Google is committed to advancing racial equity for Black communities. See how.
Esta página foi traduzida pela API Cloud Translation.
Switch to English

Boletim de segurança do Nexus - novembro de 2015

Publicado em 02 de novembro de 2015

Lançamos uma atualização de segurança para dispositivos Nexus por meio de uma atualização over-the-air (OTA) como parte de nosso processo de lançamento mensal do boletim de segurança do Android. As imagens do firmware Nexus também foram lançadas no site Google Developer . Compilações LMY48X ou posterior e Android Marshmallow com nível de patch de segurança de 1º de novembro de 2015 ou posterior resolvem esses problemas. Consulte a seção Perguntas e respostas comuns para obter mais detalhes.

Os parceiros foram notificados sobre esses problemas em 5 de outubro de 2015 ou antes. Os patches de código-fonte para esses problemas serão lançados no repositório Android Open Source Project (AOSP) nas próximas 48 horas. Nós revisaremos este boletim com os links AOSP quando eles estiverem disponíveis.

O mais grave desses problemas é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como email, navegação na Web e MMS, ao processar arquivos de mídia. A avaliação da gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, assumindo que a plataforma e as atenuações do serviço estão desabilitadas para fins de desenvolvimento ou se contornadas com sucesso.

Não recebemos relatórios de exploração ativa do cliente desses problemas relatados recentemente. Consulte a atenuações seção para obter detalhes sobre as proteções Android plataforma de segurança e proteções de serviços, como SafetyNet, que melhoram a segurança da plataforma Android. Incentivamos todos os clientes a aceitar essas atualizações em seus dispositivos.

Mitigações

Este é um resumo das atenuações fornecidas pela plataforma de segurança Android e proteções de serviço, como SafetyNet. Esses recursos reduzem a probabilidade de que as vulnerabilidades de segurança possam ser exploradas com sucesso no Android.

  • A exploração de muitos problemas no Android é dificultada pelos aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
  • A equipe de segurança do Android está monitorando ativamente o abuso com Verify Apps e SafetyNet, que avisará sobre aplicativos potencialmente prejudiciais prestes a serem instalados. As ferramentas de rooting do dispositivo são proibidas no Google Play. Para proteger os usuários que instalam aplicativos de fora do Google Play, o Verify Apps é habilitado por padrão e avisará os usuários sobre aplicativos de root conhecidos. O Verify Apps tenta identificar e bloquear a instalação de aplicativos mal-intencionados conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará remover qualquer um desses aplicativos.
  • Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam mídia automaticamente para processos como mediaserver.

Reconhecimentos

Gostaríamos de agradecer a esses pesquisadores por suas contribuições:

  • Abhishek Arya, Oliver Chang e Martin Barbella, Equipe de segurança do Google Chrome: CVE-2015-6608
  • Daniel Micay (daniel.micay@copperhead.co) em Copperhead Security: CVE-2015-6609
  • Dongkwan Kim do System Security Lab, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
  • Hongil Kim do System Security Lab, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
  • Jack Tang da Trend Micro (@ jacktang310): CVE-2015-6611
  • Peter Pi da Trend Micro: CVE-2015-6611
  • Natalie Silvanovich do Google Project Zero: CVE-2015-6608
  • Qidan He (@flanker_hqd) e Wen Xu (@ antlr7) de KeenTeam (@ K33nTeam, http://k33nteam.org/): CVE-2015-6612
  • Guang Gong (龚 广) ( @oldfresher , higongguang@gmail.com) da Qihoo 360 Technology CC o.Ltd : CVE-2015-6612
  • Sete Shen da Trend Micro: CVE-2015-6610

Detalhes de vulnerabilidade de segurança

Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 01-11-2015. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, bug associado, gravidade, versões afetadas e data relatada. Quando disponível, vinculamos a alteração do AOSP que abordou o problema ao ID do bug. Quando várias alterações estão relacionadas a um único bug, referências adicionais do AOSP são vinculadas a números após a ID do bug.

Vulnerabilidades de execução remota de código no Mediaserver

Durante o arquivo de mídia e o processamento de dados de um arquivo especialmente criado, as vulnerabilidades no mediaserver podem permitir que um invasor cause corrupção de memória e execução remota de código como o processo do mediaserver.

A funcionalidade afetada é fornecida como uma parte central do sistema operacional e há vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador.

Este problema é classificado como uma gravidade crítica devido à possibilidade de execução remota de código dentro do contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não podem acessar.

CVE Bug (s) com links AOSP Gravidade Versões afetadas Data relatada
CVE-2015-6608 ANDROID-19779574 Crítico 5.0, 5.1, 6.0 Interno do Google
ANDROID-23680780
ANDROID-23876444
ANDROID-23881715 Crítico 4,4, 5,0, 5,1, 6,0 Google interno
ANDROID-14388161 Crítico 4,4 e 5,1 Google interno
ANDROID-23658148 Crítico 5.0, 5.1, 6.0 Google interno

Vulnerabilidade de execução remota de código em libutils

Uma vulnerabilidade na libutils, uma biblioteca genérica, pode ser explorada durante o processamento do arquivo de áudio. Esta vulnerabilidade pode permitir que um invasor, durante o processamento de um arquivo especialmente criado, cause corrupção de memória e execução remota de código.

A funcionalidade afetada é fornecida como uma API e há vários aplicativos que permitem que ela seja alcançada com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador. Este problema é classificado como um problema de gravidade crítica devido à possibilidade de execução remota de código em um serviço privilegiado. O componente afetado tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não podem acessar.

CVE Bug (s) com links AOSP Gravidade Versões afetadas Data relatada
CVE-2015-6609 ANDROID-22953624 [ 2 ] Crítico 6.0 e abaixo 3 de agosto de 2015

Vulnerabilidades de divulgação de informações no Mediaserver

Existem vulnerabilidades de divulgação de informações no mediaserver que podem permitir um desvio das medidas de segurança em vigor para aumentar a dificuldade de invasores que exploram a plataforma.

CVE Bug (s) com links AOSP Gravidade Versões afetadas Data relatada
CVE-2015-6611 ANDROID-23905951 [ 2 ] [ 3 ] Alto 6.0 e abaixo 07 de setembro de 2015
ANDROID-23912202 *
ANDROID-23953967 *
ANDROID-23696300 Alto 6.0 e abaixo 31 de agosto de 2015
ANDROID-23600291 Alto 6.0 e abaixo 26 de agosto de 2015
ANDROID-23756261 [ 2 ] Alto 6.0 e abaixo 26 de agosto de 2015
ANDROID-23540907 [ 2 ] Alto 5.1 e abaixo 25 de agosto de 2015
ANDROID-23541506 Alto 6.0 e abaixo 25 de agosto de 2015
ANDROID-23284974 *
ANDROID-23542351 *
ANDROID-23542352 *
ANDROID-23515142 Alto 5.1 e abaixo 19 de agosto de 2015

* O patch para este bug está incluído em outros links AOSP fornecidos.

Vulnerabilidade de elevação de privilégio em libstagefright

Há uma vulnerabilidade de elevação de privilégio em libstagefright que pode permitir que um aplicativo malicioso local cause corrupção de memória e execução arbitrária de código dentro do contexto do serviço mediaserver. Embora esse problema normalmente seja classificado como Crítico, avaliamos esse problema como de gravidade Alta devido à menor probabilidade de que possa ser explorado remotamente.

CVE Bug (s) com links AOSP Gravidade Versões afetadas Data relatada
CVE-2015-6610 ANDROID-23707088 [ 2 ] Alto 6.0 e abaixo 19 de agosto de 2015

Elevação da vulnerabilidade de privilégio na libmedia

Existe uma vulnerabilidade no libmedia que pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do serviço mediaserver. Este problema é classificado como de alta gravidade porque pode ser usado para acessar privilégios que não estão diretamente acessíveis a um aplicativo de terceiros.

CVE Bug (s) com links AOSP Gravidade Versões afetadas Data relatada
CVE-2015-6612 ANDROID-23540426 Alto 6.0 e abaixo 23 de agosto de 2015

Vulnerabilidade de elevação de privilégio no Bluetooth

Existe uma vulnerabilidade no Bluetooth que pode permitir que um aplicativo local envie comandos para uma porta de depuração de escuta no dispositivo. Este problema é classificada como alta gravidade, pois pode ser utilizado para obter capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a um aplicativo de terceiros.

CVE Bug (s) com links AOSP Gravidade Versões afetadas Data relatada
CVE-2015-6613 ANDROID-24371736 Alto 6,0 Google interno

Vulnerabilidade de elevação de privilégio em telefonia

Uma vulnerabilidade no componente de telefonia que pode permitir que um aplicativo mal-intencionado local passe dados não autorizados para interfaces de rede restritas, potencialmente impactando as tarifas de dados. Também pode impedir que o dispositivo receba chamadas, bem como permitir que um invasor controle as configurações de mudo das chamadas. Esse problema é classificado como gravidade moderada porque pode ser usado para obter permissões “ perigosas ” indevidamente.

CVE Bug (s) com links AOSP Gravidade Versões afetadas Data relatada
CVE-2015-6614 ANDROID-21900139 [ 2 ] [ 3 ] Moderado 5.0, 5.1 8 de junho de 2015

Perguntas e respostas comuns

Esta seção analisará as respostas a perguntas comuns que podem ocorrer após a leitura deste boletim.

1. Como posso determinar se meu dispositivo está atualizado para resolver esses problemas?

Compilações LMY48X ou posterior e Android Marshmallow com nível de patch de segurança de 1º de novembro de 2015 ou posterior resolvem esses problemas. Consulte a documentação do Nexus para obter instruções sobre como verificar o nível do patch de segurança. Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da string de patch para: [ro.build.version.security_patch]: [2015-11-01]

Revisões

  • 2 de novembro de 2015: Originalmente publicado