Boletim de segurança do Nexus — janeiro de 2016

Publicado em 04 de janeiro de 2016 | Atualizado em 28 de abril de 2016

Lançamos uma atualização de segurança para dispositivos Nexus por meio de uma atualização over-the-air (OTA) como parte de nosso processo de lançamento mensal do Boletim de segurança do Android. As imagens de firmware do Nexus também foram lançadas no site do Google Developer . Compilações LMY49F ou posterior e Android 6.0 com nível de patch de segurança de 1º de janeiro de 2016 ou posterior resolvem esses problemas. Consulte a seção Perguntas e Respostas Comuns para obter mais detalhes.

Os parceiros foram notificados e forneceram atualizações para os problemas descritos neste boletim em 7 de dezembro de 2015 ou antes. Quando aplicável, os patches de código-fonte para esses problemas foram lançados no repositório do Android Open Source Project (AOSP).

O mais grave desses problemas é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como email, navegação na Web e MMS ao processar arquivos de mídia. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, supondo que as atenuações da plataforma e do serviço estejam desabilitadas para fins de desenvolvimento ou se forem ignoradas com êxito.

Não tivemos relatos de exploração ativa de clientes desses problemas recém-relatados. Consulte a seção Mitigações para obter detalhes sobre as proteções da plataforma de segurança Android e as proteções de serviço, como SafetyNet, que melhoram a segurança da plataforma Android. Incentivamos todos os clientes a aceitar essas atualizações em seus dispositivos.

Mitigações

Este é um resumo das mitigações fornecidas pela plataforma de segurança Android e proteções de serviço, como SafetyNet. Esses recursos reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.

  • A exploração de muitos problemas no Android é dificultada pelos aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
  • A equipe de segurança do Android está monitorando ativamente o abuso com o Verify Apps e o SafetyNet, que avisará sobre aplicativos potencialmente prejudiciais prestes a serem instalados. As ferramentas de root do dispositivo são proibidas no Google Play. Para proteger os usuários que instalam aplicativos de fora do Google Play, o Verify Apps é ativado por padrão e avisará os usuários sobre aplicativos de root conhecidos. O Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará removê-lo.
  • Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam mídia automaticamente para processos como servidor de mídia.

Reconhecimentos

Gostaríamos de agradecer a esses pesquisadores por suas contribuições:

  • Abhishek Arya, Oliver Chang e Martin Barbella da equipe de segurança do Google Chrome: CVE-2015-6636
  • Sen Nie ( @nforest_ ) e jfang do KEEN lab, Tencent ( @K33nTeam ): CVE-2015-6637
  • Yabin Cui da equipe Android Bionic: CVE-2015-6640
  • Tom Craig do Google X: CVE-2015-6641
  • Jann Horn ( https://thejh.net ): CVE-2015-6642
  • Jouni Malinen PGP id EFC895FA: CVE-2015-5310
  • Quan Nguyen da equipe de engenheiros de segurança da informação do Google: CVE-2015-6644
  • Gal Beniamini ( @laginimaineb , http://bits-please.blogspot.com ): CVE-2015-6639

Detalhes da vulnerabilidade de segurança

Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2016-01-01. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, bug associado, gravidade, versões atualizadas e data relatada. Quando disponível, vincularemos a alteração do AOSP que abordou o problema ao ID do bug. Quando várias alterações estão relacionadas a um único bug, as referências AOSP adicionais são vinculadas a números após o ID do bug.

Vulnerabilidade de execução remota de código no Mediaserver

Durante o processamento de arquivos de mídia e dados de um arquivo especialmente criado, as vulnerabilidades no servidor de mídia podem permitir que um invasor cause corrupção de memória e execução remota de código como o processo do servidor de mídia.

A funcionalidade afetada é fornecida como parte central do sistema operacional e existem vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia do navegador.

Este problema é classificado como de gravidade Crítica devido à possibilidade de execução remota de código no contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não podem acessar.

CVE Bug(s) com links AOSP Gravidade Versões atualizadas Data do relatório
CVE-2015-6636 ANDROID-25070493 Crítico 5.0, 5.1.1, 6.0, 6.0.1 Interno do Google
ANDROID-24686670 Crítico 5.0, 5.1.1, 6.0, 6.0.1 Interno do Google

Vulnerabilidade de elevação de privilégio no driver misc-sd

Uma vulnerabilidade de elevação de privilégio no driver misc-sd da MediaTek pode permitir que um aplicativo mal-intencionado local execute código arbitrário no kernel. Esse problema é classificado como de gravidade Crítica devido à possibilidade de um comprometimento local permanente do dispositivo e, nesse caso, o dispositivo possivelmente precisaria ser reparado com a atualização do sistema operacional.

CVE Insetos) Gravidade Versões atualizadas Data do relatório
CVE-2015-6637 ANDROID-25307013* Crítico 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26 de outubro de 2015

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios no driver Imagination Technologies

Uma vulnerabilidade de elevação de privilégio em um driver de kernel da Imagination Technologies pode permitir que um aplicativo malicioso local execute código arbitrário dentro do kernel. Esse problema é classificado como de gravidade Crítica devido à possibilidade de um comprometimento local permanente do dispositivo, caso em que o dispositivo possivelmente precisaria ser reparado por meio de um novo flash do sistema operacional.

CVE Insetos) Gravidade Versões atualizadas Data do relatório
CVE-2015-6638 ANDROID-24673908* Crítico 5.0, 5.1.1, 6.0, 6.0.1 Interno do Google

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Elevação de vulnerabilidades de privilégios na zona de confiança

A elevação de vulnerabilidades de privilégio no aplicativo Widevine QSEE TrustZone pode permitir que um aplicativo privilegiado e comprometido com acesso ao QSEECOM execute código arbitrário no contexto do Trustzone. Esse problema é classificado como de gravidade Crítica devido à possibilidade de um comprometimento local permanente do dispositivo e, nesse caso, o dispositivo possivelmente precisaria ser reparado com a atualização do sistema operacional.

CVE Insetos) Gravidade Versões atualizadas Data do relatório
CVE-2015-6639 ANDROID-24446875* Crítico 5.0, 5.1.1, 6.0, 6.0.1 23 de setembro de 2015
CVE-2015-6647 ANDROID-24441554* Crítico 5.0, 5.1.1, 6.0, 6.0.1 27 de setembro de 2015

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios no kernel

Uma vulnerabilidade de elevação de privilégio no kernel pode permitir que um aplicativo mal-intencionado local execute código arbitrário no kernel. Esse problema é classificado como de gravidade Crítica devido à possibilidade de um comprometimento local permanente do dispositivo e, nesse caso, o dispositivo possivelmente precisaria ser reparado com a atualização do sistema operacional.

CVE Bug(s) com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2015-6640 ANDROID-20017123 Crítico 4.4.4, 5.0, 5.1.1, 6.0 Interno do Google

Elevação da vulnerabilidade de privilégio no Bluetooth

Uma vulnerabilidade de elevação de privilégio no componente Bluetooth pode permitir que um dispositivo remoto emparelhado por Bluetooth obtenha acesso às informações privadas do usuário (Contatos). Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos “ perigosos ” remotamente, essas permissões são acessíveis apenas para aplicativos de terceiros instalados localmente.

CVE Bug(s) com links AOSP Gravidade Versões atualizadas Data do relatório
CVE-2015-6641 ANDROID-23607427 [ 2 ] Alto 6.0, 6.0.1 Interno do Google

Vulnerabilidade de divulgação de informações no kernel

Uma vulnerabilidade de divulgação de informações no kernel pode permitir um desvio das medidas de segurança em vigor para aumentar a dificuldade dos invasores explorarem a plataforma. Esses problemas são classificados como de alta gravidade porque também podem ser usados ​​para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a aplicativos de terceiros.

CVE Insetos) Gravidade Versões atualizadas Data do relatório
CVE-2015-6642 ANDROID-24157888* Alto 4.4.4, 5.0, 5.1.1, 6.0 12 de setembro de 2015

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de Elevação de Privilégios no Assistente de Configuração

Uma vulnerabilidade de elevação de privilégio no Assistente de Configuração pode permitir que um invasor com acesso físico ao dispositivo obtenha acesso às configurações do dispositivo e execute uma redefinição manual do dispositivo. Esse problema é classificado como gravidade Moderada porque pode ser usado para contornar incorretamente a proteção de redefinição de fábrica.

CVE Bug(s) com links AOSP Gravidade Versões atualizadas Data do relatório
CVE-2015-6643 ANDROID-25290269 [ 2 ] Moderado 5.1.1, 6.0, 6.0.1 Interno do Google

Elevação de vulnerabilidade de privilégio em Wi-Fi

Uma vulnerabilidade de elevação de privilégio no componente Wi-Fi pode permitir que um invasor localmente próximo obtenha acesso a informações relacionadas ao serviço Wi-Fi. Um dispositivo só é vulnerável a esse problema enquanto estiver nas proximidades. Esse problema é classificado como gravidade moderada porque pode ser usado para obter recursos “ normais ” remotamente, essas permissões são acessíveis apenas para aplicativos de terceiros instalados localmente.

CVE Bug(s) com links AOSP Gravidade Versões atualizadas Data do relatório
CVE-2015-5310 ANDROID-25266660 Moderado 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 de outubro de 2015

Vulnerabilidade de divulgação de informações no Bouncy Castle

Uma vulnerabilidade de divulgação de informações no Bouncy Castle pode permitir que um aplicativo malicioso local obtenha acesso às informações privadas do usuário. Esse problema é classificado como gravidade moderada porque pode ser usado para obter permissões " perigosas " de forma inadequada.

CVE Bug(s) com links AOSP Gravidade Versões atualizadas Data do relatório
CVE-2015-6644 ANDROID-24106146 Moderado 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 Interno do Google

Vulnerabilidade de negação de serviço no SyncManager

Uma vulnerabilidade de negação de serviço no SyncManager pode permitir que um aplicativo mal-intencionado local cause um loop de reinicialização. Esse problema é classificado como gravidade moderada porque pode ser usado para causar uma negação de serviço temporária local que possivelmente precisaria ser corrigida por meio de uma redefinição de fábrica.

CVE Bug(s) com links AOSP Gravidade Versões atualizadas Data do relatório
CVE-2015-6645 ANDROID-23591205 Moderado 4.4.4, 5.0, 5.1.1, 6.0 Interno do Google

Redução da superfície de ataque para kernels Nexus

O SysV IPC não é compatível com nenhum kernel Android. Removemos isso do sistema operacional, pois expõe uma superfície de ataque adicional que não adiciona funcionalidades ao sistema que podem ser exploradas por aplicativos maliciosos. Além disso, os IPCs do System V não são compatíveis com o ciclo de vida do aplicativo do Android porque os recursos alocados não podem ser liberados pelo gerenciador de memória, levando ao vazamento global de recursos do kernel. Essa alteração aborda problemas como CVE-2015-7613.

CVE Insetos) Gravidade Versões atualizadas Data do relatório
CVE-2015-6646 ANDROID-22300191* Moderado 6,0 Interno do Google

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Perguntas e respostas comuns

Esta seção revisa as respostas para perguntas comuns que podem ocorrer após a leitura deste boletim.

1. Como determino se meu dispositivo está atualizado para resolver esses problemas?

Compilações LMY49F ou posterior e Android 6.0 com nível de patch de segurança de 1º de janeiro de 2016 ou posterior resolvem esses problemas. Consulte a documentação do Nexus para obter instruções sobre como verificar o nível do patch de segurança. Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da string de patch como: [ro.build.version.security_patch]:[2016-01-01]

Revisões

  • 04 de janeiro de 2016: Boletim publicado.
  • 06 de janeiro de 2016: Boletim revisado para incluir links AOSP.
  • 28 de abril de 2016: CVE-2015-6617 removido de Agradecimentos e adicionado CVE-2015-6647 à tabela de resumo