Google si impegna a promuovere l'equità razziale per le comunità nere. Vedi come.
Questa pagina è stata tradotta dall'API Cloud Translation.
Switch to English

Bollettino sulla sicurezza del Nexus - ottobre 2015

Pubblicato il 05 ottobre 2015 | Aggiornato il 28 aprile 2016

Abbiamo rilasciato un aggiornamento di sicurezza per i dispositivi Nexus attraverso un aggiornamento over-the-air (OTA) come parte del nostro processo di rilascio mensile del bollettino sulla sicurezza di Android. Le immagini del firmware Nexus sono state anche rilasciate sul sito per sviluppatori Google . Le versioni LMY48T o successive (come LMY48W) e Android M con livello di patch di sicurezza del 1 ° ottobre 2015 o successive risolvono questi problemi. Consulta la documentazione di Nexus per istruzioni su come controllare il livello della patch di sicurezza.

I partner sono stati informati di questi problemi il 10 settembre 2015 o prima. Patch di codice sorgente per questi problemi sono state rilasciate nel repository AOSP (Android Open Source Project).

Il più grave di questi problemi è una vulnerabilità di sicurezza critica che potrebbe consentire l'esecuzione di codice in modalità remota su un dispositivo interessato attraverso più metodi come e-mail, navigazione Web e MMS durante l'elaborazione dei file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, presupponendo che le mitigazioni della piattaforma e del servizio siano disabilitate a fini di sviluppo o se vengano aggirate correttamente.

Non abbiamo avuto notizie di sfruttamento attivo da parte dei clienti di questi problemi appena segnalati. Fare riferimento alla sezione Mitigazioni per i dettagli sulle protezioni della piattaforma di sicurezza Android e le protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android. Incoraggiamo tutti i clienti ad accettare questi aggiornamenti per i loro dispositivi.

Fattori attenuanti

Questo è un riepilogo delle mitigazioni fornite dalla piattaforma di sicurezza Android e delle protezioni del servizio come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità di sicurezza possano essere sfruttate con successo su Android.

  • Lo sfruttamento per molti problemi su Android è reso più difficile dai miglioramenti nelle nuove versioni della piattaforma Android. Incoraggiamo tutti gli utenti ad aggiornare all'ultima versione di Android ove possibile.
  • Il team di sicurezza di Android sta monitorando attivamente gli abusi con Verify Apps e SafetyNet, che avvertirà che potrebbero essere installate applicazioni potenzialmente dannose. Gli strumenti di rooting dei dispositivi sono vietati in Google Play. Per proteggere gli utenti che installano applicazioni all'esterno di Google Play, Verifica app è abilitato per impostazione predefinita e avvisa gli utenti delle applicazioni di rooting note. Verifica App tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di escalation di privilegi. Se tale applicazione è già stata installata, Verifica App avviserà l'utente e tenterà di rimuovere tali applicazioni.
  • Se del caso, Google ha aggiornato le applicazioni di Hangouts e Messenger in modo che i media non vengano automaticamente passati a processi vulnerabili (come mediaserver).

Ringraziamenti

Vorremmo ringraziare questi ricercatori per il loro contributo:

  • Brennan Lautner: CVE-2015-3863
  • Chiachih Wu e Xuxian Jiang del team C0RE di Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
  • Yajin Zhou, Lei Wu e Xuxian Jiang del team C0RE di Qihoo 360: CVE-2015-3865
  • Daniel Micay (daniel.micay@copperhead.co) presso Copperhead Security: CVE-2015-3875
  • dragonltx del team di sicurezza mobile Alibaba: CVE-2015-6599
  • Ian Beer e Steven Vittitoe di Google Project Zero: CVE-2015-6604
  • Joaquín Rinaudo (@xeroxnir) e Iván Arce (@ 4Dgifts) di Programa STIC presso Fundación Dr. Manuel Sadosky, Buenos Aires Argentina: CVE-2015-3870
  • Josh Drake di Zimperium: CVE-2015-3876, CVE-2015-6602
  • Jordan Gruskovnjak di Exodus Intelligence (@jgrusko): CVE-2015-3867
  • Peter Pi di Trend Micro: CVE-2015-3872, CVE-2015-3871
  • Ping Li di Qihoo 360 Technology Co. Ltd: CVE-2015-3878
  • Seven Shen: CVE-2015-6600, CVE-2015-3847
  • Wangtao (neobita) di Baidu X-Team: CVE-2015-6598
  • Desideri Wu di Trend Micro Inc. (@wish_wu): CVE-2015-3823
  • Michael Roland del JR-Center u'smile all'Università di scienze applicate, Alta Austria / Hagenberg: CVE-2015-6606

Desideriamo inoltre riconoscere i contributi del team di sicurezza di Chrome, del team di sicurezza di Google, del progetto Zero e di altre persone all'interno di Google per aver segnalato diversi problemi risolti in questo bollettino.

Dettagli sulla vulnerabilità della sicurezza

Nelle sezioni seguenti, forniamo i dettagli per ciascuna delle vulnerabilità di sicurezza che si applicano al livello di patch 2015-10-01. Esiste una descrizione del problema, una logica di gravità e una tabella con CVE, bug associato, gravità, versioni interessate e data riportata. Laddove disponibile, abbiamo collegato la modifica AOSP che ha risolto il problema con l'ID bug. Quando più modifiche si riferiscono a un singolo bug, ulteriori riferimenti AOSP sono collegati ai numeri che seguono l'ID bug.

Vulnerabilità legate all'esecuzione di codice in modalità remota in libstagefright

Esistono vulnerabilità in libstagefright che potrebbero consentire a un utente malintenzionato, durante l'elaborazione di file multimediali e dati di un file appositamente predisposto, di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota nel servizio mediaserver.

Questi problemi sono classificati come gravità critica a causa della possibilità di esecuzione di codice in remoto come servizio privilegiato. I componenti interessati hanno accesso a flussi audio e video e accesso a privilegi a cui le applicazioni di terze parti non possono normalmente accedere.

CVE Bug (s) con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3873 ANDROID-20674086 [ 2 , 3 , 4 ] critico 5.1 e precedenti Google interno
ANDROID-20674674 [ 2 , 3 , 4 ]
ANDROID-20718524
ANDROID-21048776
ANDROID-21443020
ANDROID-21814993
ANDROID-22008959
ANDROID-22077698
ANDROID-22388975
ANDROID-22845824
ANDROID-23016072
ANDROID-23247055
ANDROID-23248776
ANDROID-20721050 critico 5.0 e 5.1 Google interno
CVE-2015-3823 ANDROID-21335999 critico 5.1 e precedenti 20 maggio 2015
CVE-2015-6600 ANDROID-22882938 critico 5.1 e precedenti 31 lug 2015
CVE-2015-6601 ANDROID-22935234 critico 5.1 e precedenti 3-ago-2015
CVE-2015-3869 ANDROID-23036083 critico 5.1 e precedenti 4 agosto 2015
CVE-2015-3870 ANDROID-22771132 critico 5.1 e precedenti 5 agosto 2015
CVE-2015-3871 ANDROID-23031033 critico 5.1 e precedenti 6-ago-2015
CVE-2015-3868 ANDROID-23270724 critico 5.1 e precedenti 6-ago-2015
CVE-2015-6604 ANDROID-23129786 critico 5.1 e precedenti 11-ago-2015
CVE-2015-3867 ANDROID-23213430 critico 5.1 e precedenti 14 agosto 2015
CVE-2015-6603 ANDROID-23227354 critico 5.1 e precedenti 15 agosto 2015
CVE-2015-3876 ANDROID-23285192 critico 5.1 e precedenti 15 agosto 2015
CVE-2015-6598 ANDROID-23306638 critico 5.1 e precedenti 18 agosto 2015
CVE-2015-3872 ANDROID-23346388 critico 5.1 e precedenti 19-ago-2015
CVE-2015-6599 ANDROID-23416608 critico 5.1 e precedenti 21-ago-2015

Vulnerabilità legate all'esecuzione di codice in modalità remota in Sonivox

Esistono vulnerabilità in Sonivox che potrebbero consentire a un utente malintenzionato, durante l'elaborazione di file multimediali di un file appositamente predisposto, di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota nel servizio mediaserver. Questo problema è classificato come gravità critica a causa della possibilità di esecuzione di codice in remoto come servizio privilegiato. Il componente interessato ha accesso ai flussi audio e video e ai privilegi a cui le applicazioni di terze parti non possono normalmente accedere.

CVE Bug (s) con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3874 ANDROID-23335715 critico 5.1 e precedenti multiplo
ANDROID-23307276 [ 2 ]
ANDROID-23286323

Vulnerabilità legate all'esecuzione di codice in modalità remota in libutils

Esistono vulnerabilità in libutils, una libreria generica, nell'elaborazione di file audio. Queste vulnerabilità potrebbero consentire a un utente malintenzionato, durante l'elaborazione di un file appositamente predisposto, di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota in un servizio che utilizza questa libreria come mediaserver.

La funzionalità interessata viene fornita come API dell'applicazione e ci sono più applicazioni che ne consentono il raggiungimento con contenuti remoti, in particolare MMS e riproduzione del browser da parte dei media. Questo problema è classificato come gravità critica a causa della possibilità di eseguire codice in modalità remota in un servizio privilegiato. Il componente interessato ha accesso ai flussi audio e video e ai privilegi a cui le app di terze parti non possono normalmente accedere.

CVE Bug (s) con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3875 ANDROID-22952485 critico 5.1 e precedenti 15 agosto 2015
CVE-2015-6602 ANDROID-23290056 [ 2 ] critico 5.1 e precedenti 15 agosto 2015

Vulnerabilità legata all'esecuzione di codice in modalità remota in Skia

Una vulnerabilità nel componente Skia può essere sfruttata durante l'elaborazione di un file multimediale appositamente predisposto, che potrebbe portare alla corruzione della memoria e all'esecuzione di codice in modalità remota in un processo privilegiato. Questo problema è classificato come gravità critica a causa della possibilità di esecuzione di codice in modalità remota attraverso più metodi di attacco come e-mail, navigazione Web e MMS durante l'elaborazione dei file multimediali.

CVE Bug (s) con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3877 ANDROID-20723696 critico 5.1 e precedenti 30 lug 2015

Vulnerabilità legate all'esecuzione di codice in modalità remota in libFLAC

Esiste una vulnerabilità in libFLAC nell'elaborazione dei file multimediali. Queste vulnerabilità potrebbero consentire a un utente malintenzionato, durante l'elaborazione di un file appositamente predisposto, di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota.

La funzionalità interessata viene fornita come API dell'applicazione e ci sono più applicazioni che ne consentono il raggiungimento con contenuti remoti, come la riproduzione del browser da parte dei media. Questo problema è classificato come gravità critica a causa della possibilità di eseguire codice in modalità remota in un servizio privilegiato. Il componente interessato ha accesso ai flussi audio e video e ai privilegi a cui le app di terze parti non possono normalmente accedere.

CVE Bug (s) con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2014-9028 ANDROID-18872897 [ 2 ] critico 5.1 e precedenti 14 nov 2014

Vulnerabilità legata all'acquisizione di privilegi più elevati in KeyStore

Una vulnerabilità legata all'acquisizione di privilegi più elevati nel componente KeyStore può essere sfruttata da un'applicazione dannosa durante la chiamata alle API KeyStore. Questa applicazione potrebbe causare il danneggiamento della memoria e l'esecuzione di codice arbitrario nel contesto di KeyStore. Questo problema è classificato come severo perché può essere utilizzato per accedere a privilegi che non sono direttamente accessibili a un'applicazione di terze parti.

CVE Bug (s) con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3863 ANDROID-22802399 alto 5.1 e precedenti 28 lug 2015

Vulnerabilità legata all'acquisizione di privilegi più elevati in Media Player Framework

Un'elevata vulnerabilità dei privilegi nel componente framework del lettore multimediale potrebbe consentire a un'applicazione dannosa di eseguire codice arbitrario nel contesto di mediaserver. Questo problema è classificato come severo perché consente a un'applicazione dannosa di accedere a privilegi non accessibili a un'applicazione di terze parti.

CVE Bug (s) con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3879 ANDROID-23223325 [2] * alto 5.1 e precedenti 14 agosto 2015

* Una seconda modifica per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito di Google Developer .

Vulnerabilità legata all'acquisizione di privilegi più elevati in Android Runtime

Una vulnerabilità legata all'acquisizione di privilegi più elevati in Android Runtime può consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto di un'applicazione di sistema elevata. Questo problema è classificato come severo perché può essere utilizzato per ottenere capacità elevate, come i privilegi delle autorizzazioni Signature o SignatureOrSystem , che non sono accessibili a un'applicazione di terze parti.

CVE Bug (s) con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3865 ANDROID-23050463 [ 2 ] alto 5.1 e precedenti 8 agosto 2015

Elevazione delle vulnerabilità legate ai privilegi in Mediaserver

Esistono diverse vulnerabilità nel mediaserver che possono consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto di un servizio nativo privilegiato. Questo problema è classificato come severo perché può essere utilizzato per accedere a privilegi che non sono direttamente accessibili a un'applicazione di terze parti.

CVE Bug (s) con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6596 ANDROID-20731946 alto 5.1 e precedenti multiplo
ANDROID-20719651 *
ANDROID-19573085 alto 5.0 - 6.0 Google interno

* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito di Google Developer .

Vulnerabilità legata all'acquisizione di privilegi più elevati in Secure Element Evaluation Kit

Una vulnerabilità nel plug-in SEEK (Secure Element Evaluation Kit, aka SmartCard API) potrebbe consentire a un'applicazione di ottenere autorizzazioni elevate senza richiederle. Questo problema è classificato come severo perché può essere utilizzato per ottenere capacità elevate, come i privilegi delle autorizzazioni Signature o SignatureOrSystem , che non sono accessibili alle applicazioni di terze parti.

CVE Bug (s) con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6606 ANDROID-22301786 * alto 5.1 e precedenti 30-giu-2015

* L'aggiornamento che risolve questo problema si trova sul sito SEEK per Android .

Vulnerabilità legata all'acquisizione di privilegi più elevati nella proiezione multimediale

Una vulnerabilità nel componente Proiezione multimediale può consentire la divulgazione dei dati dell'utente sotto forma di istantanee dello schermo. Il problema è dovuto al sistema operativo che consente nomi di applicazioni troppo lunghi. L'uso di questi nomi lunghi da parte di un'applicazione dannosa locale può impedire all'utente di visualizzare un avviso sulla registrazione dello schermo. Questo problema è classificato come gravità moderata perché può essere utilizzato per ottenere in modo errato autorizzazioni elevate.

CVE Bug (s) con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3878 ANDROID-23345192 Moderare 5.0 - 6.0 18 agosto 2015

Vulnerabilità legata all'acquisizione di privilegi più elevati in Bluetooth

Una vulnerabilità nel componente Bluetooth di Android potrebbe consentire a un'applicazione di eliminare i messaggi SMS memorizzati. Questo problema è classificato come gravità moderata perché può essere utilizzato per ottenere in modo errato autorizzazioni elevate.

CVE Bug (s) con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3847 ANDROID-22343270 Moderare 5.1 e precedenti 8 lug 2015

Vulnerabilità legate all'acquisizione di privilegi più elevati in SQLite

Sono state rilevate più vulnerabilità nel motore di analisi di SQLite. Queste vulnerabilità possono essere sfruttabili da un'applicazione locale che può causare un'altra applicazione o servizio per eseguire query SQL arbitrarie. Lo sfruttamento riuscito potrebbe comportare l'esecuzione di codice arbitrario nel contesto dell'applicazione di destinazione.

Una correzione è stata caricata sul master AOSP l'8 aprile 2015, aggiornando la versione di SQLite a 3.8.9: https://android-review.googlesource.com/#/c/145961/

Questo bollettino contiene patch per le versioni di SQLite in Android 4.4 (SQLite 3.7.11) e Android 5.0 e 5.1 (SQLite 3.8.6).

CVE Bug (s) con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6607 ANDROID-20099586 Moderare 5.1 e precedenti 7 aprile 2015
Conosciuto pubblicamente

Vulnerabilità di negazione del servizio in Mediaserver

Esistono diverse vulnerabilità nel mediaserver che possono causare una negazione del servizio arrestando il processo mediaserver. Questi problemi sono classificati come a bassa gravità perché l'effetto è causato da un arresto anomalo del media server con conseguente negazione del servizio temporanea locale.

CVE Bug (s) con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6605 ANDROID-20915134 Basso 5.1 e precedenti Google interno
ANDROID-23142203
ANDROID-22278703 Basso 5.0 - 6.0 Google interno
CVE-2015-3862 ANDROID-22954006 Basso 5.1 e precedenti 2 agosto 2015

revisioni

  • 05 ottobre 2015: pubblicazione del bollettino.
  • 07 ottobre 2015: Bollettino aggiornato con riferimenti AOSP. Chiariti i riferimenti ai bug per CVE-2014-9028.
  • 12 ottobre 2015: riconoscimenti aggiornati per CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
  • 22 gennaio 2016: riconoscimenti aggiornati per CVE-2015-6606.
  • 28 aprile 2016: aggiunto CVE-2015-6603 e corretto refuso con CVE-2014-9028.