Google is committed to advancing racial equity for Black communities. See how.
This page was translated by the Cloud Translation API.
Switch to English

Boletim de segurança do Nexus - outubro de 2015

Publicado em 05 de outubro de 2015 | Atualizado em 28 de abril de 2016

Lançamos uma atualização de segurança para dispositivos Nexus por meio de uma atualização over-the-air (OTA) como parte de nosso processo de lançamento mensal do boletim de segurança do Android. As imagens do firmware Nexus também foram lançadas no site Google Developer . Compilações LMY48T ou posterior (como LMY48W) e Android M com nível de patch de segurança de 1º de outubro de 2015 ou posterior resolvem esses problemas. Consulte a documentação do Nexus para obter instruções sobre como verificar o nível do patch de segurança.

Os parceiros foram notificados sobre esses problemas em 10 de setembro de 2015 ou antes. Os patches do código-fonte para esses problemas foram lançados no repositório Android Open Source Project (AOSP).

O mais grave desses problemas é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como email, navegação na Web e MMS, ao processar arquivos de mídia. A avaliação da gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, assumindo que a plataforma e as atenuações do serviço estão desabilitadas para fins de desenvolvimento ou se contornadas com sucesso.

Não recebemos relatórios de exploração ativa do cliente desses problemas relatados recentemente. Consulte a atenuações seção para obter detalhes sobre as proteções Android plataforma de segurança e proteções de serviços, como SafetyNet, que melhoram a segurança da plataforma Android. Incentivamos todos os clientes a aceitar essas atualizações em seus dispositivos.

Mitigações

Este é um resumo das atenuações fornecidas pela plataforma de segurança Android e proteções de serviço, como SafetyNet. Esses recursos reduzem a probabilidade de que as vulnerabilidades de segurança possam ser exploradas com sucesso no Android.

  • A exploração de muitos problemas no Android é dificultada pelos aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
  • A equipe de segurança do Android está monitorando ativamente o abuso com Verify Apps e SafetyNet, que avisará sobre aplicativos potencialmente prejudiciais prestes a serem instalados. As ferramentas de root de dispositivos são proibidas no Google Play. Para proteger os usuários que instalam aplicativos de fora do Google Play, Verify Apps é habilitado por padrão e avisará os usuários sobre aplicativos de root conhecidos. O Verify Apps tenta identificar e bloquear a instalação de aplicativos mal-intencionados conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará remover tais aplicativos.
  • Conforme apropriado, o Google atualizou os aplicativos Hangouts e Messenger para que a mídia não seja automaticamente passada para processos vulneráveis ​​(como mediaserver).

Reconhecimentos

Gostaríamos de agradecer a esses pesquisadores por suas contribuições:

  • Brennan Lautner: CVE-2015-3863
  • Chiachih Wu e Xuxian Jiang da equipe C0RE da Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
  • Yajin Zhou, Lei Wu e Xuxian Jiang da equipe C0RE da Qihoo 360: CVE-2015-3865
  • Daniel Micay (daniel.micay@copperhead.co) em Copperhead Security: CVE-2015-3875
  • dragonltx da equipe de segurança móvel do Alibaba: CVE-2015-6599
  • Ian Beer e Steven Vittitoe do Google Project Zero: CVE-2015-6604
  • Joaquín Rinaudo (@xeroxnir) e Iván Arce (@ 4Dgifts) do Programa STIC da Fundação Dr. Manuel Sadosky, Buenos Aires Argentina: CVE-2015-3870
  • Josh Drake de Zimperium: CVE-2015-3876, CVE-2015-6602
  • Jordan Gruskovnjak da Exodus Intelligence (@jgrusko): CVE-2015-3867
  • Peter Pi da Trend Micro: CVE-2015-3872, CVE-2015-3871
  • Ping Li da Qihoo 360 Technology Co. Ltd: CVE-2015-3878
  • Seven Shen: CVE-2015-6600, CVE-2015-3847
  • Wangtao (neobyte) do Baidu X-Team: CVE-2015-6598
  • Wish Wu da Trend Micro Inc. (@wish_wu): CVE-2015-3823
  • Michael Roland do JR-Center u'smile na University of Applied Sciences, Upper Austria / Hagenberg: CVE-2015-6606

Gostaríamos também de agradecer as contribuições da equipe de segurança do Chrome, da equipe de segurança do Google, do Project Zero e de outros indivíduos do Google por relatarem vários problemas corrigidos neste boletim.

Detalhes de vulnerabilidade de segurança

Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2015-10-01. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, bug associado, gravidade, versões afetadas e data relatada. Quando disponível, vinculamos a alteração do AOSP que abordou o problema ao ID do bug. Quando várias alterações estão relacionadas a um único bug, referências adicionais do AOSP são vinculadas a números após a identificação do bug.

Vulnerabilidades de execução remota de código em libstagefright

Existem vulnerabilidades no libstagefright que podem permitir que um invasor, durante o arquivo de mídia e o processamento de dados de um arquivo especialmente criado, cause corrupção de memória e execução remota de código no serviço mediaserver.

Esses problemas são classificados como de gravidade crítica devido à possibilidade de execução remota de código como um serviço privilegiado. Os componentes afetados têm acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não podem acessar.

CVE Bug (s) com links AOSP Gravidade Versões afetadas Data relatada
CVE-2015-3873 ANDROID-20674086 [ 2 , 3 , 4 ] Crítico 5.1 e abaixo Google interno
ANDROID-20674674 [ 2 , 3 , 4 ]
ANDROID-20718524
ANDROID-21048776
ANDROID-21443020
ANDROID-21814993
ANDROID-22008959
ANDROID-22077698
ANDROID-22388975
ANDROID-22845824
ANDROID-23016072
ANDROID-23247055
ANDROID-23248776
ANDROID-20721050 Crítico 5.0 e 5.1 Google interno
CVE-2015-3823 ANDROID-21335999 Crítico 5.1 e abaixo 20 de maio de 2015
CVE-2015-6600 ANDROID-22882938 Crítico 5.1 e abaixo 31 de julho de 2015
CVE-2015-6601 ANDROID-22935234 Crítico 5.1 e abaixo 3 de agosto de 2015
CVE-2015-3869 ANDROID-23036083 Crítico 5.1 e abaixo 4 de agosto de 2015
CVE-2015-3870 ANDROID-22771132 Crítico 5.1 e abaixo 5 de agosto de 2015
CVE-2015-3871 ANDROID-23031033 Crítico 5.1 e abaixo 6 de agosto de 2015
CVE-2015-3868 ANDROID-23270724 Crítico 5.1 e abaixo 6 de agosto de 2015
CVE-2015-6604 ANDROID-23129786 Crítico 5.1 e abaixo 11 de agosto de 2015
CVE-2015-3867 ANDROID-23213430 Crítico 5.1 e abaixo 14 de agosto de 2015
CVE-2015-6603 ANDROID-23227354 Crítico 5.1 e abaixo 15 de agosto de 2015
CVE-2015-3876 ANDROID-23285192 Crítico 5.1 e abaixo 15 de agosto de 2015
CVE-2015-6598 ANDROID-23306638 Crítico 5.1 e abaixo 18 de agosto de 2015
CVE-2015-3872 ANDROID-23346388 Crítico 5.1 e abaixo 19 de agosto de 2015
CVE-2015-6599 ANDROID-23416608 Crítico 5.1 e abaixo 21 de agosto de 2015

Vulnerabilidades de execução remota de código no Sonivox

Existem vulnerabilidades no Sonivox que podem permitir que um invasor, durante o processamento de um arquivo de mídia especialmente criado, cause corrupção de memória e execução remota de código no serviço mediaserver. Este problema é classificado como uma gravidade crítica devido à possibilidade de execução remota de código como um serviço privilegiado. O componente afetado tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não podem acessar.

CVE Bug (s) com links AOSP Gravidade Versões afetadas Data relatada
CVE-2015-3874 ANDROID-23335715 Crítico 5.1 e abaixo Múltiplo
ANDROID-23307276 [ 2 ]
ANDROID-23286323

Vulnerabilidades de execução remota de código em libutils

Vulnerabilidades no libutils, uma biblioteca genérica, existem no processamento de arquivos de áudio. Essas vulnerabilidades podem permitir que um invasor, durante o processamento de um arquivo especialmente criado, cause corrupção de memória e execução remota de código em um serviço que usa essa biblioteca, como mediaserver.

A funcionalidade afetada é fornecida como uma API de aplicativo e há vários aplicativos que permitem que ela seja alcançada com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador. Este problema é classificado como uma gravidade crítica devido à possibilidade de execução remota de código em um serviço privilegiado. O componente afetado tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não podem acessar.

CVE Bug (s) com links AOSP Gravidade Versões afetadas Data relatada
CVE-2015-3875 ANDROID-22952485 Crítico 5.1 e abaixo 15 de agosto de 2015
CVE-2015-6602 ANDROID-23290056 [ 2 ] Crítico 5.1 e abaixo 15 de agosto de 2015

Vulnerabilidade de execução remota de código no Skia

Uma vulnerabilidade no componente Skia pode ser aproveitada durante o processamento de um arquivo de mídia especialmente criado, o que pode levar à corrupção da memória e à execução remota de código em um processo privilegiado. Esse problema é classificado como uma gravidade crítica devido à possibilidade de execução remota de código por meio de vários métodos de ataque, como e-mail, navegação na web e MMS ao processar arquivos de mídia.

CVE Bug (s) com links AOSP Gravidade Versões afetadas Data relatada
CVE-2015-3877 ANDROID-20723696 Crítico 5.1 e abaixo 30 de julho de 2015

Vulnerabilidades de execução remota de código em libFLAC

Existe uma vulnerabilidade no libFLAC no processamento de arquivos de mídia. Essas vulnerabilidades podem permitir que um invasor, durante o processamento de um arquivo especialmente criado, cause corrupção de memória e execução remota de código.

A funcionalidade afetada é fornecida como uma API de aplicativo e há vários aplicativos que permitem que ela seja alcançada com conteúdo remoto, como reprodução de mídia no navegador. Este problema é classificado como uma gravidade crítica devido à possibilidade de execução remota de código em um serviço privilegiado. O componente afetado tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não podem acessar.

CVE Bug (s) com links AOSP Gravidade Versões afetadas Data relatada
CVE-2014-9028 ANDROID-18872897 [ 2 ] Crítico 5.1 e abaixo 14 de novembro de 2014

Vulnerabilidade de elevação de privilégio no KeyStore

Uma vulnerabilidade de elevação de privilégio no componente KeyStore pode ser potencializada por um aplicativo malicioso ao chamar as APIs KeyStore. Este aplicativo pode causar corrupção de memória e execução arbitrária de código no contexto do KeyStore. Este problema é classificado como de alta gravidade porque pode ser usado para acessar privilégios que não estão diretamente acessíveis a um aplicativo de terceiros.

CVE Bug (s) com links AOSP Gravidade Versões afetadas Data relatada
CVE-2015-3863 ANDROID-22802399 Alto 5.1 e abaixo 28 de julho de 2015

Vulnerabilidade de elevação de privilégio no Media Player Framework

Uma vulnerabilidade de elevação de privilégio no componente da estrutura do media player pode permitir que um aplicativo malicioso execute código arbitrário dentro do contexto do mediaserver. Este problema é classificado como de alta gravidade porque permite que um aplicativo malicioso acesse privilégios não acessíveis a um aplicativo de terceiros.

CVE Bug (s) com links AOSP Gravidade Versões afetadas Data relatada
CVE-2015-3879 ANDROID-23223325 [2] * Alto 5.1 e abaixo 14 de agosto de 2015

* Uma segunda alteração para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

Vulnerabilidade de elevação de privilégio no Android Runtime

Uma vulnerabilidade de elevação de privilégio no Android Runtime pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto de um aplicativo de sistema elevado. Este problema é classificada como alta gravidade, pois pode ser utilizado para obter capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a um aplicativo de terceiros.

CVE Bug (s) com links AOSP Gravidade Versões afetadas Data relatada
CVE-2015-3865 ANDROID-23050463 [ 2 ] Alto 5.1 e abaixo 8 de agosto de 2015

Elevação de vulnerabilidades de privilégio no Mediaserver

Existem múltiplas vulnerabilidades no mediaserver que podem permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto de um serviço nativo privilegiado. Este problema é classificado como de alta gravidade porque pode ser usado para acessar privilégios que não estão diretamente acessíveis a um aplicativo de terceiros.

CVE Bug (s) com links AOSP Gravidade Versões afetadas Data relatada
CVE-2015-6596 ANDROID-20731946 Alto 5.1 e abaixo Múltiplo
ANDROID-20719651 *
ANDROID-19573085 Alto 5,0 - 6,0 Interno do Google

* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

Elevação da vulnerabilidade de privilégio no kit de avaliação de elemento seguro

Uma vulnerabilidade no plug-in SEEK (Secure Element Evaluation Kit, também conhecido como SmartCard API) pode permitir que um aplicativo obtenha permissões elevadas sem solicitá-las. Este problema é classificada como alta gravidade, pois pode ser utilizado para obter capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a aplicativos de terceiros.

CVE Bug (s) com links AOSP Gravidade Versões afetadas Data relatada
CVE-2015-6606 ANDROID-22301786 * Alto 5.1 e abaixo 30 de junho de 2015

* A atualização que soluciona esse problema está localizada no site SEEK para Android .

Elevação da vulnerabilidade de privilégio na projeção de mídia

Uma vulnerabilidade no componente Media Projection pode permitir que os dados do usuário sejam divulgados na forma de instantâneos da tela. O problema é resultado do sistema operacional permitir nomes de aplicativos excessivamente longos. O uso desses nomes longos por um aplicativo malicioso local pode impedir que um aviso sobre a gravação de tela seja visível para o usuário. Esse problema é classificado como gravidade moderada porque pode ser usado para obter permissões elevadas indevidamente.

CVE Bug (s) com links AOSP Gravidade Versões afetadas Data relatada
CVE-2015-3878 ANDROID-23345192 Moderado 5,0 - 6,0 18 de agosto de 2015

Vulnerabilidade de elevação de privilégio no Bluetooth

Uma vulnerabilidade no componente Bluetooth do Android pode permitir que um aplicativo exclua mensagens SMS armazenadas. Esse problema é classificado como gravidade moderada porque pode ser usado para obter permissões elevadas indevidamente.

CVE Bug (s) com links AOSP Gravidade Versões afetadas Data relatada
CVE-2015-3847 ANDROID-22343270 Moderado 5.1 e abaixo 8 de julho de 2015

Elevação de vulnerabilidades de privilégio no SQLite

Várias vulnerabilidades foram descobertas no mecanismo de análise SQLite. Essas vulnerabilidades podem ser exploradas por um aplicativo local que pode fazer com que outro aplicativo ou serviço execute consultas SQL arbitrárias. A exploração bem-sucedida pode resultar na execução arbitrária de código no contexto do aplicativo de destino.

Uma correção foi enviada ao mestre AOSP em 8 de abril de 2015, atualizando a versão do SQLite para 3.8.9: https://android-review.googlesource.com/#/c/145961/

Este boletim contém patches para as versões do SQLite no Android 4.4 (SQLite 3.7.11) e Android 5.0 e 5.1 (SQLite 3.8.6).

CVE Bug (s) com links AOSP Gravidade Versões afetadas Data relatada
CVE-2015-6607 ANDROID-20099586 Moderado 5.1 e abaixo 7 de abril de 2015
Publicamente Conhecido

Vulnerabilidades de negação de serviço no Mediaserver

Existem várias vulnerabilidades no mediaserver que podem causar uma negação de serviço ao travar o processo do mediaserver. Esses problemas são classificados como de gravidade baixa porque o efeito é sentido por uma falha do servidor de mídia, resultando em uma negação de serviço temporária local.

CVE Bug (s) com links AOSP Gravidade Versões afetadas Data relatada
CVE-2015-6605 ANDROID-20915134 Baixo 5.1 e abaixo Google interno
ANDROID-23142203
ANDROID-22278703 Baixo 5,0 - 6,0 Google interno
CVE-2015-3862 ANDROID-22954006 Baixo 5.1 e abaixo 2 de agosto de 2015

Revisões

  • 05 de outubro de 2015: Boletim publicado.
  • 7 de outubro de 2015: Boletim atualizado com referências AOSP. Esclarecidas as referências de bug para CVE-2014-9028.
  • 12 de outubro de 2015: Agradecimentos atualizados para CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
  • 22 de janeiro de 2016: Agradecimentos atualizados para CVE-2015-6606.
  • 28 de abril de 2016: CVE-2015-6603 adicionado e erro de digitação corrigido com CVE-2014-9028.