Nexus-Sicherheitsbulletin – Januar 2016

Veröffentlicht am 4. Januar 2016 | Aktualisiert am 28. April 2016

Im Rahmen unseres monatlichen Veröffentlichungsprozesses für Android Security Bulletin haben wir ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht. Builds LMY49F oder höher und Android 6.0 mit Sicherheitspatch-Level vom 1. Januar 2016 oder höher beheben diese Probleme. Weitere Einzelheiten finden Sie im Abschnitt „Häufige Fragen und Antworten“ .

Die Partner wurden am 7. Dezember 2015 oder früher über die in diesem Bulletin beschriebenen Probleme informiert und haben Updates zu diesen bereitgestellt. Gegebenenfalls wurden Quellcode-Patches für diese Probleme im Android Open Source Project (AOSP)-Repository veröffentlicht.

Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die bei der Verarbeitung von Mediendateien die Remote-Codeausführung auf einem betroffenen Gerät über verschiedene Methoden wie E-Mail, Webbrowsing und MMS ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät hätte, vorausgesetzt, dass die Plattform- und Service-Abhilfemaßnahmen für Entwicklungszwecke deaktiviert oder erfolgreich umgangen werden.

Uns liegen keine Berichte über eine aktive Ausnutzung dieser neu gemeldeten Probleme durch Kunden vor. Einzelheiten zu den Schutzmaßnahmen der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt „ Abhilfemaßnahmen “. Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.

Abhilfemaßnahmen

Dies ist eine Zusammenfassung der Abhilfemaßnahmen, die die Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bieten. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden können.

  • Die Ausnutzung vieler Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht aktiv Missbrauch mit Verify Apps und SafetyNet, das vor der Installation potenziell schädlicher Anwendungen warnt. Geräte-Rooting-Tools sind bei Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist Verify Apps standardmäßig aktiviert und warnt Benutzer vor bekannten Root-Anwendungen. Verify Apps versucht, die Installation bekannter schädlicher Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitslücke bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
  • Gegebenenfalls leiten Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie Mediaserver weiter.

Danksagungen

Wir möchten diesen Forschern für ihre Beiträge danken:

  • Abhishek Arya, Oliver Chang und Martin Barbella vom Google Chrome-Sicherheitsteam: CVE-2015-6636
  • Sen Nie ( @nforest_ ) und jfang vom KEEN-Labor, Tencent ( @K33nTeam ): CVE-2015-6637
  • Yabin Cui vom Android Bionic Team: CVE-2015-6640
  • Tom Craig von Google X: CVE-2015-6641
  • Jann Horn ( https://thejh.net ): CVE-2015-6642
  • Jouni Malinen PGP-ID EFC895FA: CVE-2015-5310
  • Quan Nguyen vom Google Information Security Engineer Team: CVE-2015-6644
  • Gal Beniamini ( @laginimaineb , http://bits-please.blogspot.com ): CVE-2015-6639

Details zur Sicherheitslücke

In den folgenden Abschnitten stellen wir Einzelheiten zu den einzelnen Sicherheitslücken bereit, die für den Patch-Level 2016-01-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den aktualisierten Versionen und dem gemeldeten Datum. Sobald verfügbar, verknüpfen wir die AOSP-Änderung, die das Problem behoben hat, mit der Fehler-ID. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern verknüpft, die der Fehler-ID folgen.

Sicherheitslücke bezüglich Remotecodeausführung in Mediaserver

Während der Mediendatei und der Datenverarbeitung einer speziell gestalteten Datei könnten Schwachstellen im Medienserver einem Angreifer ermöglichen, Speicherbeschädigungen und Remotecodeausführung als Medienserverprozess zu verursachen.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt und es gibt mehrere Anwendungen, die den Zugriff auf Remote-Inhalte ermöglichen, insbesondere MMS und Browser-Wiedergabe von Medien.

Dieses Problem wird aufgrund der Möglichkeit einer Remotecodeausführung im Kontext des Mediaserver-Dienstes als „Kritisch“ eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6636 ANDROID-25070493 Kritisch 5.0, 5.1.1, 6.0, 6.0.1 Google-intern
ANDROID-24686670 Kritisch 5.0, 5.1.1, 6.0, 6.0.1 Google-intern

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im misc-sd-Treiber

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im misc-sd-Treiber von MediaTek könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code innerhalb des Kernels auszuführen. Dieses Problem wird als „Kritisch“ eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht. In diesem Fall müsste das Gerät möglicherweise durch ein erneutes Flashen des Betriebssystems repariert werden.

CVE Fehler Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6637 ANDROID-25307013* Kritisch 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26. Okt. 2015

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Imagination Technologies-Treiber

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in einem Kernel-Treiber von Imagination Technologies könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code innerhalb des Kernels auszuführen. Dieses Problem wird als „Kritisch“ eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht. In diesem Fall müsste das Gerät möglicherweise durch ein erneutes Flashen des Betriebssystems repariert werden.

CVE Fehler Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6638 ANDROID-24673908* Kritisch 5.0, 5.1.1, 6.0, 6.0.1 Google-intern

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücken bezüglich der Erhöhung von Berechtigungen in Trustzone

Sicherheitslücken hinsichtlich der Erhöhung von Berechtigungen in der Widevine QSEE TrustZone-Anwendung könnten es einer kompromittierten, privilegierten Anwendung mit Zugriff auf QSEECOM ermöglichen, beliebigen Code im Trustzone-Kontext auszuführen. Dieses Problem wird als „Kritisch“ eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht. In diesem Fall müsste das Gerät möglicherweise durch ein erneutes Flashen des Betriebssystems repariert werden.

CVE Fehler Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6639 ANDROID-24446875* Kritisch 5.0, 5.1.1, 6.0, 6.0.1 23. September 2015
CVE-2015-6647 ANDROID-24441554* Kritisch 5.0, 5.1.1, 6.0, 6.0.1 27. September 2015

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird als „Kritisch“ eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht. In diesem Fall müsste das Gerät möglicherweise durch ein erneutes Flashen des Betriebssystems repariert werden.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6640 ANDROID-20017123 Kritisch 4.4.4, 5.0, 5.1.1, 6.0 Google-intern

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Bluetooth

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Bluetooth-Komponente könnte es einem über Bluetooth gekoppelten Remote-Gerät ermöglichen, Zugriff auf private Informationen (Kontakte) des Benutzers zu erhalten. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es dazu genutzt werden könnte, „ gefährliche “ Funktionen aus der Ferne zu erlangen; diese Berechtigungen sind nur für lokal installierte Drittanbieteranwendungen zugänglich.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6641 ANDROID-23607427 [ 2 ] Hoch 6.0, 6.0.1 Google-intern

Sicherheitslücke bezüglich der Offenlegung von Informationen im Kernel

Eine Sicherheitslücke im Kernel zur Offenlegung von Informationen könnte eine Umgehung bestehender Sicherheitsmaßnahmen ermöglichen, um die Schwierigkeit für Angreifer zu erhöhen, die Plattform auszunutzen. Diese Probleme werden als „Hoher Schweregrad“ eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen wie Signature- oder SignatureOrSystem -Berechtigungen zu erlangen, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6642 ANDROID-24157888* Hoch 4.4.4, 5.0, 5.1.1, 6.0 12. September 2015

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Setup-Assistenten

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Setup-Assistenten könnte es einem Angreifer mit physischem Zugriff auf das Gerät ermöglichen, auf Geräteeinstellungen zuzugreifen und ein manuelles Zurücksetzen des Geräts durchzuführen. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es dazu verwendet werden könnte, den Werksreset-Schutz fälschlicherweise zu umgehen.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6643 ANDROID-25290269 [ 2 ] Mäßig 5.1.1, 6.0, 6.0.1 Google-intern

Sicherheitslücke bezüglich der Erhöhung von Privilegien in Wi-Fi

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Wi-Fi-Komponente könnte es einem Angreifer in der Nähe ermöglichen, auf Informationen zu Wi-Fi-Diensten zuzugreifen. Ein Gerät ist für dieses Problem nur dann anfällig, wenn es sich in lokaler Nähe befindet. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es dazu verwendet werden könnte, „ normale “ Funktionen aus der Ferne zu erhalten; diese Berechtigungen sind nur für lokal installierte Drittanbieteranwendungen zugänglich.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-5310 ANDROID-25266660 Mäßig 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25. Okt. 2015

Sicherheitslücke bei der Offenlegung von Informationen in Bouncy Castle

Eine Sicherheitslücke bei der Offenlegung von Informationen in Bouncy Castle könnte es einer lokalen Schadanwendung ermöglichen, Zugriff auf die privaten Informationen des Benutzers zu erhalten. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es dazu genutzt werden könnte, auf unrechtmäßige Weise „ gefährliche “ Berechtigungen zu erlangen.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6644 ANDROID-24106146 Mäßig 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 Google-intern

Denial-of-Service-Sicherheitslücke in SyncManager

Eine Denial-of-Service-Schwachstelle im SyncManager könnte es einer lokalen Schadanwendung ermöglichen, eine Neustartschleife zu verursachen. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es zu einer lokalen vorübergehenden Dienstverweigerung führen kann, die möglicherweise durch einen Werksreset behoben werden muss.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6645 ANDROID-23591205 Mäßig 4.4.4, 5.0, 5.1.1, 6.0 Google-intern

Reduzierung der Angriffsfläche für Nexus-Kernel

SysV IPC wird in keinem Android-Kernel unterstützt. Wir haben dies aus dem Betriebssystem entfernt, da es eine zusätzliche Angriffsfläche bietet, die dem System keine Funktionalität hinzufügt, die von bösartigen Anwendungen ausgenutzt werden könnte. Außerdem sind System-V-IPCs nicht mit dem Anwendungslebenszyklus von Android kompatibel, da die zugewiesenen Ressourcen vom Speichermanager nicht freigegeben werden können, was zu einem globalen Kernel-Ressourcenverlust führt. Diese Änderung behebt Probleme wie CVE-2015-7613.

CVE Fehler Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6646 ANDROID-22300191* Mäßig 6,0 Google-intern

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Häufige Fragen und Antworten

In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Bulletins auftreten können.

1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?

Builds LMY49F oder höher und Android 6.0 mit Sicherheitspatch-Level vom 1. Januar 2016 oder höher beheben diese Probleme. Anweisungen zum Überprüfen des Sicherheitspatch-Levels finden Sie in der Nexus-Dokumentation . Gerätehersteller, die diese Updates enthalten, sollten die Patch-String-Ebene auf Folgendes festlegen: [ro.build.version.security_patch]:[2016-01-01]

Überarbeitungen

  • 4. Januar 2016: Bulletin veröffentlicht.
  • 6. Januar 2016: Bulletin überarbeitet, um AOSP-Links aufzunehmen.
  • 28. April 2016: CVE-2015-6617 aus den Danksagungen entfernt und CVE-2015-6647 zur Übersichtstabelle hinzugefügt