Google setzt sich dafür ein, die Rassengerechtigkeit für schwarze Gemeinschaften zu fördern. Siehe wie.
Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Nexus Security Bulletin - Dezember 2015

Veröffentlicht am 07. Dezember 2015 | Aktualisiert am 7. März 2016

Wir haben ein Sicherheitsupdate für Nexus-Geräte über ein OTA-Update (Over-the-Air) als Teil unseres monatlichen Release-Prozesses für das Android Security Bulletin veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht . Builds LMY48Z oder höher und Android 6.0 mit Sicherheits-Patch-Level vom 1. Dezember 2015 oder höher beheben diese Probleme. Weitere Informationen finden Sie im Abschnitt Allgemeine Fragen und Antworten .

Die Partner wurden am 2. November 2015 oder früher über diese Probleme informiert und über Updates informiert. Gegebenenfalls wurden Quellcode-Patches für diese Probleme im AOSP-Repository (Android Open Source Project) veröffentlicht.

Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Surfen im Internet und MMS bei der Verarbeitung von Mediendateien ermöglichen kann. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Sicherheitsanfälligkeit möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstminderungen sind für Entwicklungszwecke deaktiviert oder werden erfolgreich umgangen.

Wir haben keine Berichte über die aktive Nutzung dieser neu gemeldeten Probleme durch Kunden erhalten. Weitere Informationen zum Schutz der Android-Sicherheitsplattform und zum Schutz von Diensten wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Schadensbegrenzungen . Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.

Milderungen

Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform bereitgestellten Maßnahmen und des Schutzes von Diensten wie SafetyNet. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken unter Android erfolgreich ausgenutzt werden können.

  • Die Nutzung vieler Probleme unter Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht mit Verify Apps und SafetyNet aktiv auf Missbrauch, um vor potenziell schädlichen Anwendungen zu warnen, die installiert werden sollen. Geräte-Rooting-Tools sind in Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist "Apps überprüfen" standardmäßig aktiviert und warnt Benutzer vor bekannten Root-Anwendungen. Überprüfen Sie, ob Apps versucht, die Installation bekannter schädlicher Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitsanfälligkeit bezüglich der Eskalation von Berechtigungen ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
  • Gegebenenfalls übergeben Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie den Medienserver.

Danksagung

Wir möchten diesen Forschern für ihre Beiträge danken:

  • Abhishek Arya, Oliver Chang und Martin Barbella vom Google Chrome-Sicherheitsteam: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , CVE-2015-6634
  • Flanker ( @flanker_hqd ) von KeenTeam ( @ K33nTeam ): CVE-2015-6620
  • Guang Gong (龚 广) ( @oldfresher , higongguang@gmail.com) von Qihoo 360 Technology Co. Ltd.: CVE-2015-6626
  • Mark Carter ( @hanpingchinese ) von EmberMitre Ltd: CVE-2015-6630
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2015-6621
  • Natalie Silvanovich von Google Project Zero: CVE-2015-6616
  • Peter Pi von Trend Micro: CVE-2015-6616, CVE-2015-6628
  • Qidan He ( @flanker_hqd ) und Marco Grassi ( @marcograss ) von KeenTeam ( @ K33nTeam ): CVE-2015-6622
  • Tzu-Yin (Nina) Tai: CVE-2015-6627
  • Joaquín Rinaudo ( @xeroxnir ) von Programa STIC an der Fundación Dr. Manuel Sadosky, Buenos Aires, Argentinien: CVE-2015-6631
  • Wangtao (Neobyt) vom Baidu X-Team: CVE-2015-6626

Details zu Sicherheitslücken

In den folgenden Abschnitten finden Sie Details zu den Sicherheitslücken, die für die Patch-Version 2015-12-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung des Schweregrads und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den aktualisierten Versionen und dem gemeldeten Datum. Wenn verfügbar, verknüpfen wir die AOSP-Änderung, mit der das Problem behoben wurde, mit der Fehler-ID. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern verknüpft, die auf die Fehler-ID folgen.

Sicherheitslücken bei der Remotecodeausführung in Mediaserver

Während der Verarbeitung von Mediendateien und Daten einer speziell gestalteten Datei können Sicherheitslücken im Mediaserver dazu führen, dass ein Angreifer als Mediaserver-Prozess Speicherbeschädigungen und Remotecodeausführung verursacht.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, mit denen sie mit Remote-Inhalten erreicht werden kann, insbesondere mit MMS und der Browser-Wiedergabe von Medien.

Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Dienstes als kritischer Schweregrad eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6616 ANDROID-24630158 Kritisch 6.0 und darunter Google Intern
ANDROID-23882800 Kritisch 6.0 und darunter Google Intern
ANDROID-17769851 Kritisch 5.1 und darunter Google Intern
ANDROID-24441553 Kritisch 6.0 und darunter 22. September 2015
ANDROID-24157524 Kritisch 6.0 08. September 2015

Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Skia

Bei der Verarbeitung einer speziell gestalteten Mediendatei kann eine Sicherheitsanfälligkeit in der Skia-Komponente ausgenutzt werden, die in einem privilegierten Prozess zu Speicherbeschädigung und Remotecodeausführung führen kann. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung durch mehrere Angriffsmethoden wie E-Mail, Surfen im Internet und MMS bei der Verarbeitung von Mediendateien als kritischer Schweregrad eingestuft.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6617 ANDROID-23648740 Kritisch 6.0 und darunter Google intern

Erhöhung der Berechtigung im Kernel

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Systemkern könnte es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Gerätestammkontext auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritischer Schweregrad eingestuft. Das Gerät konnte nur durch erneutes Flashen des Betriebssystems repariert werden.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6619 ANDROID-23520714 Kritisch 6.0 und darunter 7. Juni 2015

Sicherheitslücken bei der Remotecodeausführung im Anzeigetreiber

Die Anzeigetreiber weisen Schwachstellen auf, die bei der Verarbeitung einer Mediendatei zu Speicherbeschädigungen und einer möglichen Ausführung von willkürlichem Code im Kontext des vom Mediaserver geladenen Benutzermodus-Treibers führen können. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung durch mehrere Angriffsmethoden wie E-Mail, Surfen im Internet und MMS bei der Verarbeitung von Mediendateien als kritischer Schweregrad eingestuft.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6633 ANDROID-23987307 * Kritisch 6.0 und darunter Google Intern
CVE-2015-6634 ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] Kritisch 5.1 und darunter Google Intern

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Bluetooth

Eine Sicherheitsanfälligkeit in der Bluetooth-Komponente von Android kann die Ausführung von Remotecode ermöglichen. Es sind jedoch mehrere manuelle Schritte erforderlich, bevor dies auftreten kann. Dazu wäre ein erfolgreich gekoppeltes Gerät erforderlich, nachdem das PAN-Profil (Personal Area Network) aktiviert wurde (z. B. mithilfe von Bluetooth Tethering) und das Gerät gekoppelt wurde. Die Remotecodeausführung würde dem Bluetooth-Dienst vorbehalten sein. Ein Gerät ist nur von einem erfolgreich gekoppelten Gerät in lokaler Nähe für dieses Problem anfällig.

Dieses Problem wird als hoher Schweregrad eingestuft, da ein Angreifer beliebigen Code nur dann remote ausführen kann, wenn mehrere manuelle Schritte ausgeführt wurden, und von einem lokal benachbarten Angreifer, der zuvor ein Gerät koppeln durfte.

CVE Bug (s) Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6618 ANDROID-24595992 * Hoch 4.4, 5.0 und 5.1 28. September 2015

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung von Sicherheitslücken in Libstagefright

In libstagefright gibt es mehrere Sicherheitslücken, die es einer lokalen bösartigen Anwendung ermöglichen können, beliebigen Code im Kontext des Mediaserver-Dienstes auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da damit erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen erworben werden können, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6620 ANDROID-24123723 Hoch 6.0 und darunter 10. September 2015
ANDROID-24445127 Hoch 6.0 und darunter 2. September 2015

Erhöhung der Sicherheitsanfälligkeit in SystemUI

Beim Einstellen eines Alarms mithilfe der Uhranwendung kann eine Anwendung aufgrund einer Sicherheitsanfälligkeit in der SystemUI-Komponente eine Aufgabe mit erhöhten Berechtigungsstufen ausführen. Dieses Problem wird als hoher Schweregrad eingestuft, da damit erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen erworben werden können, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6621 ANDROID-23909438 Hoch 5.0, 5.1 und 6.0 7. September 2015

Sicherheitslücke bei der Offenlegung von Informationen in der Native Frameworks Library

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in der Android Native Frameworks Library könnte die Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen, um die Schwierigkeit von Angreifern zu erhöhen, die die Plattform ausnutzen. Diese Probleme werden als schwerwiegend eingestuft, da sie auch dazu verwendet werden können, erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6622 ANDROID-23905002 Hoch 6.0 und darunter 7. September 2015

Erhöhung der Sicherheitsanfälligkeit in Wi-Fi

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in Wi-Fi kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines erhöhten Systemdienstes auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da damit erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen erworben werden können, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6623 ANDROID-24872703 Hoch 6.0 Google Intern

Erhöhung der Sicherheitsanfälligkeit in Bezug auf Berechtigungen in System Server

Durch eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der System Server-Komponente kann eine lokale schädliche Anwendung Zugriff auf dienstbezogene Informationen erhalten. Dieses Problem wird als hoher Schweregrad eingestuft, da damit erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen erworben werden können, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6624 ANDROID-23999740 Hoch 6.0 Google intern

Sicherheitslücken bei der Offenlegung von Informationen in libstagefright

In libstagefright gibt es Sicherheitslücken bei der Offenlegung von Informationen, die während der Kommunikation mit mediaserver die Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen könnten, um die Schwierigkeit von Angreifern zu erhöhen, die die Plattform ausnutzen. Diese Probleme werden als schwerwiegend eingestuft, da sie auch dazu verwendet werden können, erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6632 ANDROID-24346430 Hoch 6.0 und darunter Google Intern
CVE-2015-6626 ANDROID-24310423 Hoch 6.0 und darunter 2. September 2015
CVE-2015-6631 ANDROID-24623447 Hoch 6.0 und darunter 21. August 2015

Sicherheitslücke bei der Offenlegung von Informationen in Audio

Eine Sicherheitsanfälligkeit in der Audiokomponente kann während der Verarbeitung von Audiodateien ausgenutzt werden. Diese Sicherheitsanfälligkeit kann dazu führen, dass eine lokale schädliche Anwendung während der Verarbeitung einer speziell gestalteten Datei Informationen preisgibt. Dieses Problem wird als hoher Schweregrad eingestuft, da damit erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen erworben werden können, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6627 ANDROID-24211743 Hoch 6.0 und darunter Google Intern

Sicherheitslücke bei der Offenlegung von Informationen in Media Framework

In Media Framework gibt es eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen, die während der Kommunikation mit mediaserver die Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen könnte, um die Schwierigkeit von Angreifern zu erhöhen, die die Plattform ausnutzen. Dieses Problem wird als hoher Schweregrad eingestuft, da es auch verwendet werden kann, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6628 ANDROID-24074485 Hoch 6.0 und darunter 8. September 2015

Sicherheitslücke bei der Offenlegung von Informationen in Wi-Fi

Eine Sicherheitsanfälligkeit in der Wi-Fi-Komponente kann es einem Angreifer ermöglichen, den Wi-Fi-Dienst zur Offenlegung von Informationen zu veranlassen. Dieses Problem wird als hoher Schweregrad eingestuft, da damit erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen erworben werden können, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6629 ANDROID-22667667 Hoch 5.1 und 5.0 Google Intern

Erhöhung der Sicherheitsanfälligkeit in Bezug auf Berechtigungen in System Server

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen auf dem Systemserver kann es einer lokalen bösartigen Anwendung ermöglichen, auf Informationen zu Wi-Fi-Diensten zuzugreifen. Dieses Problem wird als mittelschwer eingestuft, da es verwendet werden kann, um nicht ordnungsgemäß " gefährliche " Berechtigungen zu erhalten.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6625 ANDROID-23936840 Mäßig 6.0 Google Intern

Sicherheitslücke bei der Offenlegung von Informationen in SystemUI

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in der SystemUI kann es einer lokalen bösartigen Anwendung ermöglichen, auf Screenshots zuzugreifen. Dieses Problem wird als mittelschwer eingestuft, da es verwendet werden kann, um nicht ordnungsgemäß " gefährliche " Berechtigungen zu erhalten.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6630 ANDROID-19121797 Mäßig 5.0, 5.1 und 6.0 22. Januar 2015

Häufige Fragen und Antworten

In diesem Abschnitt werden Antworten auf häufig gestellte Fragen aufgeführt, die nach dem Lesen dieses Bulletins auftreten können.

1. Wie stelle ich fest, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?

Builds LMY48Z oder höher und Android 6.0 mit Sicherheits-Patch-Level vom 1. Dezember 2015 oder höher beheben diese Probleme. Anweisungen zum Überprüfen der Sicherheits-Patch-Stufe finden Sie in der Nexus-Dokumentation . Gerätehersteller, die diese Updates enthalten, sollten die Patch-Zeichenfolge auf Folgendes festlegen: [ro.build.version.security_patch]: [2015-12-01]

Überarbeitungen

  • 07. Dezember 2015: Ursprünglich veröffentlicht
  • 09. Dezember 2015: Das Bulletin wurde überarbeitet, um AOSP-Links aufzunehmen.
  • 22. Dezember 2015: Fehlende Gutschrift zum Abschnitt "Danksagungen" hinzugefügt.
  • 07. März 2016: Fehlende Gutschrift zum Abschnitt "Danksagungen" hinzugefügt.