Google si impegna a promuovere l'equità razziale per le comunità nere. Vedi come.
Questa pagina è stata tradotta dall'API Cloud Translation.
Switch to English

Bollettino Nexus sulla sicurezza: gennaio 2016

Pubblicato il 04 gennaio 2016 | Aggiornato il 28 aprile 2016

Abbiamo rilasciato un aggiornamento di sicurezza per i dispositivi Nexus attraverso un aggiornamento over-the-air (OTA) come parte del nostro processo di rilascio mensile del bollettino sulla sicurezza di Android. Le immagini del firmware Nexus sono state anche rilasciate sul sito per sviluppatori Google . Crea LMY49F o versione successiva e Android 6.0 con livello di patch di sicurezza del 1 gennaio 2016 o versione successiva per risolvere questi problemi. Fare riferimento alla sezione Domande e risposte comuni per maggiori dettagli.

I partner sono stati informati e hanno fornito aggiornamenti per i problemi descritti in questo bollettino il 7 dicembre 2015 o precedenti. Laddove applicabile, le patch di codice sorgente per questi problemi sono state rilasciate nel repository AOSP (Android Open Source Project).

Il più grave di questi problemi è una vulnerabilità di sicurezza critica che potrebbe consentire l'esecuzione di codice in modalità remota su un dispositivo interessato attraverso più metodi come e-mail, navigazione Web e MMS durante l'elaborazione dei file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, presupponendo che le mitigazioni della piattaforma e del servizio siano disabilitate a fini di sviluppo o se vengano aggirate correttamente.

Non abbiamo avuto notizie di sfruttamento attivo da parte dei clienti di questi problemi appena segnalati. Fare riferimento alla sezione Mitigazioni per i dettagli sulle protezioni della piattaforma di sicurezza Android e le protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android. Incoraggiamo tutti i clienti ad accettare questi aggiornamenti per i loro dispositivi.

Fattori attenuanti

Questo è un riepilogo delle mitigazioni fornite dalla piattaforma di sicurezza Android e delle protezioni del servizio come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità di sicurezza possano essere sfruttate con successo su Android.

  • Lo sfruttamento per molti problemi su Android è reso più difficile dai miglioramenti nelle nuove versioni della piattaforma Android. Incoraggiamo tutti gli utenti ad aggiornare all'ultima versione di Android ove possibile.
  • Il team di sicurezza di Android sta monitorando attivamente gli abusi con Verify Apps e SafetyNet, che avvertiranno che potrebbero essere installate applicazioni potenzialmente dannose. Gli strumenti di rooting dei dispositivi sono vietati in Google Play. Per proteggere gli utenti che installano applicazioni all'esterno di Google Play, Verifica app è abilitato per impostazione predefinita e avvisa gli utenti delle applicazioni di rooting note. Verifica App tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di escalation di privilegi. Se tale applicazione è già stata installata, Verifica App avviserà l'utente e tenterà di rimuovere tali applicazioni.
  • Se del caso, le applicazioni di Google Hangouts e Messenger non passano automaticamente i media a processi come mediaserver.

Ringraziamenti

Vorremmo ringraziare questi ricercatori per il loro contributo:

  • Abhishek Arya, Oliver Chang e Martin Barbella del team di sicurezza di Google Chrome: CVE-2015-6636
  • Sen Nie ( @nforest_ ) e jfang del KEEN lab, Tencent ( @ K33nTeam ): CVE-2015-6637
  • Yabin Cui di Android Bionic Team: CVE-2015-6640
  • Tom Craig di Google X: CVE-2015-6641
  • Jann Horn ( https://thejh.net ): CVE-2015-6642
  • ID PGP Jouni Malinen EFC895FA: CVE-2015-5310
  • Quan Nguyen del team di ingegneri per la sicurezza delle informazioni di Google: CVE-2015-6644
  • Gal Beniamini ( @laginimaineb , http://bits-please.blogspot.com ): CVE-2015-6639

Dettagli sulla vulnerabilità della sicurezza

Nelle sezioni seguenti, forniamo i dettagli per ciascuna delle vulnerabilità di sicurezza che si applicano al livello di patch 01-01-2016. C'è una descrizione del problema, una logica di gravità e una tabella con CVE, bug associato, gravità, versioni aggiornate e data riportata. Se disponibile, collegheremo la modifica AOSP che ha risolto il problema con l'ID del bug. Quando più modifiche si riferiscono a un singolo bug, ulteriori riferimenti AOSP sono collegati ai numeri che seguono l'ID bug.

Vulnerabilità legata all'esecuzione di codice in modalità remota in Mediaserver

Durante il file multimediale e l'elaborazione dei dati di un file appositamente predisposto, le vulnerabilità nel mediaserver potrebbero consentire a un utente malintenzionato di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota come processo mediaserver.

La funzionalità interessata viene fornita come parte principale del sistema operativo e ci sono più applicazioni che ne consentono il raggiungimento con contenuti remoti, in particolare MMS e riproduzione del browser da parte dei media.

Questo problema è classificato come gravità critica a causa della possibilità di esecuzione di codice in modalità remota nel contesto del servizio mediaserver. Il servizio mediaserver ha accesso ai flussi audio e video e ai privilegi a cui le app di terze parti non possono normalmente accedere.

CVE Bug (s) con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6636 ANDROID-25070493 critico 5.0, 5.1.1, 6.0, 6.0.1 Google interno
ANDROID-24686670 critico 5.0, 5.1.1, 6.0, 6.0.1 Google interno

Vulnerabilità legata all'acquisizione di privilegi più elevati nel driver misc-sd

Una vulnerabilità legata all'acquisizione di privilegi più elevati nel driver misc-sd di MediaTek potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario all'interno del kernel. Questo problema è classificato come una gravità critica a causa della possibilità di un compromesso permanente del dispositivo locale, nel qual caso il dispositivo potrebbe aver bisogno di essere riparato eseguendo nuovamente il flashing del sistema operativo.

CVE Bug (s) Gravità Versioni aggiornate Data riportata
CVE-2015-6637 ANDROID-25307013 * critico 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26 ottobre 2015

* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito di Google Developer .

Vulnerabilità legata all'acquisizione di privilegi più elevati nel driver Imagination Technologies

Un'elevata vulnerabilità dei privilegi in un driver del kernel da Imagination Technologies potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario all'interno del kernel. Questo problema è classificato come gravità critica a causa della possibilità di un compromesso permanente del dispositivo locale, nel qual caso potrebbe essere necessario riparare il dispositivo eseguendo nuovamente il flashing del sistema operativo.

CVE Bug (s) Gravità Versioni aggiornate Data riportata
CVE-2015-6638 ANDROID-24673908 * critico 5.0, 5.1.1, 6.0, 6.0.1 Google interno

* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito di Google Developer .

Elevazione delle vulnerabilità legate ai privilegi in Trustzone

L'elevazione delle vulnerabilità dei privilegi nell'applicazione TrustZone QSEE Widevine potrebbe consentire a un'applicazione privilegiata di compromesso con accesso a QSEECOM di eseguire codice arbitrario nel contesto Trustzone. Questo problema è classificato come una gravità critica a causa della possibilità di un compromesso permanente del dispositivo locale, nel qual caso il dispositivo potrebbe aver bisogno di essere riparato eseguendo nuovamente il flashing del sistema operativo.

CVE Bug (s) Gravità Versioni aggiornate Data riportata
CVE-2015-6639 ANDROID-24446875 * critico 5.0, 5.1.1, 6.0, 6.0.1 23 settembre 2015
CVE-2015-6647 ANDROID-24441554 * critico 5.0, 5.1.1, 6.0, 6.0.1 27 settembre 2015

* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito di Google Developer .

Vulnerabilità legata all'acquisizione di privilegi più elevati nel kernel

Una vulnerabilità legata all'acquisizione di privilegi più elevati nel kernel potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel kernel. Questo problema è classificato come gravità critica a causa della possibilità di un compromesso permanente del dispositivo locale, nel qual caso il dispositivo potrebbe aver bisogno di essere riparato eseguendo nuovamente il flashing del sistema operativo.

CVE Bug (s) con collegamento AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6640 ANDROID-20017123 critico 4.4.4, 5.0, 5.1.1, 6.0 Google interno

Vulnerabilità legata all'acquisizione di privilegi più elevati in Bluetooth

Una vulnerabilità legata all'acquisizione di privilegi più elevati nel componente Bluetooth potrebbe consentire a un dispositivo remoto associato tramite Bluetooth di accedere alle informazioni private dell'utente (Contatti). Questo problema è classificato come severo perché potrebbe essere utilizzato per ottenere funzionalità " pericolose " in remoto, queste autorizzazioni sono accessibili solo alle applicazioni di terze parti installate localmente.

CVE Bug (s) con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6641 ANDROID-23607427 [ 2 ] alto 6.0, 6.0.1 Google interno

Vulnerabilità legata alla divulgazione di informazioni nel kernel

Una vulnerabilità legata alla divulgazione di informazioni nel kernel potrebbe consentire di aggirare le misure di sicurezza in atto per aumentare la difficoltà degli aggressori che sfruttano la piattaforma. Questi problemi sono classificati come severi perché potrebbero anche essere utilizzati per ottenere capacità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili ad applicazioni di terze parti.

CVE Bug (s) Gravità Versioni aggiornate Data riportata
CVE-2015-6642 ANDROID-24157888 * alto 4.4.4, 5.0, 5.1.1, 6.0 12 settembre 2015

* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito di Google Developer .

Vulnerabilità legata all'acquisizione di privilegi più elevati in Installazione guidata

Una vulnerabilità legata all'acquisizione di privilegi più elevati nell'Installazione guidata potrebbe consentire a un utente malintenzionato con accesso fisico al dispositivo di accedere alle impostazioni del dispositivo ed eseguire un ripristino manuale del dispositivo. Questo problema è classificato come gravità moderata perché potrebbe essere utilizzato per aggirare erroneamente la protezione del ripristino delle impostazioni di fabbrica.

CVE Bug (s) con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6643 ANDROID-25290269 [ 2 ] Moderare 5.1.1, 6.0, 6.0.1 Google interno

Vulnerabilità legata all'acquisizione di privilegi più elevati nel Wi-Fi

Un'elevazione della vulnerabilità dei privilegi nel componente Wi-Fi potrebbe consentire a un utente malintenzionato localmente vicino di ottenere l'accesso alle informazioni relative al servizio Wi-Fi. Un dispositivo è vulnerabile a questo problema solo in prossimità locale. Questo problema è classificato come gravità moderata perché potrebbe essere utilizzato per ottenere capacità " normali " in remoto, queste autorizzazioni sono accessibili solo alle applicazioni di terze parti installate localmente.

CVE Bug (s) con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-5310 ANDROID-25266660 Moderare 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 ottobre 2015

Vulnerabilità legata alla divulgazione di informazioni in Bouncy Castle

Una vulnerabilità legata alla divulgazione di informazioni in Bouncy Castle potrebbe consentire a un'applicazione locale dannosa di ottenere l'accesso alle informazioni private dell'utente. Questo problema è classificato come gravità moderata perché potrebbe essere utilizzato per ottenere in modo improprio autorizzazioni " pericolose ".

CVE Bug (s) con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6644 ANDROID-24106146 Moderare 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 Google interno

Vulnerabilità legata alla negazione del servizio in SyncManager

Una vulnerabilità di negazione del servizio in SyncManager potrebbe consentire a un'applicazione dannosa locale di causare un ciclo di riavvio. Questo problema è classificato come gravità moderata perché potrebbe essere utilizzato per causare un diniego di servizio temporaneo locale che potrebbe essere necessario risolvere tramite un ripristino delle impostazioni di fabbrica.

CVE Bug (s) con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6645 ANDROID-23591205 Moderare 4.4.4, 5.0, 5.1.1, 6.0 Google interno

Riduzione della superficie di attacco per i kernel Nexus

SysV IPC non è supportato in nessun kernel Android. Lo abbiamo rimosso dal sistema operativo in quanto espone una superficie di attacco aggiuntiva che non aggiunge funzionalità al sistema che potrebbero essere sfruttate da applicazioni dannose. Inoltre, gli IPC di System V non sono conformi al ciclo di vita delle applicazioni Android perché le risorse allocate non sono liberabili dal gestore della memoria, causando una perdita globale di risorse del kernel. Questa modifica risolve problemi come CVE-2015-7613.

CVE Bug (s) Gravità Versioni aggiornate Data riportata
CVE-2015-6646 ANDROID-22300191 * Moderare 6.0 Google interno

* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito di Google Developer .

Domande e risposte comuni

Questa sezione esamina le risposte alle domande più comuni che possono verificarsi dopo aver letto questo bollettino.

1. Come posso determinare se il mio dispositivo è stato aggiornato per risolvere questi problemi?

Crea LMY49F o versione successiva e Android 6.0 con livello di patch di sicurezza del 1 ° gennaio 2016 o versione successiva per risolvere questi problemi. Consulta la documentazione di Nexus per istruzioni su come controllare il livello della patch di sicurezza. I produttori di dispositivi che includono questi aggiornamenti dovrebbero impostare il livello della stringa di patch su: [ro.build.version.security_patch]: [01-01-2016]

revisioni

  • 04 gennaio 2016: pubblicazione del bollettino.
  • 06 gennaio 2016: bollettino rivisto per includere collegamenti AOSP.
  • 28 aprile 2016: rimosso CVE-2015-6617 dai riconoscimenti e aggiunto CVE-2015-6647 alla tabella di riepilogo