Google setzt sich dafür ein, die Rassengerechtigkeit für schwarze Gemeinschaften zu fördern. Siehe wie.
Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Nexus Security Bulletin - Februar 2016

Veröffentlicht am 01. Februar 2016 | Aktualisiert am 7. März 2016

Wir haben ein Sicherheitsupdate für Nexus-Geräte über ein OTA-Update (Over-the-Air) als Teil unseres monatlichen Release-Prozesses für das Android Security Bulletin veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht . Erstellt LMY49G oder höher und Android M mit Sicherheits-Patch-Level vom 1. Februar 2016 oder höher, um diese Probleme zu beheben. Anweisungen zum Überprüfen der Sicherheits-Patch-Stufe finden Sie in der Nexus-Dokumentation .

Die Partner wurden am 4. Januar 2016 oder früher über die im Bulletin beschriebenen Probleme informiert. Gegebenenfalls wurden Quellcode-Patches für diese Probleme im AOSP-Repository (Android Open Source Project) veröffentlicht.

Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Surfen im Internet und MMS bei der Verarbeitung von Mediendateien ermöglichen kann. Die Sicherheitsanfälligkeit bezüglich Remotecodeausführung im Wi-Fi-Treiber von Broadcom ist ebenfalls von kritischem Schweregrad, da die Remotecodeausführung auf einem betroffenen Gerät möglich sein kann, während eine Verbindung mit demselben Netzwerk wie der Angreifer besteht. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Sicherheitsanfälligkeit möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstminderungen sind für Entwicklungszwecke deaktiviert oder werden erfolgreich umgangen.

Wir haben keine Berichte über die aktive Nutzung dieser neu gemeldeten Probleme durch Kunden erhalten. Weitere Informationen zum Schutz der Android-Sicherheitsplattform und zum Schutz von Diensten wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Schadensbegrenzungen . Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.

Milderungen

Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform bereitgestellten Maßnahmen und des Schutzes von Diensten wie SafetyNet. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken unter Android erfolgreich ausgenutzt werden können.

  • Die Nutzung vieler Probleme unter Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht mit Verify Apps und SafetyNet aktiv auf Missbrauch, um vor potenziell schädlichen Anwendungen zu warnen, die installiert werden sollen. Geräte-Rooting-Tools sind in Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist "Apps überprüfen" standardmäßig aktiviert und warnt Benutzer vor bekannten Root-Anwendungen. Überprüfen Sie, ob Apps versucht, die Installation bekannter schädlicher Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitsanfälligkeit bezüglich der Eskalation von Berechtigungen ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
  • Gegebenenfalls übergeben Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie den Medienserver.

Danksagung

Wir möchten diesen Forschern für ihre Beiträge danken:

  • Android- und Chrome-Sicherheitsteam: CVE-2016-0809, CVE-2016-0810
  • Broadgate-Team: CVE-2016-0801, CVE-2015-0802
  • Chiachih Wu ( @chiachih_wu ), Mingjian Zhou ( @Mingjian_Zhou ) und Xuxian Jiang vom C0RE-Team , Qihoo 360 : CVE-2016-0804
  • David Riley vom Google Pixel C-Team: CVE-2016-0812
  • Gengjia Chen ( @ chengjia4574 ) von Lab IceSword, Qihoo 360: CVE-2016-0805
  • Qidan He ( @Flanker_hqd ) von KeenLab ( @keen_lab ), Tencent: CVE-2016-0811
  • Sieben Shen ( @lingtongshen ) von Trend Micro ( www.trendmicro.com ): CVE-2016-0803
  • Weichao Sun ( @sunblate ) von Alibaba Inc: CVE-2016-0808
  • Zach Riggle ( @ ebeip90 ) vom Android-Sicherheitsteam: CVE-2016-0807

Details zu Sicherheitslücken

In den folgenden Abschnitten finden Sie Details zu den Sicherheitslücken, die für die Patch-Version 2016-02-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung des Schweregrads und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den betroffenen Versionen und dem gemeldeten Datum. Wenn verfügbar, verknüpfen wir das AOSP-Commit, mit dem das Problem behoben wurde, mit der Fehler-ID. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern verknüpft, die auf die Fehler-ID folgen.

Sicherheitsanfälligkeit bezüglich Remotecodeausführung im Broadcom Wi-Fi-Treiber

Mehrere Sicherheitslücken bei der Remote-Ausführung im Broadcom Wi-Fi-Treiber können es einem Angreifer ermöglichen, speziell gestaltete Nachrichtenpakete für die drahtlose Steuerung zu verwenden, um den Kernelspeicher auf eine Weise zu beschädigen, die zur Ausführung von Remotecode im Kontext des Kernels führt. Diese Sicherheitsanfälligkeiten können ausgelöst werden, wenn der Angreifer und das Opfer demselben Netzwerk zugeordnet sind. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Kernels ohne Benutzerinteraktion als kritischer Schweregrad eingestuft.

CVE Bugs Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0801 ANDROID-25662029
ANDROID-25662233
Kritisch 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25. Oktober 2015
CVE-2016-0802 ANDROID-25306181 Kritisch 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26. Oktober 2015

Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Mediaserver

Während der Verarbeitung von Mediendateien und Daten einer speziell gestalteten Datei können Sicherheitslücken im Mediaserver dazu führen, dass ein Angreifer als Mediaserver-Prozess Speicherbeschädigungen und Remotecodeausführung verursacht.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, mit denen sie mit Remote-Inhalten erreicht werden kann, insbesondere mit MMS und der Browser-Wiedergabe von Medien.

Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Dienstes als kritischer Schweregrad eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0803 ANDROID-25812794 Kritisch 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 19. November 2015
CVE-2016-0804 ANDROID-25070434 Kritisch 5.0, 5.1.1, 6.0, 6.0.1 12. Oktober 2015

Erhöhung der Sicherheitsanfälligkeit für Berechtigungen im Qualcomm-Leistungsmodul

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Performance Event Manager-Komponente für ARM-Prozessoren von Qualcomm kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritischer Schweregrad eingestuft, und das Gerät muss möglicherweise durch erneutes Flashen des Betriebssystems repariert werden.

CVE Fehler Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0805 ANDROID-25773204 * Kritisch 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 15. November 2015

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit für Berechtigungen im Qualcomm Wi-Fi-Treiber

Der Qualcomm Wi-Fi-Treiber weist eine Sicherheitsanfälligkeit auf, die es einer lokalen bösartigen Anwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritischer Schweregrad eingestuft, und das Gerät muss möglicherweise durch erneutes Flashen des Betriebssystems repariert werden.

CVE Fehler Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0806 ANDROID-25344453 * Kritisch 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 15. November 2015

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit im Debuggerd

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Debuggerd-Komponente kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Gerätestammkontext auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritischer Schweregrad eingestuft, und das Gerät muss möglicherweise durch erneutes Flashen des Betriebssystems repariert werden.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0807 ANDROID-25187394 Kritisch 6.0 und 6.0.1 Google Intern

Denial-of-Service-Sicherheitsanfälligkeit in Minikin

Eine Denial-of-Service-Sicherheitsanfälligkeit in der Minikin-Bibliothek kann es einem lokalen Angreifer ermöglichen, den Zugriff auf ein betroffenes Gerät vorübergehend zu blockieren. Ein Angreifer kann dazu führen, dass eine nicht vertrauenswürdige Schriftart geladen wird und die Minikin-Komponente überläuft, was zu einem Absturz führt. Dies wird als hoher Schweregrad eingestuft, da Denial of Service zu einer kontinuierlichen Neustartschleife führt.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0808 ANDROID-25645298 Hoch 5.0, 5.1.1, 6.0, 6.0.1 3. November 2015

Erhöhung der Sicherheitsanfälligkeit in Wi-Fi

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Wi-Fi-Komponente kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Systemkontext auszuführen. Ein Gerät ist nur in lokaler Nähe für dieses Problem anfällig. Dieses Problem wird als schwerwiegend eingestuft, da es verwendet werden kann, um „ normale “ Funktionen aus der Ferne zu erlangen. Im Allgemeinen sind diese Berechtigungen nur für lokal installierte Anwendungen von Drittanbietern zugänglich.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0809 ANDROID-25753768 Hoch 6.0, 6.0.1 Google Intern

Erhöhung der Sicherheitsanfälligkeit in Mediaserver

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in Mediaserver kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext einer Anwendung mit erhöhtem System auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da damit erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen erworben werden können, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0810 ANDROID-25781119 Hoch 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 Google Intern

Sicherheitslücke bei der Offenlegung von Informationen in libmediaplayerservice

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in libmediaplayerservice könnte die Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen, um die Schwierigkeit von Angreifern zu erhöhen, die die Plattform ausnutzen. Diese Probleme werden als schwerwiegend eingestuft, da sie auch dazu verwendet werden können, erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0811 ANDROID-25800375 Hoch 6.0, 6.0.1 16. November 2015

Erhöhung der Sicherheitsanfälligkeit bezüglich Berechtigungen im Setup-Assistenten

Eine Sicherheitsanfälligkeit im Setup-Assistenten kann es einem böswilligen Angreifer ermöglichen, den Factory Reset-Schutz zu umgehen und Zugriff auf das Gerät zu erhalten. Dies wird als mittlerer Schweregrad eingestuft, da möglicherweise Personen mit physischem Zugriff auf ein Gerät den Schutz für das Zurücksetzen auf die Werkseinstellungen umgehen können, wodurch ein Angreifer ein Gerät erfolgreich zurücksetzen und alle Daten löschen kann.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0812 ANDROID-25229538 Mäßig 5.1.1, 6.0 Google Intern
CVE-2016-0813 ANDROID-25476219 Mäßig 5.1.1, 6.0, 6.0.1 Google Intern

Häufige Fragen und Antworten

In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Bulletins auftreten können.

1. Wie stelle ich fest, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?

Builds LMY49G oder höher und Android 6.0 mit Sicherheits-Patch-Level vom 1. Februar 2016 oder höher beheben diese Probleme. Anweisungen zum Überprüfen der Sicherheits-Patch-Stufe finden Sie in der Nexus-Dokumentation . Gerätehersteller, die diese Updates enthalten, sollten die Patch-Zeichenfolge auf Folgendes festlegen: [ro.build.version.security_patch]: [2016-02-01]

Überarbeitungen

  • 01. Februar 2016: Bulletin veröffentlicht.
  • 02. Februar 2016: Das Bulletin wurde überarbeitet, um AOSP-Links aufzunehmen.
  • 07. März 2016: Das Bulletin wurde überarbeitet, um zusätzliche AOSP-Links aufzunehmen.