Google si impegna a promuovere l'equità razziale per le comunità nere. Vedi come.
Questa pagina è stata tradotta dall'API Cloud Translation.
Switch to English

Nexus Security Bulletin - Dicembre 2015

Pubblicato il 07 dicembre 2015 | Aggiornato il 7 marzo 2016

Abbiamo rilasciato un aggiornamento di sicurezza per i dispositivi Nexus attraverso un aggiornamento over-the-air (OTA) come parte del nostro processo di rilascio mensile del bollettino sulla sicurezza di Android. Le immagini del firmware Nexus sono state anche rilasciate sul sito per sviluppatori Google . Crea LMY48Z o successivo e Android 6.0 con livello di patch di sicurezza del 1 ° dicembre 2015 o successivo per risolvere questi problemi. Fare riferimento alla sezione Domande e risposte comuni per maggiori dettagli.

I partner sono stati informati e hanno fornito aggiornamenti per questi problemi il 2 novembre 2015 o precedenti. Laddove applicabile, le patch di codice sorgente per questi problemi sono state rilasciate nel repository AOSP (Android Open Source Project).

Il più grave di questi problemi è una vulnerabilità di sicurezza critica che potrebbe consentire l'esecuzione di codice in modalità remota su un dispositivo interessato attraverso più metodi come e-mail, navigazione Web e MMS durante l'elaborazione dei file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, presupponendo che le mitigazioni della piattaforma e del servizio siano disabilitate a fini di sviluppo o se ignorate correttamente.

Non abbiamo avuto notizie di sfruttamento attivo da parte dei clienti di questi problemi appena segnalati. Fare riferimento alla sezione Mitigazioni per i dettagli sulle protezioni della piattaforma di sicurezza Android e le protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android. Incoraggiamo tutti i clienti ad accettare questi aggiornamenti per i loro dispositivi.

Fattori attenuanti

Questo è un riepilogo delle mitigazioni fornite dalla piattaforma di sicurezza Android e delle protezioni del servizio come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità di sicurezza possano essere sfruttate con successo su Android.

  • Lo sfruttamento per molti problemi su Android è reso più difficile dai miglioramenti nelle nuove versioni della piattaforma Android. Incoraggiamo tutti gli utenti ad aggiornare all'ultima versione di Android ove possibile.
  • Il team di sicurezza di Android sta monitorando attivamente gli abusi con Verify Apps e SafetyNet, che avvertirà che potrebbero essere installate applicazioni potenzialmente dannose. Gli strumenti di rooting dei dispositivi sono vietati in Google Play. Per proteggere gli utenti che installano applicazioni al di fuori di Google Play, Verifica app è abilitato per impostazione predefinita e avvisa gli utenti delle applicazioni di rooting note. Verifica App tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di escalation di privilegi. Se tale applicazione è già stata installata, Verifica App avviserà l'utente e tenterà di rimuovere tali applicazioni.
  • Se del caso, le applicazioni di Google Hangouts e Messenger non passano automaticamente i media a processi come mediaserver.

Ringraziamenti

Vorremmo ringraziare questi ricercatori per il loro contributo:

  • Abhishek Arya, Oliver Chang e Martin Barbella del team di sicurezza di Google Chrome: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , CVE-2015-6634
  • Flanker ( @flanker_hqd ) di KeenTeam ( @ K33nTeam ): CVE-2015-6620
  • Guang Gong (龚 广) ( @oldfresher , higongguang@gmail.com) di Qihoo 360 Technology Co.Ltd : CVE-2015-6626
  • Mark Carter ( @hanpingchinese ) di EmberMitre Ltd: CVE-2015-6630
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2015-6621
  • Natalie Silvanovich di Google Project Zero: CVE-2015-6616
  • Peter Pi di Trend Micro: CVE-2015-6616, CVE-2015-6628
  • Qidan He ( @flanker_hqd ) e Marco Grassi ( @marcograss ) di KeenTeam ( @ K33nTeam ): CVE-2015-6622
  • Tzu-Yin (Nina) Tai: CVE-2015-6627
  • Joaquín Rinaudo ( @xeroxnir ) di Programa STIC presso Fundación Dr. Manuel Sadosky, Buenos Aires, Argentina: CVE-2015-6631
  • Wangtao (neobita) di Baidu X-Team: CVE-2015-6626

Dettagli sulla vulnerabilità della sicurezza

Nelle sezioni seguenti, forniamo i dettagli per ciascuna delle vulnerabilità di sicurezza che si applicano al livello di patch 2015-12-01. C'è una descrizione del problema, una logica di gravità e una tabella con CVE, bug associato, gravità, versioni aggiornate e data riportata. Se disponibile, collegheremo la modifica AOSP che ha risolto il problema con l'ID bug. Quando più modifiche si riferiscono a un singolo bug, ulteriori riferimenti AOSP sono collegati ai numeri che seguono l'ID bug.

Vulnerabilità legate all'esecuzione di codice in modalità remota in Mediaserver

Durante il file multimediale e l'elaborazione dei dati di un file appositamente predisposto, le vulnerabilità nel mediaserver potrebbero consentire a un utente malintenzionato di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota come processo mediaserver.

La funzionalità interessata viene fornita come parte principale del sistema operativo e ci sono più applicazioni che ne consentono il raggiungimento con contenuti remoti, in particolare MMS e riproduzione del browser da parte dei media.

Questo problema è classificato come gravità critica a causa della possibilità di esecuzione di codice in modalità remota nel contesto del servizio mediaserver. Il servizio mediaserver ha accesso ai flussi audio e video e ai privilegi a cui le app di terze parti non possono normalmente accedere.

CVE Bug (s) con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6616 ANDROID-24630158 critico 6.0 e precedenti Google interno
ANDROID-23882800 critico 6.0 e precedenti Google interno
ANDROID-17769851 critico 5.1 e precedenti Google interno
ANDROID-24441553 critico 6.0 e precedenti 22 settembre 2015
ANDROID-24157524 critico 6.0 08 settembre 2015

Vulnerabilità legata all'esecuzione di codice in modalità remota in Skia

Una vulnerabilità nel componente Skia può essere sfruttata durante l'elaborazione di un file multimediale appositamente predisposto, che potrebbe portare alla corruzione della memoria e all'esecuzione di codice in modalità remota in un processo privilegiato. Questo problema è classificato come gravità critica a causa della possibilità di esecuzione di codice in modalità remota attraverso più metodi di attacco come e-mail, navigazione Web e MMS durante l'elaborazione dei file multimediali.

CVE Bug (s) con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6617 ANDROID-23648740 critico 6.0 e precedenti Google interno

Elevazione del privilegio nel kernel

Una vulnerabilità legata all'acquisizione di privilegi più elevati nel kernel di sistema potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario all'interno del contesto radice del dispositivo. Questo problema è classificato come gravità critica a causa della possibilità di un compromesso permanente del dispositivo locale e il dispositivo può essere riparato solo eseguendo nuovamente il flashing del sistema operativo.

CVE Bug (s) con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6619 ANDROID-23520714 critico 6.0 e precedenti 7-giu-2015

Vulnerabilità legate all'esecuzione di codice in modalità remota nel driver di visualizzazione

Esistono vulnerabilità nei driver di visualizzazione che, durante l'elaborazione di un file multimediale, potrebbero causare il danneggiamento della memoria e la potenziale esecuzione di codice arbitrario nel contesto del driver in modalità utente caricato da mediaserver. Questo problema è classificato come gravità critica a causa della possibilità di esecuzione di codice in modalità remota attraverso più metodi di attacco come e-mail, navigazione Web e MMS durante l'elaborazione dei file multimediali.

CVE Bug (s) con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6633 ANDROID-23987307 * critico 6.0 e precedenti Google interno
CVE-2015-6634 ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] critico 5.1 e precedenti Google interno

* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito di Google Developer .

Vulnerabilità legata all'esecuzione di codice in modalità remota in Bluetooth

Una vulnerabilità nel componente Bluetooth di Android potrebbe consentire l'esecuzione di codice in modalità remota. Tuttavia sono necessari più passaggi manuali prima che ciò possa accadere. A tale scopo, è necessario un dispositivo associato correttamente, dopo aver abilitato il profilo PAN (Personal Area Network) (ad esempio tramite Bluetooth Tethering) e il dispositivo è associato. L'esecuzione del codice remoto sarebbe al privilegio del servizio Bluetooth. Un dispositivo è vulnerabile a questo problema solo da un dispositivo associato correttamente durante la prossimità locale.

Questo problema è classificato come Gravità elevata perché un utente malintenzionato può eseguire in remoto codice arbitrario solo dopo che sono stati eseguiti più passaggi manuali e da un utente malintenzionato localmente vicino a cui in precedenza era stato consentito accoppiare un dispositivo.

CVE Bug (s) Gravità Versioni aggiornate Data riportata
CVE-2015-6618 ANDROID-24595992 * alto 4.4, 5.0 e 5.1 28 settembre 2015

* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito di Google Developer .

Elevazione delle vulnerabilità legate ai privilegi in libstagefright

Esistono diverse vulnerabilità in libstagefright che potrebbero consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto del servizio mediaserver. Questo problema è classificato come severo perché potrebbe essere utilizzato per ottenere capacità elevate, come i privilegi delle autorizzazioni Signature o SignatureOrSystem , che non sono accessibili ad applicazioni di terze parti.

CVE Bug (s) con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6620 ANDROID-24123723 alto 6.0 e precedenti 10 settembre 2015
ANDROID-24445127 alto 6.0 e precedenti 2 settembre 2015

Vulnerabilità legata all'acquisizione di privilegi più elevati in SystemUI

Quando si imposta un allarme tramite l'applicazione orologio, una vulnerabilità nel componente SystemUI potrebbe consentire a un'applicazione di eseguire un'attività a un livello di privilegio elevato. Questo problema è classificato come severo perché potrebbe essere utilizzato per ottenere capacità elevate, come i privilegi delle autorizzazioni Signature o SignatureOrSystem , che non sono accessibili ad applicazioni di terze parti.

CVE Bug (s) con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6621 ANDROID-23909438 alto 5.0, 5.1 e 6.0 7 settembre 2015

Vulnerabilità legata alla divulgazione di informazioni nella libreria dei frame nativi

Una vulnerabilità legata alla divulgazione di informazioni nella libreria Android Native Frameworks potrebbe consentire di aggirare le misure di sicurezza in atto per aumentare la difficoltà degli aggressori che sfruttano la piattaforma. Questi problemi sono classificati come severi perché potrebbero anche essere utilizzati per ottenere capacità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili ad applicazioni di terze parti.

CVE Bug (s) con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6622 ANDROID-23905002 alto 6.0 e precedenti 7 settembre 2015

Vulnerabilità legata all'acquisizione di privilegi più elevati nel Wi-Fi

Un'elevata vulnerabilità dei privilegi nel Wi-Fi potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto di un servizio di sistema elevato. Questo problema è classificato come severo perché potrebbe essere utilizzato per ottenere capacità elevate, come i privilegi delle autorizzazioni Signature o SignatureOrSystem , che non sono accessibili a un'applicazione di terze parti.

CVE Bug (s) con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6623 ANDROID-24872703 alto 6.0 Google interno

Vulnerabilità legata all'acquisizione di privilegi più elevati in System Server

Una vulnerabilità legata all'acquisizione di privilegi più elevati nel componente Server di sistema potrebbe consentire a un'applicazione locale dannosa di accedere alle informazioni relative al servizio. Questo problema è classificato come severo perché potrebbe essere utilizzato per ottenere capacità elevate, come i privilegi delle autorizzazioni Signature o SignatureOrSystem , che non sono accessibili alle applicazioni di terze parti.

CVE Bug (s) con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6624 ANDROID-23999740 alto 6.0 Google interno

Vulnerabilità legate alla divulgazione di informazioni in libstagefright

Esistono vulnerabilità legate alla divulgazione di informazioni in libstagefright che durante la comunicazione con il mediaserver potrebbero consentire un bypass delle misure di sicurezza in atto per aumentare la difficoltà degli aggressori che sfruttano la piattaforma. Questi problemi sono classificati come severi perché potrebbero anche essere utilizzati per ottenere capacità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili ad applicazioni di terze parti.

CVE Bug (s) con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6632 ANDROID-24346430 alto 6.0 e precedenti Google interno
CVE-2015-6626 ANDROID-24310423 alto 6.0 e precedenti 2 settembre 2015
CVE-2015-6631 ANDROID-24623447 alto 6.0 e precedenti 21-ago-2015

Vulnerabilità legata alla divulgazione di informazioni in audio

Una vulnerabilità nel componente audio potrebbe essere sfruttata durante l'elaborazione dei file audio. Questa vulnerabilità può consentire a un'applicazione locale dannosa, durante l'elaborazione di un file appositamente predisposto, di causare la divulgazione di informazioni. Questo problema è classificato come severo perché potrebbe essere utilizzato per ottenere capacità elevate, come i privilegi delle autorizzazioni Signature o SignatureOrSystem , che non sono accessibili alle applicazioni di terze parti.

CVE Bug (s) con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6627 ANDROID-24211743 alto 6.0 e precedenti Google interno

Vulnerabilità legata alla divulgazione di informazioni in Media Framework

Esiste una vulnerabilità legata alla divulgazione di informazioni in Media Framework che, durante la comunicazione con mediaserver, potrebbe consentire un bypass delle misure di sicurezza in atto per aumentare la difficoltà degli aggressori che sfruttano la piattaforma. Questo problema è classificato come severo perché potrebbe anche essere utilizzato per ottenere capacità elevate, come i privilegi delle autorizzazioni Signature o SignatureOrSystem , che non sono accessibili alle applicazioni di terze parti.

CVE Bug (s) con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6628 ANDROID-24074485 alto 6.0 e precedenti 8 settembre 2015

Vulnerabilità legata alla divulgazione di informazioni in Wi-Fi

Una vulnerabilità nel componente Wi-Fi potrebbe consentire a un utente malintenzionato di indurre il servizio Wi-Fi a divulgare informazioni. Questo problema è classificato come severo perché potrebbe essere utilizzato per ottenere capacità elevate, come i privilegi delle autorizzazioni Signature o SignatureOrSystem , che non sono accessibili ad applicazioni di terze parti.

CVE Bug (s) con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6629 ANDROID-22667667 alto 5.1 e 5.0 Google interno

Vulnerabilità legata all'acquisizione di privilegi più elevati in System Server

Una vulnerabilità legata all'acquisizione di privilegi più elevati nel System Server potrebbe consentire a un'applicazione locale dannosa di accedere alle informazioni relative al servizio Wi-Fi. Questo problema è classificato come gravità moderata perché potrebbe essere utilizzato per ottenere in modo improprio autorizzazioni " pericolose ".

CVE Bug (s) con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6625 ANDROID-23936840 Moderare 6.0 Google interno

Vulnerabilità legata alla divulgazione di informazioni in SystemUI

Una vulnerabilità legata alla divulgazione di informazioni nell'interfaccia utente di sistema potrebbe consentire a un'applicazione locale dannosa di accedere a schermate. Questo problema è classificato come gravità moderata perché potrebbe essere utilizzato per ottenere in modo improprio autorizzazioni " pericolose ".

CVE Bug (s) con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6630 ANDROID-19121797 Moderare 5.0, 5.1 e 6.0 22 gennaio 2015

Domande e risposte comuni

Questa sezione esaminerà le risposte alle domande più comuni che potrebbero verificarsi dopo aver letto questo bollettino.

1. Come posso determinare se il mio dispositivo è stato aggiornato per risolvere questi problemi?

Crea LMY48Z o successivo e Android 6.0 con livello di patch di sicurezza del 1 ° dicembre 2015 o successivo per risolvere questi problemi. Consulta la documentazione di Nexus per istruzioni su come controllare il livello della patch di sicurezza. I produttori di dispositivi che includono questi aggiornamenti dovrebbero impostare il livello della stringa di patch su: [ro.build.version.security_patch]: [2015-12-01]

revisioni

  • 07 dicembre 2015: originariamente pubblicato
  • 09 dicembre 2015: bollettino rivisto per includere collegamenti AOSP.
  • 22 dicembre 2015: aggiunto credito mancante alla sezione Ringraziamenti.
  • 07 marzo 2016: aggiunto credito mancante alla sezione Ringraziamenti.