Google si impegna a promuovere l'equità razziale per le comunità nere. Vedi come.
Questa pagina è stata tradotta dall'API Cloud Translation.
Switch to English

Bollettino sulla sicurezza del Nexus - novembre 2015

Pubblicato il 02 novembre 2015

Abbiamo rilasciato un aggiornamento di sicurezza per i dispositivi Nexus attraverso un aggiornamento over-the-air (OTA) come parte del nostro processo di rilascio mensile del bollettino sulla sicurezza di Android. Le immagini del firmware Nexus sono state anche rilasciate sul sito per sviluppatori Google . Crea LMY48X o versioni successive e Android Marshmallow con livello di patch di sicurezza del 1 ° novembre 2015 o versioni successive risolve questi problemi. Fare riferimento alla sezione Domande e risposte comuni per maggiori dettagli.

I partner sono stati informati di questi problemi il 5 ottobre 2015 o prima. Le patch di codice sorgente per questi problemi verranno rilasciate nel repository AOSP (Android Open Source Project) nelle prossime 48 ore. Revisioneremo questo bollettino con i collegamenti AOSP quando saranno disponibili.

Il più grave di questi problemi è una vulnerabilità di sicurezza critica che potrebbe consentire l'esecuzione di codice in modalità remota su un dispositivo interessato attraverso più metodi come e-mail, navigazione Web e MMS durante l'elaborazione dei file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, presupponendo che le mitigazioni della piattaforma e del servizio siano disabilitate a fini di sviluppo o se ignorate correttamente.

Non abbiamo avuto notizie di sfruttamento attivo da parte dei clienti di questi problemi appena segnalati. Fare riferimento alla sezione Mitigazioni per i dettagli sulle protezioni della piattaforma di sicurezza Android e le protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android. Incoraggiamo tutti i clienti ad accettare questi aggiornamenti per i loro dispositivi.

Fattori attenuanti

Questo è un riepilogo delle mitigazioni fornite dalla piattaforma di sicurezza Android e delle protezioni del servizio come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità di sicurezza possano essere sfruttate con successo su Android.

  • Lo sfruttamento per molti problemi su Android è reso più difficile dai miglioramenti nelle nuove versioni della piattaforma Android. Incoraggiamo tutti gli utenti ad aggiornare all'ultima versione di Android ove possibile.
  • Il team di sicurezza di Android sta monitorando attivamente gli abusi con Verify Apps e SafetyNet, che avvertiranno che potrebbero essere installate applicazioni potenzialmente dannose. Gli strumenti di rooting dei dispositivi sono vietati in Google Play. Per proteggere gli utenti che installano applicazioni all'esterno di Google Play, Verifica app è abilitato per impostazione predefinita e avvisa gli utenti delle applicazioni di rooting note. Verifica App tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di escalation di privilegi. Se tale applicazione è già stata installata, Verifica App avviserà l'utente e tenterà di rimuovere tali applicazioni.
  • Se del caso, le applicazioni di Google Hangouts e Messenger non passano automaticamente i media a processi come mediaserver.

Ringraziamenti

Vorremmo ringraziare questi ricercatori per il loro contributo:

  • Abhishek Arya, Oliver Chang e Martin Barbella, team di sicurezza di Google Chrome: CVE-2015-6608
  • Daniel Micay (daniel.micay@copperhead.co) presso Copperhead Security: CVE-2015-6609
  • Dongkwan Kim di System Security Lab, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
  • Hongil Kim del System Security Lab, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
  • Jack Tang di Trend Micro (@ jacktang310): CVE-2015-6611
  • Peter Pi di Trend Micro: CVE-2015-6611
  • Natalie Silvanovich di Google Project Zero: CVE-2015-6608
  • Qidan He (@flanker_hqd) e Wen Xu (@ antlr7) di KeenTeam (@ K33nTeam, http://k33nteam.org/): CVE-2015-6612
  • Guang Gong (龚 广) ( @oldfresher , higongguang@gmail.com) di Qihoo 360 Technology CC o.Ltd : CVE-2015-6612
  • Seven Shen di Trend Micro: CVE-2015-6610

Dettagli sulla vulnerabilità della sicurezza

Nelle sezioni seguenti, forniamo i dettagli per ciascuna delle vulnerabilità di sicurezza che si applicano al livello di patch 2015-11-01. Esiste una descrizione del problema, una logica di gravità e una tabella con CVE, bug associato, gravità, versioni interessate e data riportata. Laddove disponibile, abbiamo collegato la modifica AOSP che ha risolto il problema con l'ID bug. Quando più modifiche si riferiscono a un singolo bug, ulteriori riferimenti AOSP sono collegati ai numeri che seguono l'ID bug.

Vulnerabilità legate all'esecuzione di codice in modalità remota in Mediaserver

Durante il file multimediale e l'elaborazione dei dati di un file appositamente predisposto, le vulnerabilità nel mediaserver potrebbero consentire a un utente malintenzionato di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota come processo mediaserver.

La funzionalità interessata viene fornita come parte principale del sistema operativo e ci sono più applicazioni che ne consentono il raggiungimento con contenuti remoti, in particolare MMS e riproduzione del browser da parte dei media.

Questo problema è classificato come gravità critica a causa della possibilità di esecuzione di codice in modalità remota nel contesto del servizio mediaserver. Il servizio mediaserver ha accesso ai flussi audio e video e ai privilegi a cui le app di terze parti non possono normalmente accedere.

CVE Bug (s) con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6608 ANDROID-19779574 critico 5.0, 5.1, 6.0 Google interno
ANDROID-23680780
ANDROID-23876444
ANDROID-23881715 critico 4.4, 5.0, 5.1, 6.0 Google interno
ANDROID-14388161 critico 4.4 e 5.1 Google interno
ANDROID-23658148 critico 5.0, 5.1, 6.0 Google interno

Vulnerabilità legata all'esecuzione di codice in modalità remota in libutils

Una vulnerabilità in libutils, una libreria generica, può essere sfruttata durante l'elaborazione dei file audio. Questa vulnerabilità potrebbe consentire a un utente malintenzionato, durante l'elaborazione di un file appositamente predisposto, di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota.

La funzionalità interessata viene fornita come un'API e ci sono più applicazioni che ne consentono il raggiungimento con contenuti remoti, in particolare MMS e riproduzione dei media da browser. Questo problema è classificato come problema di gravità critico a causa della possibilità di esecuzione di codice in modalità remota in un servizio privilegiato. Il componente interessato ha accesso ai flussi audio e video e ai privilegi a cui le app di terze parti non possono normalmente accedere.

CVE Bug (s) con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6609 ANDROID-22953624 [ 2 ] critico 6.0 e precedenti 3-ago-2015

Vulnerabilità legate alla divulgazione di informazioni in Mediaserver

Esistono vulnerabilità legate alla divulgazione di informazioni in mediaserver che possono consentire un bypass delle misure di sicurezza in atto per aumentare la difficoltà degli aggressori che sfruttano la piattaforma.

CVE Bug (s) con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6611 ANDROID-23905951 [ 2 ] [ 3 ] alto 6.0 e precedenti 07 set 2015
ANDROID-23912202 *
ANDROID-23953967 *
ANDROID-23696300 alto 6.0 e precedenti 31 agosto 2015
ANDROID-23600291 alto 6.0 e precedenti 26-ago-2015
ANDROID-23756261 [ 2 ] alto 6.0 e precedenti 26-ago-2015
ANDROID-23540907 [ 2 ] alto 5.1 e precedenti 25 agosto 2015
ANDROID-23541506 alto 6.0 e precedenti 25 agosto 2015
ANDROID-23284974 *
ANDROID-23542351 *
ANDROID-23542352 *
ANDROID-23515142 alto 5.1 e precedenti 19-ago-2015

* La patch per questo errore è inclusa in altri collegamenti AOSP forniti.

Vulnerabilità legata all'acquisizione di privilegi più elevati in libstagefright

Esiste un'elevazione della vulnerabilità dei privilegi in libstagefright che può consentire a un'applicazione dannosa locale di causare il danneggiamento della memoria e l'esecuzione di codice arbitrario nel contesto del servizio mediaserver. Sebbene questo problema sia normalmente classificato come Critico, abbiamo valutato questo problema come Gravità elevata a causa della minore probabilità che possa essere sfruttato a distanza.

CVE Bug (s) con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6610 ANDROID-23707088 [ 2 ] alto 6.0 e precedenti 19-ago-2015

Vulnerabilità legata all'acquisizione di privilegi più elevati in libmedia

Esiste una vulnerabilità in libmedia che può consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del servizio mediaserver. Questo problema è classificato come severo perché può essere utilizzato per accedere a privilegi che non sono direttamente accessibili a un'applicazione di terze parti.

CVE Bug (s) con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6612 ANDROID-23540426 alto 6.0 e precedenti 23-ago-2015

Vulnerabilità legata all'acquisizione di privilegi più elevati in Bluetooth

Esiste una vulnerabilità in Bluetooth che può consentire a un'applicazione locale di inviare comandi a una porta di debug in ascolto sul dispositivo. Questo problema è classificato come severo perché può essere utilizzato per ottenere capacità elevate, come i privilegi delle autorizzazioni Signature o SignatureOrSystem , che non sono accessibili a un'applicazione di terze parti.

CVE Bug (s) con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6613 ANDROID-24371736 alto 6.0 Google interno

Vulnerabilità legata all'acquisizione di privilegi più elevati in telefonia

Una vulnerabilità nel componente Telefonia che può consentire a un'applicazione dannosa locale di trasmettere dati non autorizzati alle interfacce di rete con restrizioni, con potenziale impatto sui costi dei dati. Potrebbe anche impedire al dispositivo di ricevere chiamate e consentire a un utente malintenzionato di controllare le impostazioni di disattivazione delle chiamate. Questo problema è classificato come gravità moderata perché può essere utilizzato per ottenere in modo improprio autorizzazioni " pericolose ".

CVE Bug (s) con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6614 ANDROID-21900139 [ 2 ] [ 3 ] Moderare 5.0, 5.1 8 giugno 2015

Domande e risposte comuni

Questa sezione esaminerà le risposte alle domande più comuni che potrebbero verificarsi dopo aver letto questo bollettino.

1. Come posso determinare se il mio dispositivo è stato aggiornato per risolvere questi problemi?

Crea LMY48X o versioni successive e Android Marshmallow con livello di patch di sicurezza del 1 ° novembre 2015 o versioni successive risolve questi problemi. Consulta la documentazione di Nexus per istruzioni su come controllare il livello della patch di sicurezza. I produttori di dispositivi che includono questi aggiornamenti dovrebbero impostare il livello della stringa di patch su: [ro.build.version.security_patch]: [2015-11-01]

revisioni

  • 02 novembre 2015: originariamente pubblicato