Google setzt sich dafür ein, die Rassengerechtigkeit für schwarze Gemeinschaften zu fördern. Siehe wie.
Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Nexus Security Bulletin - November 2015

Veröffentlicht am 02. November 2015

Wir haben ein Sicherheitsupdate für Nexus-Geräte über ein drahtloses Update (OTA) im Rahmen unseres monatlichen Release-Prozesses für das Android Security Bulletin veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht . Builds LMY48X oder höher und Android Marshmallow mit Sicherheits-Patch-Level vom 1. November 2015 oder höher beheben diese Probleme. Weitere Informationen finden Sie im Abschnitt Allgemeine Fragen und Antworten .

Die Partner wurden am 5. Oktober 2015 oder früher über diese Probleme informiert. Quellcode-Patches für diese Probleme werden in den nächsten 48 Stunden im AOSP-Repository (Android Open Source Project) veröffentlicht. Wir werden dieses Bulletin mit den AOSP-Links überarbeiten, sobald sie verfügbar sind.

Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Surfen im Internet und MMS bei der Verarbeitung von Mediendateien ermöglichen kann. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Sicherheitsanfälligkeit möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstminderungen sind für Entwicklungszwecke deaktiviert oder werden erfolgreich umgangen.

Wir haben keine Berichte über die aktive Nutzung dieser neu gemeldeten Probleme durch Kunden erhalten. Weitere Informationen zum Schutz der Android-Sicherheitsplattform und zum Schutz von Diensten wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Schadensbegrenzungen . Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.

Milderungen

Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform bereitgestellten Maßnahmen und des Schutzes von Diensten wie SafetyNet. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken unter Android erfolgreich ausgenutzt werden können.

  • Die Nutzung vieler Probleme unter Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht mit Verify Apps und SafetyNet aktiv auf Missbrauch, um vor potenziell schädlichen Anwendungen zu warnen, die installiert werden sollen. Geräte-Rooting-Tools sind in Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist "Apps überprüfen" standardmäßig aktiviert und warnt Benutzer vor bekannten Root-Anwendungen. Verify Apps versucht, die Installation bekannter schädlicher Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitsanfälligkeit bezüglich der Eskalation von Berechtigungen ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
  • Gegebenenfalls übergeben Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie den Medienserver.

Danksagung

Wir möchten diesen Forschern für ihre Beiträge danken:

  • Abhishek Arya, Oliver Chang und Martin Barbella, Google Chrome-Sicherheitsteam: CVE-2015-6608
  • Daniel Micay (daniel.micay@copperhead.co) bei Copperhead Security: CVE-2015-6609
  • Dongkwan Kim vom System Security Lab, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
  • Hongil Kim vom System Security Lab, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
  • Jack Tang von Trend Micro (@ jacktang310): CVE-2015-6611
  • Peter Pi von Trend Micro: CVE-2015-6611
  • Natalie Silvanovich von Google Project Zero: CVE-2015-6608
  • Qidan He (@flanker_hqd) und Wen Xu (@ antlr7) von KeenTeam (@ K33nTeam, http://k33nteam.org/): CVE-2015-6612
  • Guang Gong (龚 广) ( @oldfresher , higongguang@gmail.com) von Qihoo 360 Technology CC o.Ltd : CVE-2015-6612
  • Sieben Shen von Trend Micro: CVE-2015-6610

Details zu Sicherheitslücken

In den folgenden Abschnitten finden Sie Details zu den Sicherheitslücken, die für die Patch-Version 2015-11-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung des Schweregrads und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den betroffenen Versionen und dem gemeldeten Datum. Sofern verfügbar, haben wir die AOSP-Änderung, mit der das Problem behoben wurde, mit der Fehler-ID verknüpft. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern verknüpft, die auf die Fehler-ID folgen.

Sicherheitslücken bei der Remotecodeausführung in Mediaserver

Während der Verarbeitung von Mediendateien und Daten einer speziell gestalteten Datei können Sicherheitslücken im Mediaserver dazu führen, dass ein Angreifer als Mediaserver-Prozess Speicherbeschädigungen und Remotecodeausführung verursacht.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, mit denen sie mit Remote-Inhalten erreicht werden kann, insbesondere mit MMS und der Browser-Wiedergabe von Medien.

Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Dienstes als kritischer Schweregrad eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen Datum der Meldung
CVE-2015-6608 ANDROID-19779574 Kritisch 5,0, 5,1, 6,0 Google Intern
ANDROID-23680780
ANDROID-23876444
ANDROID-23881715 Kritisch 4,4, 5,0, 5,1, 6,0 Google Intern
ANDROID-14388161 Kritisch 4.4 und 5.1 Google Intern
ANDROID-23658148 Kritisch 5,0, 5,1, 6,0 Google Intern

Sicherheitsanfälligkeit bezüglich Remotecodeausführung in libutils

Eine Sicherheitslücke in libutils, einer generischen Bibliothek, kann während der Verarbeitung von Audiodateien ausgenutzt werden. Diese Sicherheitsanfälligkeit kann es einem Angreifer ermöglichen, während der Verarbeitung einer speziell gestalteten Datei Speicherbeschädigungen und Remotecodeausführung zu verursachen.

Die betroffene Funktionalität wird als API bereitgestellt und es gibt mehrere Anwendungen, mit denen sie mit Remote-Inhalten erreicht werden kann, insbesondere mit MMS und der Browser-Wiedergabe von Medien. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung in einem privilegierten Dienst als Problem mit kritischem Schweregrad eingestuft. Die betroffene Komponente hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen Datum der Meldung
CVE-2015-6609 ANDROID-22953624 [ 2 ] Kritisch 6.0 und darunter 3. August 2015

Sicherheitslücken bei der Offenlegung von Informationen in Mediaserver

In Mediaserver gibt es Sicherheitslücken bei der Offenlegung von Informationen, die eine Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen können, um die Schwierigkeit von Angreifern zu erhöhen, die die Plattform ausnutzen.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen Datum der Meldung
CVE-2015-6611 ANDROID-23905951 [ 2 ] [ 3 ] Hoch 6.0 und darunter 07. September 2015
ANDROID-23912202 *
ANDROID-23953967 *
ANDROID-23696300 Hoch 6.0 und darunter 31. August 2015
ANDROID-23600291 Hoch 6.0 und darunter 26. August 2015
ANDROID-23756261 [ 2 ] Hoch 6.0 und darunter 26. August 2015
ANDROID-23540907 [ 2 ] Hoch 5.1 und darunter 25. August 2015
ANDROID-23541506 Hoch 6.0 und darunter 25. August 2015
ANDROID-23284974 *
ANDROID-23542351 *
ANDROID-23542352 *
ANDROID-23515142 Hoch 5.1 und darunter 19. August 2015

* Der Patch für diesen Fehler ist in anderen bereitgestellten AOSP-Links enthalten.

Erhöhung der Sicherheitsanfälligkeit in Libstagefright

In libstagefright gibt es eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen, die es einer lokalen böswilligen Anwendung ermöglichen kann, im Kontext des Mediaserver-Dienstes Speicherbeschädigung und Ausführung von willkürlichem Code zu verursachen. Obwohl dieses Problem normalerweise als kritisch eingestuft wird, haben wir dieses Problem aufgrund der geringeren Wahrscheinlichkeit, dass es aus der Ferne ausgenutzt werden kann, als hochgradig eingestuft.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen Datum der Meldung
CVE-2015-6610 ANDROID-23707088 [ 2 ] Hoch 6.0 und darunter 19. August 2015

Erhöhung der Sicherheitslücke in Libmedia

In libmedia gibt es eine Sicherheitsanfälligkeit, die es einer lokalen bösartigen Anwendung ermöglichen kann, beliebigen Code im Kontext des Mediaserver-Dienstes auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da damit auf Berechtigungen zugegriffen werden kann, auf die eine Drittanbieteranwendung nicht direkt zugreifen kann.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen Datum der Meldung
CVE-2015-6612 ANDROID-23540426 Hoch 6.0 und darunter 23. August 2015

Erhöhung der Sicherheitsanfälligkeit in Bluetooth

Es gibt eine Sicherheitsanfälligkeit in Bluetooth, durch die eine lokale Anwendung Befehle an einen abhörenden Debug-Port auf dem Gerät senden kann. Dieses Problem wird als hoher Schweregrad eingestuft, da damit erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen erworben werden können, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen Datum der Meldung
CVE-2015-6613 ANDROID-24371736 Hoch 6.0 Google Intern

Erhöhung der Sicherheitslücke in der Telefonie

Eine Sicherheitsanfälligkeit in der Telefoniekomponente, die es einer lokalen böswilligen Anwendung ermöglichen kann, nicht autorisierte Daten an die eingeschränkten Netzwerkschnittstellen weiterzuleiten, was sich möglicherweise auf die Datengebühren auswirkt. Dies könnte auch verhindern, dass das Gerät Anrufe empfängt, und es einem Angreifer ermöglichen, die Stummschaltungseinstellungen von Anrufen zu steuern. Dieses Problem wird als mittelschwer eingestuft, da es verwendet werden kann, um „ gefährliche “ Berechtigungen zu erhalten.

CVE Fehler mit AOSP-Links Schwere Betroffene Versionen Datum der Meldung
CVE-2015-6614 ANDROID-21900139 [ 2 ] [ 3 ] Mäßig 5.0, 5.1 8. Juni 2015

Häufige Fragen und Antworten

In diesem Abschnitt werden Antworten auf häufig gestellte Fragen aufgeführt, die nach dem Lesen dieses Bulletins auftreten können.

1. Wie stelle ich fest, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?

Builds LMY48X oder höher und Android Marshmallow mit Sicherheits-Patch-Level vom 1. November 2015 oder höher beheben diese Probleme. Anweisungen zum Überprüfen der Sicherheits-Patch-Stufe finden Sie in der Nexus-Dokumentation . Gerätehersteller, die diese Updates enthalten, sollten die Patch-Zeichenfolge auf Folgendes festlegen: [ro.build.version.security_patch]: [2015-11-01]

Überarbeitungen

  • 02. November 2015: Ursprünglich veröffentlicht