Nexus のセキュリティに関する公開情報 - 2015 年 12 月

2015 年 12 月 7 日公開 | 2016 年 3 月 7 日更新

Android のセキュリティに関する月例情報公開の一環として、Nexus 端末に対するセキュリティ アップデートを無線(OTA)による更新で配信しました。Nexus ファームウェア イメージも Google デベロッパー サイトにリリースされています。LMY48Z 以降のビルド、および Android 6.0(セキュリティ パッチ レベルが 2015 年 12 月 1 日以降)で下記の問題に対処しています。詳しくは、一般的な質問と回答をご覧ください。

パートナーには下記の問題について 2015 年 11 月 2 日までに通知し、アップデートを提供済みです。該当する場合、下記の問題に対するソースコードのパッチは、Android オープンソース プロジェクト(AOSP)レポジトリにリリースされています。

下記の問題のうち最も重大度の高いものは、多様な方法(メール、ウェブの閲覧、MMS など)により、攻撃対象の端末でメディア ファイルを処理する際にリモートでのコード実行が可能になるおそれのある重大なセキュリティの脆弱性です。重大度の評価は、攻撃対象の端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により無効となっていることを前提としています。

この新たに報告された問題によって実際のユーザー端末が不正使用された報告はありません。Android セキュリティ プラットフォームの保護と SafetyNet のようなサービスの保護について詳しくは、リスクの軽減をご覧ください。こうした保護は、Android プラットフォームのセキュリティを改善します。ご利用の端末に上記のアップデートを適用することをすべてのユーザーにおすすめします。

リスクの軽減

ここでは、Android セキュリティ プラットフォームの保護と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。

  • Android プラットフォームの最新版での機能強化により、Android 上の多くの問題の悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新バージョンの Android に更新することをおすすめしています。
  • Android セキュリティ チームは、「アプリの確認」や SafetyNet によって脆弱性の悪用を積極的に監視しています。こうした機能は、有害なおそれのあるアプリがインストールされる前に警告します。端末のルート権限を取得するツールは、Google Play で禁止されています。Google Play 以外からアプリをインストールするユーザーを保護するため、「アプリの確認」はデフォルトで有効になっており、ルート権限を取得する既知のアプリについてユーザーに警告します。「アプリの確認」では、悪意のある既知のアプリで権限昇格の脆弱性が悪用されないように、そのようなアプリのインストールを見つけて阻止します。こうしたアプリがすでにインストールされている場合は、ユーザーに通知して、そのアプリの削除を試みます。
  • Google ハングアウトやメッセンジャーのアプリでは状況を判断し、メディアサーバーなどのプロセスに自動的にメディアを渡すことはありません。

謝辞

調査にご協力くださった下記の皆様方に感謝いたします(敬称略)。

  • Google Chrome セキュリティ チームの Abhishek Arya、Oliver Chang、Martin Barbella: CVE-2015-6616、CVE-2015-6617、CVE-2015-6623、CVE-2015-6626、CVE-2015-6619、CVE-2015-6633、CVE-2015-6634
  • KeenTeam@K33nTeam)の Flanker(@flanker_hqd): CVE-2015-6620
  • Qihoo 360 Technology Co.Ltd の Guang Gong(龚广)(@oldfresher、higongguang@gmail.com): CVE-2015-6626
  • EmberMitre Ltd の Mark Carter(@hanpingchinese): CVE-2015-6630
  • Michał Bednarski(https://github.com/michalbednarski): CVE-2015-6621
  • Google Project Zero の Natalie Silvanovich: CVE-2015-6616
  • Trend Micro の Peter Pi: CVE-2015-6616、CVE-2015-6628
  • KeenTeam@K33nTeam)の Qidan He(@flanker_hqd)と Marco Grassi(@marcograss): CVE-2015-6622
  • Tzu-Yin(Nina)Tai: CVE-2015-6627
  • Fundación Dr. Manuel Sadosky(アルゼンチン、ブエノスアイレス)、Programa STIC の Joaquín Rinaudo(@xeroxnir): CVE-2015-6631
  • Baidu X-Team の Wangtao(neobyte): CVE-2015-6626

セキュリティの脆弱性の詳細

パッチレベル 2015-12-01 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠を説明し、CVE、関連するバグ、重大度、更新されたバージョン、報告日を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した AOSP での変更へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の AOSP リファレンスへのリンクを示します。

メディアサーバーでのリモートコード実行の脆弱性

特別に細工されたメディア ファイルやデータのメディアサーバーでの処理中に、攻撃者がメディアサーバーの脆弱性を悪用して、メモリ破壊やリモートコード実行を行うおそれがあります。

影響を受ける機能はオペレーティング システムの中核部分として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。

メディアサーバーのサービスにおいてリモートでコードが実行されるおそれがあるため、この問題の重大度は「重大」と判断されています。メディアサーバーのサービスは音声や動画のストリームにアクセスできるほか、通常はサードパーティ製アプリがアクセスできないような権限にアクセスできます。

CVE バグと AOSP リンク 重大度 更新されたバージョン 報告日
CVE-2015-6616 ANDROID-24630158 重大 6.0 以下 Google 社内
ANDROID-23882800 重大 6.0 以下 Google 社内
ANDROID-17769851 重大 5.1 以下 Google 社内
ANDROID-24441553 重大 6.0 以下 2015 年 9 月 22 日
ANDROID-24157524 重大 6.0 2015 年 9 月 8 日

Skia でのリモートコード実行の脆弱性

Skia コンポーネントに脆弱性があり、特別に細工されたメディア ファイルの処理中に悪用されて、特権プロセスでのメモリ破壊やリモートコード実行につながるおそれがあります。メディア ファイルの処理中に、メール、ウェブの閲覧、MMS などの複数の攻撃方法によりリモートコード実行が可能になるため、この問題の重大度は「重大」と判断されています。

CVE バグと AOSP リンク 重大度 更新されたバージョン 報告日
CVE-2015-6617 ANDROID-23648740 重大 6.0 以下 Google 社内

カーネルでの権限昇格

システム カーネルに権限昇格の脆弱性があり、端末のルート内で悪意のあるローカルアプリが勝手なコードを実行できるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、オペレーティング システムの再適用によってしか端末を修復できなくなる可能性があるため、この問題は「重大」と判断されています。

CVE バグと AOSP リンク 重大度 更新されたバージョン 報告日
CVE-2015-6619 ANDROID-23520714 重大 6.0 以下 2015 年 6 月 7 日

ディスプレイ ドライバでのリモートコード実行の脆弱性

ディスプレイ ドライバに脆弱性があり、メディア ファイルの処理中に、メディアサーバーによって読み込まれたユーザーモード ドライバのコンテキスト内で、メモリが破壊されたり勝手なコードが実行されたりするおそれがあります。メディア ファイルの処理中に、メール、ウェブの閲覧、MMS などの複数の攻撃方法によりリモートコード実行が可能になるため、この問題の重大度は「重大」と判断されています。

CVE バグと AOSP リンク 重大度 更新されたバージョン 報告日
CVE-2015-6633 ANDROID-23987307* 重大 6.0 以下 Google 社内
CVE-2015-6634 ANDROID-24163261 [2] [3] [4] 重大 5.1 以下 Google 社内

* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

Bluetooth でのリモートコード実行の脆弱性

Android の Bluetooth コンポーネントに脆弱性があり、リモートコード実行が可能になるおそれがあります。ただし、この脆弱性を悪用するには複数の手順を手動で行う必要があります。これを行うためには、事前に Personal Area Network(PAN)プロファイルを(たとえば Bluetooth テザリングを使用して)有効にして端末をペア設定したうえで、正常にペア設定されたもう一方の端末が必要となります。リモートコードは Bluetooth サービスの権限で実行されます。端末でこの脆弱性が問題となるのは、正常にペア設定されたもう一方の端末が近くにある場合のみです。

攻撃者が勝手なコードをリモートで実行するためには、事前に端末同士をペア設定して複数の手順を手動で行ったうえで、端末の近くで操作を行う必要があるため、この問題の重大度は「高」と判断されています。

CVE バグ 重大度 更新されたバージョン 報告日
CVE-2015-6618 ANDROID-24595992* 4.4、5.0、5.1 2015 年 9 月 28 日

* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

libstagefright での権限昇格の脆弱性

libstagefright に複数の脆弱性があり、メディアサーバー サービスで悪意のあるローカルアプリが勝手なコードを実行できるおそれがあります。サードパーティ製アプリによるアクセスが不可能となっている signature 権限や signatureOrSystem 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE バグと AOSP リンク 重大度 更新されたバージョン 報告日
CVE-2015-6620 ANDROID-24123723 6.0 以下 2015 年 9 月 10 日
ANDROID-24445127 6.0 以下 2015 年 9 月 2 日

SystemUI での権限昇格の脆弱性

時計アプリを使用してアラームを設定する際、SystemUI コンポーネントの脆弱性によって、アプリが不正に昇格させた権限を使ってタスクを実行できるおそれがあります。サードパーティ製アプリによるアクセスが不可能となっている signature 権限や signatureOrSystem 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE バグと AOSP リンク 重大度 更新されたバージョン 報告日
CVE-2015-6621 ANDROID-23909438 5.0、5.1、6.0 2015 年 9 月 7 日

ネイティブ フレームワーク ライブラリでの情報開示の脆弱性

Android のネイティブ フレームワーク ライブラリに情報開示の脆弱性があり、攻撃者によるプラットフォームの悪用を阻むためのセキュリティ対策が回避されるおそれがあります。サードパーティ製アプリによるアクセスが不可能となっている signature 権限や signatureOrSystem 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE バグと AOSP リンク 重大度 更新されたバージョン 報告日
CVE-2015-6622 ANDROID-23905002 6.0 以下 2015 年 9 月 7 日

Wi-Fi での権限昇格の脆弱性

Wi-Fi に権限昇格の脆弱性があり、昇格したシステム サービス内で悪意のあるローカルアプリが勝手なコードを実行できるおそれがあります。サードパーティ製アプリによるアクセスが不可能となっている signature 権限や SignatureOrSystem 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE バグと AOSP リンク 重大度 更新されたバージョン 報告日
CVE-2015-6623 ANDROID-24872703 6.0 Google 社内

System Server での権限昇格の脆弱性

System Server コンポーネントに権限昇格の脆弱性があり、悪意のあるローカルアプリがサービス関連の情報にアクセスできるおそれがあります。サードパーティ製アプリによるアクセスが不可能となっている signature 権限や signatureOrSystem 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE バグと AOSP リンク 重大度 更新されたバージョン 報告日
CVE-2015-6624 ANDROID-23999740 6.0 Google 社内

libstagefright での情報開示の脆弱性

libstagefright に情報開示の脆弱性があり、メディアサーバーとの通信中に、攻撃者によるプラットフォームの悪用を阻むためのセキュリティ対策が回避されるおそれがあります。サードパーティ製アプリによるアクセスが不可能となっている signature 権限や SignatureOrSystem 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE バグと AOSP リンク 重大度 更新されたバージョン 報告日
CVE-2015-6632 ANDROID-24346430 6.0 以下 Google 社内
CVE-2015-6626 ANDROID-24310423 6.0 以下 2015 年 9 月 2 日
CVE-2015-6631 ANDROID-24623447 6.0 以下 2015 年 8 月 21 日

Audio での情報開示の脆弱性

Audio コンポーネントの脆弱性が、音声ファイルの処理中に悪用されるおそれがあります。特別に細工したファイルが処理される間に、悪意のあるローカルアプリによって情報が開示されるおそれがあります。サードパーティ製アプリによるアクセスが不可能となっている signature 権限や signatureOrSystem 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE バグと AOSP リンク 重大度 更新されたバージョン 報告日
CVE-2015-6627 ANDROID-24211743 6.0 以下 Google 社内

メディア フレームワークでの情報開示の脆弱性

メディア フレームワークに情報開示の脆弱性があり、メディアサーバーとの通信中に、攻撃者によるプラットフォームの悪用を阻むためのセキュリティ対策が回避されるおそれがあります。サードパーティ製アプリによるアクセスが不可能となっている signature 権限や signatureOrSystem 権限などへの昇格にこのような脆弱性が利用されるおそれもあるため、この問題の重大度は「高」と判断されています。

CVE バグと AOSP リンク 重大度 更新されたバージョン 報告日
CVE-2015-6628 ANDROID-24074485 6.0 以下 2015 年 9 月 8 日

Wi-Fi での情報開示の脆弱性

Wi-Fi コンポーネントに脆弱性があり、攻撃者によって Wi-Fi サービスで情報が開示されるおそれがあります。サードパーティ製アプリによるアクセスが不可能となっている signature 権限や signatureOrSystem 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE バグと AOSP リンク 重大度 更新されたバージョン 報告日
CVE-2015-6629 ANDROID-22667667 5.1 と 5.0 Google 社内

System Server での権限昇格の脆弱性

System Server に権限昇格の脆弱性があり、悪意のあるローカルアプリが Wi-Fi サービス関連の情報にアクセスできるおそれがあります。「dangerous」権限を不正取得できるおそれがあるため、この問題の重大度は「中」と判断されています。

CVE バグと AOSP リンク 重大度 更新されたバージョン 報告日
CVE-2015-6625 ANDROID-23936840 6.0 Google 社内

SystemUI での情報開示の脆弱性

SystemUI に情報開示の脆弱性があり、悪意のあるローカルアプリがスクリーンショットにアクセスできるおそれがあります。「dangerous」権限を不正取得できるおそれがあるため、この問題の重大度は「中」と判断されています。

CVE バグと AOSP リンク 重大度 更新されたバージョン 報告日
CVE-2015-6630 ANDROID-19121797 5.0、5.1、6.0 2015 年 1 月 22 日

一般的な質問と回答

上記の公開情報に対する一般的な質問とその回答について、以下で説明します。

1. 上記の問題に対処するように端末が更新されているかどうかを確かめるには、どうすればよいですか?

LMY48Z 以降のビルド、および Android 6.0(セキュリティ パッチ レベルが 2015 年 12 月 1 日以降)で上記の問題に対処しています。セキュリティ パッチ レベルを確認する方法について詳しくは、Nexus のドキュメントをご覧ください。このアップデートを含めたデバイス メーカーは、パッチ文字列のレベルを [ro.build.version.security_patch]:[2015-12-01] に設定する必要があります。

改訂

  • 2015 年 12 月 7 日: 初公開
  • 2015 年 12 月 9 日: 公開情報を改訂し AOSP リンクを追加
  • 2015 年 12 月 22 日: 謝辞にクレジットを追加
  • 2016 年 3 月 7 日: 謝辞にクレジットを追加