Google setzt sich dafür ein, die Rassengerechtigkeit für schwarze Gemeinschaften zu fördern. Siehe wie.
Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Nexus Security Bulletin - Januar 2016

Veröffentlicht am 04. Januar 2016 | Aktualisiert am 28. April 2016

Wir haben ein Sicherheitsupdate für Nexus-Geräte über ein OTA-Update (Over-the-Air) als Teil unseres monatlichen Release-Prozesses für das Android Security Bulletin veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht . Builds LMY49F oder höher und Android 6.0 mit Sicherheits-Patch-Level vom 1. Januar 2016 oder höher beheben diese Probleme. Weitere Informationen finden Sie im Abschnitt Allgemeine Fragen und Antworten .

Die Partner wurden am 7. Dezember 2015 oder früher über die in diesem Bulletin beschriebenen Probleme informiert und über Aktualisierungen informiert. Gegebenenfalls wurden Quellcode-Patches für diese Probleme im AOSP-Repository (Android Open Source Project) veröffentlicht.

Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Surfen im Internet und MMS bei der Verarbeitung von Mediendateien ermöglichen kann. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Sicherheitsanfälligkeit möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstminderungen sind für Entwicklungszwecke deaktiviert oder werden erfolgreich umgangen.

Wir haben keine Berichte über die aktive Nutzung dieser neu gemeldeten Probleme durch Kunden erhalten. Weitere Informationen zum Schutz der Android-Sicherheitsplattform und zum Schutz von Diensten wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Schadensbegrenzungen . Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.

Milderungen

Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform bereitgestellten Maßnahmen und des Schutzes von Diensten wie SafetyNet. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken unter Android erfolgreich ausgenutzt werden können.

  • Die Nutzung vieler Probleme unter Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht mit Verify Apps und SafetyNet aktiv auf Missbrauch, um vor potenziell schädlichen Anwendungen zu warnen, die installiert werden sollen. Geräte-Rooting-Tools sind in Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist "Apps überprüfen" standardmäßig aktiviert und warnt Benutzer vor bekannten Root-Anwendungen. Verify Apps versucht, die Installation bekannter schädlicher Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitsanfälligkeit bezüglich der Eskalation von Berechtigungen ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
  • Gegebenenfalls übergeben Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie den Medienserver.

Danksagung

Wir möchten diesen Forschern für ihre Beiträge danken:

  • Abhishek Arya, Oliver Chang und Martin Barbella vom Google Chrome Security Team: CVE-2015-6636
  • Sen Nie ( @nforest_ ) und Jfang von KEEN Lab, Tencent ( @ K33nTeam ): CVE-2015-6637
  • Yabin Cui vom Android Bionic Team: CVE-2015-6640
  • Tom Craig von Google X: CVE-2015-6641
  • Jann Horn ( https://thejh.net ): CVE-2015-6642
  • Jouni Malinen PGP-ID EFC895FA: CVE-2015-5310
  • Quan Nguyen vom Google Information Security Engineer-Team: CVE-2015-6644
  • Gal Beniamini ( @laginimaineb , http://bits-please.blogspot.com ): CVE-2015-6639

Details zu Sicherheitslücken

In den folgenden Abschnitten finden Sie Details zu den Sicherheitslücken, die für die Patch-Version 2016-01-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung des Schweregrads und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den aktualisierten Versionen und dem gemeldeten Datum. Wenn verfügbar, verknüpfen wir die AOSP-Änderung, mit der das Problem behoben wurde, mit der Fehler-ID. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern verknüpft, die auf die Fehler-ID folgen.

Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Mediaserver

Während der Verarbeitung von Mediendateien und Daten einer speziell gestalteten Datei können Sicherheitslücken im Mediaserver dazu führen, dass ein Angreifer als Mediaserver-Prozess Speicherbeschädigungen und Remotecodeausführung verursacht.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, mit denen sie mit Remote-Inhalten erreicht werden kann, insbesondere mit MMS und der Browser-Wiedergabe von Medien.

Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Dienstes als kritischer Schweregrad eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6636 ANDROID-25070493 Kritisch 5.0, 5.1.1, 6.0, 6.0.1 Google Intern
ANDROID-24686670 Kritisch 5.0, 5.1.1, 6.0, 6.0.1 Google Intern

Erhöhung der Sicherheitsanfälligkeit für Berechtigungen im Misc-SD-Treiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im misc-sd-Treiber von MediaTek kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritischer Schweregrad eingestuft. In diesem Fall müsste das Gerät möglicherweise durch erneutes Flashen des Betriebssystems repariert werden.

CVE Bug (s) Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6637 ANDROID-25307013 * Kritisch 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26. Oktober 2015

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit für Berechtigungen im Treiber von Imagination Technologies

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in einem Kerneltreiber von Imagination Technologies könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code innerhalb des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritischer Schweregrad eingestuft. In diesem Fall müsste das Gerät möglicherweise durch erneutes Flashen des Betriebssystems repariert werden.

CVE Bug (s) Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6638 ANDROID-24673908 * Kritisch 5.0, 5.1.1, 6.0, 6.0.1 Google Intern

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitslücken in Privilegzone

Das Erhöhen von Sicherheitslücken in der Widevine QSEE TrustZone-Anwendung könnte es einer kompromittierten, privilegierten Anwendung mit Zugriff auf QSEECOM ermöglichen, beliebigen Code im Trustzone-Kontext auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritischer Schweregrad eingestuft. In diesem Fall müsste das Gerät möglicherweise durch erneutes Flashen des Betriebssystems repariert werden.

CVE Bug (s) Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6639 ANDROID-24446875 * Kritisch 5.0, 5.1.1, 6.0, 6.0.1 23. September 2015
CVE-2015-6647 ANDROID-24441554 * Kritisch 5.0, 5.1.1, 6.0, 6.0.1 27. September 2015

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit im Kernel

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Kernel kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritischer Schweregrad eingestuft. In diesem Fall müsste das Gerät möglicherweise durch erneutes Flashen des Betriebssystems repariert werden.

CVE Fehler mit AOSP Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6640 ANDROID-20017123 Kritisch 4.4.4, 5.0, 5.1.1, 6.0 Google Intern

Erhöhung der Sicherheitsanfälligkeit in Bluetooth

Durch eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Bluetooth-Komponente kann ein über Bluetooth gekoppeltes Remote-Gerät auf die privaten Informationen (Kontakte) des Benutzers zugreifen. Dieses Problem wird als schwerwiegend eingestuft, da es verwendet werden kann, um " gefährliche " Funktionen aus der Ferne zu erlangen. Auf diese Berechtigungen können nur lokal installierte Anwendungen von Drittanbietern zugreifen.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6641 ANDROID-23607427 [ 2 ] Hoch 6.0, 6.0.1 Google Intern

Sicherheitslücke bei der Offenlegung von Informationen im Kernel

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen im Kernel könnte die Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen, um die Schwierigkeit von Angreifern zu erhöhen, die die Plattform ausnutzen. Diese Probleme werden als schwerwiegend eingestuft, da sie auch dazu verwendet werden können, erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Bug (s) Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6642 ANDROID-24157888 * Hoch 4.4.4, 5.0, 5.1.1, 6.0 12. September 2015

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit für Berechtigungen im Setup-Assistenten

Durch eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Setup-Assistenten kann ein Angreifer mit physischem Zugriff auf das Gerät Zugriff auf Geräteeinstellungen erhalten und einen manuellen Geräte-Reset durchführen. Dieses Problem wird als mittelschwer eingestuft, da es verwendet werden kann, um den Werksreset-Schutz nicht ordnungsgemäß zu umgehen.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6643 ANDROID-25290269 [ 2 ] Mäßig 5.1.1, 6.0, 6.0.1 Google Intern

Erhöhung der Sicherheitsanfälligkeit in Wi-Fi

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Wi-Fi-Komponente kann es einem lokal benachbarten Angreifer ermöglichen, auf Informationen zu Wi-Fi-Diensten zuzugreifen. Ein Gerät ist nur in lokaler Nähe für dieses Problem anfällig. Dieses Problem wird als mittelschwer eingestuft, da es verwendet werden kann, um " normale " Funktionen aus der Ferne zu erlangen. Auf diese Berechtigungen können nur lokal installierte Anwendungen von Drittanbietern zugreifen.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-5310 ANDROID-25266660 Mäßig 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25. Oktober 2015

Sicherheitslücke bei der Offenlegung von Informationen in der Hüpfburg

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in Bouncy Castle kann es einer lokalen bösartigen Anwendung ermöglichen, auf private Informationen des Benutzers zuzugreifen. Dieses Problem wird als mittelschwer eingestuft, da es verwendet werden kann, um nicht ordnungsgemäß " gefährliche " Berechtigungen zu erhalten.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6644 ANDROID-24106146 Mäßig 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 Google Intern

Denial-of-Service-Sicherheitsanfälligkeit in SyncManager

Eine Denial-of-Service-Sicherheitsanfälligkeit im SyncManager kann es einer lokalen bösartigen Anwendung ermöglichen, eine Neustartschleife auszulösen. Dieses Problem wird als mittelschwer eingestuft, da es zu einem lokalen vorübergehenden Denial-of-Service führen kann, der möglicherweise durch einen Werksreset behoben werden muss.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6645 ANDROID-23591205 Mäßig 4.4.4, 5.0, 5.1.1, 6.0 Google Intern

Reduzierung der Angriffsfläche für Nexus-Kernel

SysV IPC wird in keinem Android-Kernel unterstützt. Wir haben dies aus dem Betriebssystem entfernt, da dadurch eine zusätzliche Angriffsfläche verfügbar gemacht wird, die dem System keine Funktionen hinzufügt, die von böswilligen Anwendungen ausgenutzt werden könnten. Außerdem sind System V-IPCs nicht mit dem Anwendungslebenszyklus von Android kompatibel, da die zugewiesenen Ressourcen vom Speichermanager nicht freigegeben werden können, was zu einem globalen Verlust von Kernelressourcen führt. Diese Änderung behebt Probleme wie CVE-2015-7613.

CVE Bug (s) Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-6646 ANDROID-22300191 * Mäßig 6.0 Google Intern

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Häufige Fragen und Antworten

In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Bulletins auftreten können.

1. Wie stelle ich fest, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?

Builds LMY49F oder höher und Android 6.0 mit Sicherheits-Patch-Level vom 1. Januar 2016 oder höher beheben diese Probleme. Anweisungen zum Überprüfen der Sicherheits-Patch-Stufe finden Sie in der Nexus-Dokumentation . Gerätehersteller, die diese Updates enthalten, sollten die Patch-Zeichenfolge auf Folgendes festlegen: [ro.build.version.security_patch]: [2016-01-01]

Überarbeitungen

  • 04. Januar 2016: Bulletin veröffentlicht.
  • 06. Januar 2016: Das Bulletin wurde überarbeitet, um AOSP-Links aufzunehmen.
  • 28. April 2016: CVE-2015-6617 aus Danksagungen entfernt und CVE-2015-6647 zur Übersichtstabelle hinzugefügt