

Denial-of-Service-Sicherheitslücken in Mediaserver

Es gibt mehrere Sicherheitslücken im Mediaserver, die einen Denial of Service verursachen können, indem der Mediaserver-Prozess abstürzt. Diese Probleme werden als niedrig eingestuft, da der Effekt durch einen Absturz des Medienservers auftritt, der zu einem lokalen vorübergehenden Denial-of-Service führt.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen Datum der Meldung
CVE-2015-6605 ANDROID-20915134 Niedrig 5.1 und darunter Google Intern
ANDROID-23142203
ANDROID-22278703 Niedrig 5,0 - 6,0 Google Intern
CVE-2015-3862 ANDROID-22954006 Niedrig 5.1 und darunter 2. August 2015

Überarbeitungen

  • 05. Oktober 2015: Bulletin veröffentlicht.
  • 07. Oktober 2015: Bulletin mit AOSP-Referenzen aktualisiert. Die Fehlerreferenzen für CVE-2014-9028 wurden geklärt.
  • 12. Oktober 2015: Aktualisierte Bestätigungen für CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
  • 22. Januar 2016: Aktualisierte Bestätigungen für CVE-2015-6606.
  • 28. April 2016: CVE-2015-6603 hinzugefügt und Tippfehler mit CVE-2014-9028 korrigiert.