Google is committed to advancing racial equity for Black communities. See how.
This page was translated by the Cloud Translation API.
Switch to English

Boletim de segurança do Nexus - dezembro de 2015

Publicado em 07 de dezembro de 2015 | Atualizado em 7 de março de 2016

Lançamos uma atualização de segurança para dispositivos Nexus por meio de uma atualização over-the-air (OTA) como parte de nosso processo de lançamento mensal do boletim de segurança do Android. As imagens do firmware Nexus também foram lançadas no site Google Developer . Builds LMY48Z ou posterior e Android 6.0 com nível de patch de segurança de 1 de dezembro de 2015 ou posterior resolvem esses problemas. Consulte a seção Perguntas e respostas comuns para obter mais detalhes.

Os parceiros foram notificados e forneceram atualizações para esses problemas em 2 de novembro de 2015 ou antes. Quando aplicável, os patches de código-fonte para esses problemas foram lançados no repositório Android Open Source Project (AOSP).

O mais grave desses problemas é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como email, navegação na Web e MMS, ao processar arquivos de mídia. A avaliação da gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, assumindo que a plataforma e as atenuações do serviço estão desabilitadas para fins de desenvolvimento ou se contornadas com sucesso.

Não recebemos relatórios de exploração ativa do cliente desses problemas relatados recentemente. Consulte a atenuações seção para obter detalhes sobre as proteções Android plataforma de segurança e proteções de serviços, como SafetyNet, que melhoram a segurança da plataforma Android. Incentivamos todos os clientes a aceitar essas atualizações em seus dispositivos.

Mitigações

Este é um resumo das atenuações fornecidas pela plataforma de segurança Android e proteções de serviço, como SafetyNet. Esses recursos reduzem a probabilidade de que as vulnerabilidades de segurança possam ser exploradas com êxito no Android.

  • A exploração de muitos problemas no Android é dificultada pelos aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
  • A equipe de segurança do Android está monitorando ativamente o abuso com Verify Apps e SafetyNet, que avisará sobre aplicativos potencialmente prejudiciais prestes a serem instalados. As ferramentas de rooting do dispositivo são proibidas no Google Play. Para proteger os usuários que instalam aplicativos de fora do Google Play, o Verify Apps é habilitado por padrão e avisará os usuários sobre aplicativos de root conhecidos. O Verify Apps tenta identificar e bloquear a instalação de aplicativos mal-intencionados conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará remover qualquer um desses aplicativos.
  • Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam mídia automaticamente para processos como mediaserver.

Reconhecimentos

Gostaríamos de agradecer a esses pesquisadores por suas contribuições:

  • Abhishek Arya, Oliver Chang e Martin Barbella da equipe de segurança do Google Chrome: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , CVE-2015-6634
  • Flanker ( @flanker_hqd ) de KeenTeam ( @ K33nTeam ): CVE-2015-6620
  • Guang Gong (龚 广) ( @oldfresher , higongguang@gmail.com) da Qihoo 360 Technology Co.Ltd : CVE-2015-6626
  • Mark Carter ( @hanpingchinese ) da EmberMitre Ltd: CVE-2015-6630
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2015-6621
  • Natalie Silvanovich do Google Project Zero: CVE-2015-6616
  • Peter Pi da Trend Micro: CVE-2015-6616, CVE-2015-6628
  • Qidan He ( @flanker_hqd ) e Marco Grassi ( @marcograss ) da KeenTeam ( @ K33nTeam ): CVE-2015-6622
  • Tzu-Yin (Nina) Tai: CVE-2015-6627
  • Joaquín Rinaudo ( @xeroxnir ) do Programa STIC da Fundación Dr. Manuel Sadosky, Buenos Aires, Argentina: CVE-2015-6631
  • Wangtao (neobyte) do Baidu X-Team: CVE-2015-6626

Detalhes de vulnerabilidade de segurança

Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 01-12-2015. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, bug associado, gravidade, versões atualizadas e data relatada. Quando disponível, vincularemos a alteração do AOSP que abordou o problema ao ID do bug. Quando várias alterações estão relacionadas a um único bug, referências adicionais do AOSP são vinculadas a números após a ID do bug.

Vulnerabilidades de execução remota de código no Mediaserver

Durante o processamento de arquivos de mídia e dados de um arquivo especialmente criado, as vulnerabilidades no mediaserver podem permitir que um invasor cause corrupção de memória e execução remota de código como o processo do mediaserver.

A funcionalidade afetada é fornecida como uma parte central do sistema operacional e há vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador.

Este problema é classificado como uma gravidade crítica devido à possibilidade de execução remota de código dentro do contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não podem acessar.

CVE Bug (s) com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2015-6616 ANDROID-24630158 Crítico 6.0 e abaixo Google interno
ANDROID-23882800 Crítico 6.0 e abaixo Google interno
ANDROID-17769851 Crítico 5.1 e abaixo Google interno
ANDROID-24441553 Crítico 6.0 e abaixo 22 de setembro de 2015
ANDROID-24157524 Crítico 6,0 08 de setembro de 2015

Vulnerabilidade de execução remota de código no Skia

Uma vulnerabilidade no componente Skia pode ser aproveitada durante o processamento de um arquivo de mídia especialmente criado, o que pode levar à corrupção da memória e à execução remota de código em um processo privilegiado. Esse problema é classificado como uma gravidade crítica devido à possibilidade de execução remota de código por meio de vários métodos de ataque, como e-mail, navegação na web e MMS ao processar arquivos de mídia.

CVE Bug (s) com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2015-6617 ANDROID-23648740 Crítico 6.0 e abaixo Interno do Google

Elevação de privilégio no kernel

Uma vulnerabilidade de elevação de privilégio no kernel do sistema pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto raiz do dispositivo. Este problema é classificado como uma gravidade Crítica devido à possibilidade de um comprometimento local permanente do dispositivo e o dispositivo só poderia ser reparado atualizando o sistema operacional.

CVE Bug (s) com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2015-6619 ANDROID-23520714 Crítico 6.0 e abaixo 7 de junho de 2015

Vulnerabilidades de execução remota de código no driver de vídeo

Existem vulnerabilidades nos drivers de vídeo que, ao processar um arquivo de mídia, podem causar corrupção de memória e potencial execução de código arbitrário no contexto do driver do modo de usuário carregado pelo mediaserver. Esse problema é classificado como uma gravidade crítica devido à possibilidade de execução remota de código por meio de vários métodos de ataque, como e-mail, navegação na web e MMS ao processar arquivos de mídia.

CVE Bug (s) com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2015-6633 ANDROID-23987307 * Crítico 6.0 e abaixo Google interno
CVE-2015-6634 ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] Crítico 5.1 e abaixo Interno do Google

* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

Vulnerabilidade de execução remota de código em Bluetooth

Uma vulnerabilidade no componente Bluetooth do Android pode permitir a execução remota de código. No entanto, várias etapas manuais são necessárias antes que isso ocorra. Para fazer isso, seria necessário um dispositivo emparelhado com êxito, após o perfil de rede de área pessoal (PAN) ser ativado (por exemplo, usando Tethering Bluetooth) e o dispositivo ser emparelhado. A execução remota do código seria privilégio do serviço Bluetooth. Um dispositivo só é vulnerável a esse problema se um dispositivo emparelhado com êxito estiver próximo ao local.

Esse problema é classificado como de alta gravidade porque um invasor pode executar remotamente código arbitrário somente após várias etapas manuais serem executadas e de um invasor localmente próximo que anteriormente tinha permissão para emparelhar um dispositivo.

CVE Insetos) Gravidade Versões atualizadas Data relatada
CVE-2015-6618 ANDROID-24595992 * Alto 4.4, 5.0 e 5.1 28 de setembro de 2015

* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

Elevação de vulnerabilidades de privilégio em libstagefright

Existem várias vulnerabilidades no libstagefright que podem permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do serviço mediaserver. Este problema é classificada como alta gravidade, pois poderia ser utilizado para obter capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a um aplicativos de terceiros.

CVE Bug (s) com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2015-6620 ANDROID-24123723 Alto 6.0 e abaixo 10 de setembro de 2015
ANDROID-24445127 Alto 6.0 e abaixo 2 de setembro de 2015

Vulnerabilidade de elevação de privilégio em SystemUI

Ao definir um alarme usando o aplicativo de relógio, uma vulnerabilidade no componente SystemUI pode permitir que um aplicativo execute uma tarefa em um nível de privilégio elevado. Este problema é classificada como alta gravidade, pois poderia ser utilizado para obter capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a um aplicativos de terceiros.

CVE Bug (s) com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2015-6621 ANDROID-23909438 Alto 5.0, 5.1 e 6.0 7 de setembro de 2015

Vulnerabilidade de divulgação de informações na biblioteca Native Frameworks

Uma vulnerabilidade de divulgação de informações no Android Native Frameworks Library pode permitir um desvio das medidas de segurança em vigor para aumentar a dificuldade de invasores que exploram a plataforma. Estas questões são classificadas como de alto gravidade, porque eles também poderiam ser usados para obter capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a aplicativos de terceiros.

CVE Bug (s) com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2015-6622 ANDROID-23905002 Alto 6.0 e abaixo 7 de setembro de 2015

Vulnerabilidade de elevação de privilégio em Wi-Fi

Uma vulnerabilidade de elevação de privilégio em Wi-Fi pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto de um serviço de sistema elevado. Este problema é classificada como alta gravidade, pois poderia ser utilizado para obter capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a um aplicativo de terceiros.

CVE Bug (s) com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2015-6623 ANDROID-24872703 Alto 6,0 Google interno

Elevação da vulnerabilidade de privilégio no servidor do sistema

Uma vulnerabilidade de elevação de privilégio no componente System Server pode permitir que um aplicativo mal-intencionado local obtenha acesso a informações relacionadas ao serviço. Este problema é classificada como alta gravidade, pois poderia ser utilizado para obter capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a aplicativos de terceiros.

CVE Bug (s) com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2015-6624 ANDROID-23999740 Alto 6,0 Interno do Google

Vulnerabilidades de divulgação de informações em libstagefright

Existem vulnerabilidades de divulgação de informações no libstagefright que, durante a comunicação com o mediaserver, pode permitir um desvio das medidas de segurança em vigor para aumentar a dificuldade de invasores que exploram a plataforma. Estas questões são classificadas como de alto gravidade, porque eles também poderiam ser usados para obter capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a aplicativos de terceiros.

CVE Bug (s) com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2015-6632 ANDROID-24346430 Alto 6.0 e abaixo Google interno
CVE-2015-6626 ANDROID-24310423 Alto 6.0 e abaixo 2 de setembro de 2015
CVE-2015-6631 ANDROID-24623447 Alto 6.0 e abaixo 21 de agosto de 2015

Vulnerabilidade de divulgação de informações em áudio

Uma vulnerabilidade no componente Áudio pode ser explorada durante o processamento do arquivo de áudio. Esta vulnerabilidade pode permitir que um aplicativo mal-intencionado local, durante o processamento de um arquivo especialmente criado, cause a divulgação de informações. Este problema é classificada como alta gravidade, pois poderia ser utilizado para obter capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a aplicativos de terceiros.

CVE Bug (s) com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2015-6627 ANDROID-24211743 Alto 6.0 e abaixo Google interno

Vulnerabilidade de divulgação de informações na estrutura de mídia

Há uma vulnerabilidade de divulgação de informações no Media Framework que, durante a comunicação com o mediaserver, pode permitir um desvio das medidas de segurança em vigor para aumentar a dificuldade de invasores que exploram a plataforma. Este problema é classificada como alta gravidade porque ele também poderia ser usado para ganhar capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a aplicativos de terceiros.

CVE Bug (s) com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2015-6628 ANDROID-24074485 Alto 6.0 e abaixo 8 de setembro de 2015

Vulnerabilidade de divulgação de informações em Wi-Fi

Uma vulnerabilidade no componente Wi-Fi pode permitir que um invasor faça com que o serviço Wi-Fi divulgue informações. Este problema é classificada como alta gravidade, pois poderia ser utilizado para obter capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a um aplicativos de terceiros.

CVE Bug (s) com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2015-6629 ANDROID-22667667 Alto 5.1 e 5.0 Google interno

Vulnerabilidade de elevação de privilégio no servidor do sistema

Uma vulnerabilidade de elevação de privilégio no servidor do sistema pode permitir que um aplicativo malicioso local obtenha acesso às informações relacionadas ao serviço Wi-Fi. Este problema é classificado como gravidade moderada porque pode ser usado para obter indevidamente permissões “ perigosas ”.

CVE Bug (s) com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2015-6625 ANDROID-23936840 Moderado 6,0 Google interno

Vulnerabilidade de divulgação de informações no SystemUI

Uma vulnerabilidade de divulgação de informações no SystemUI pode permitir que um aplicativo malicioso local obtenha acesso a capturas de tela. Este problema é classificado como gravidade moderada porque pode ser usado para obter indevidamente permissões “ perigosas ”.

CVE Bug (s) com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2015-6630 ANDROID-19121797 Moderado 5.0, 5.1 e 6.0 22 de janeiro de 2015

Perguntas e respostas comuns

Esta seção analisará as respostas a perguntas comuns que podem ocorrer após a leitura deste boletim.

1. Como posso determinar se meu dispositivo está atualizado para resolver esses problemas?

Builds LMY48Z ou posterior e Android 6.0 com nível de patch de segurança de 1 de dezembro de 2015 ou posterior resolvem esses problemas. Consulte a documentação do Nexus para obter instruções sobre como verificar o nível do patch de segurança. Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da string de patch para: [ro.build.version.security_patch]: [2015-12-01]

Revisões

  • 7 de dezembro de 2015: Originalmente publicado
  • 09 de dezembro de 2015: Boletim revisado para incluir links AOSP.
  • 22 de dezembro de 2015: Adicionado crédito em falta à seção Agradecimentos.
  • 07 de março de 2016: Adicionado crédito em falta à seção Agradecimentos.