Google is committed to advancing racial equity for Black communities. See how.
This page was translated by the Cloud Translation API.
Switch to English

Boletim de segurança do Nexus - fevereiro de 2016

Publicado em 01 de fevereiro de 2016 | Atualizado em 7 de março de 2016

Lançamos uma atualização de segurança para dispositivos Nexus por meio de uma atualização over-the-air (OTA) como parte de nosso processo de lançamento mensal do boletim de segurança do Android. As imagens do firmware Nexus também foram lançadas no site Google Developer . Compilações LMY49G ou posterior e Android M com nível de patch de segurança de 1º de fevereiro de 2016 ou posterior resolvem esses problemas. Consulte a documentação do Nexus para obter instruções sobre como verificar o nível do patch de segurança.

Os parceiros foram notificados sobre os problemas descritos no boletim em 4 de janeiro de 2016 ou antes. Quando aplicável, os patches de código-fonte para esses problemas foram lançados no repositório Android Open Source Project (AOSP).

O mais grave desses problemas é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como email, navegação na Web e MMS, ao processar arquivos de mídia. A vulnerabilidade de execução remota de código no driver Wi-Fi da Broadcom também é de gravidade crítica, pois pode permitir a execução remota de código em um dispositivo afetado enquanto conectado à mesma rede do invasor. A avaliação da gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, assumindo que a plataforma e as atenuações do serviço estão desabilitadas para fins de desenvolvimento ou se contornadas com sucesso.

Não recebemos relatórios de exploração ativa do cliente desses problemas relatados recentemente. Consulte a atenuações seção para obter detalhes sobre as proteções Android plataforma de segurança e proteções de serviços, como SafetyNet, que melhoram a segurança da plataforma Android. Incentivamos todos os clientes a aceitar essas atualizações em seus dispositivos.

Mitigações

Este é um resumo das atenuações fornecidas pela plataforma de segurança Android e proteções de serviço, como SafetyNet. Esses recursos reduzem a probabilidade de que as vulnerabilidades de segurança possam ser exploradas com êxito no Android.

  • A exploração de muitos problemas no Android é dificultada pelos aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
  • A equipe de segurança do Android está monitorando ativamente o abuso com Verify Apps e SafetyNet, que avisará sobre aplicativos potencialmente prejudiciais prestes a serem instalados. As ferramentas de rooting do dispositivo são proibidas no Google Play. Para proteger os usuários que instalam aplicativos de fora do Google Play, Verify Apps é habilitado por padrão e avisará os usuários sobre aplicativos de root conhecidos. O Verify Apps tenta identificar e bloquear a instalação de aplicativos mal-intencionados conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará remover qualquer um desses aplicativos.
  • Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam mídia automaticamente para processos como mediaserver.

Reconhecimentos

Gostaríamos de agradecer a esses pesquisadores por suas contribuições:

  • Equipe de segurança do Android e Chrome: CVE-2016-0809, CVE-2016-0810
  • Equipe Broadgate: CVE-2016-0801, CVE-2015-0802
  • Chiachih Wu ( @chiachih_wu ), Mingjian Zhou ( @Mingjian_Zhou ) e Xuxian Jiang da equipe C0RE , Qihoo 360 : CVE-2016-0804
  • David Riley da equipe do Google Pixel C: CVE-2016-0812
  • Gengjia Chen ( @ chengjia4574 ) do Lab IceSword, Qihoo 360: CVE-2016-0805
  • Qidan He ( @Flanker_hqd ) de KeenLab ( @keen_lab ), Tencent: CVE-2016-0811
  • Seven Shen ( @lingtongshen ) da Trend Micro ( www.trendmicro.com ): CVE-2016-0803
  • Weichao Sun ( @sunblate ) da Alibaba Inc: CVE-2016-0808
  • Zach Riggle ( @ ebeip90 ) da equipe de segurança do Android: CVE-2016-0807

Detalhes de vulnerabilidade de segurança

Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch de 01/02/2016. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, bug associado, gravidade, versões afetadas e data relatada. Quando disponível, vincularemos o commit AOSP que tratou do problema ao ID do bug. Quando várias alterações estão relacionadas a um único bug, referências adicionais do AOSP são vinculadas a números após a ID do bug.

Vulnerabilidade de execução remota de código no driver Broadcom Wi-Fi

Várias vulnerabilidades de execução remota no driver Broadcom Wi-Fi podem permitir que um invasor remoto use pacotes de mensagens de controle sem fio especialmente criados para corromper a memória do kernel de uma forma que leve à execução remota de código no contexto do kernel. Essas vulnerabilidades podem ser acionadas quando o invasor e a vítima estão associados à mesma rede. Este problema é classificado como uma gravidade crítica devido à possibilidade de execução remota de código no contexto do kernel sem exigir a interação do usuário.

CVE Insetos Gravidade Versões atualizadas Data relatada
CVE-2016-0801 ANDROID-25662029
ANDROID-25662233
Crítico 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 de outubro de 2015
CVE-2016-0802 ANDROID-25306181 Crítico 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26 de outubro de 2015

Vulnerabilidade de execução remota de código no Mediaserver

Durante o processamento de arquivos de mídia e dados de um arquivo especialmente criado, as vulnerabilidades no mediaserver podem permitir que um invasor cause corrupção de memória e execução remota de código como o processo do mediaserver.

A funcionalidade afetada é fornecida como uma parte central do sistema operacional e há vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador.

Este problema é classificado como uma gravidade crítica devido à possibilidade de execução remota de código dentro do contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não podem acessar.

CVE Bugs com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-0803 ANDROID-25812794 Crítico 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 19 de novembro de 2015
CVE-2016-0804 ANDROID-25070434 Crítico 5.0, 5.1.1, 6.0, 6.0.1 12 de outubro de 2015

Vulnerabilidade de elevação de privilégio no módulo de desempenho Qualcomm

Uma vulnerabilidade de elevação de privilégio no componente gerenciador de eventos de desempenho para processadores ARM da Qualcomm pode permitir que um aplicativo malicioso local execute código arbitrário no kernel. Este problema é classificado como uma gravidade Crítica devido à possibilidade de um comprometimento do dispositivo local permanente e o dispositivo possivelmente precisaria ser reparado por meio de uma nova atualização do sistema operacional.

CVE Erro Gravidade Versões atualizadas Data relatada
CVE-2016-0805 ANDROID-25773204 * Crítico 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 15 de novembro de 2015

* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

Vulnerabilidade de elevação de privilégio no driver Qualcomm Wi-Fi

Há uma vulnerabilidade no driver Qualcomm Wi-Fi que pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Este problema é classificado como uma gravidade Crítica devido à possibilidade de um comprometimento do dispositivo local permanente e o dispositivo possivelmente precisaria ser reparado atualizando o sistema operacional.

CVE Erro Gravidade Versões atualizadas Data relatada
CVE-2016-0806 ANDROID-25344453 * Crítico 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 15 de novembro de 2015

* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

Vulnerabilidade de elevação de privilégio no Debuggerd

Uma vulnerabilidade de elevação de privilégio no componente Debuggerd pode permitir que um aplicativo malicioso local execute código arbitrário no contexto raiz do dispositivo. Este problema é classificado como uma gravidade Crítica devido à possibilidade de um comprometimento do dispositivo local permanente e o dispositivo possivelmente precisaria ser reparado por meio de uma nova atualização do sistema operacional.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-0807 ANDROID-25187394 Crítico 6.0 e 6.0.1 Google interno

Vulnerabilidade de negação de serviço no Minikin

Uma vulnerabilidade de negação de serviço na biblioteca Minikin pode permitir que um invasor local bloqueie temporariamente o acesso a um dispositivo afetado. Um invasor pode fazer com que uma fonte não confiável seja carregada e causar um estouro no componente Minikin, o que leva a um travamento. Isso é classificado como uma gravidade alta porque a negação de serviço leva a um loop contínuo de reinicialização.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-0808 ANDROID-25645298 Alto 5.0, 5.1.1, 6.0, 6.0.1 3 de novembro de 2015

Vulnerabilidade de elevação de privilégio em Wi-Fi

Uma vulnerabilidade de elevação de privilégio no componente Wi-Fi pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do sistema. Um dispositivo só é vulnerável a esse problema quando estiver próximo ao local. Este problema é classificado como de alta gravidade porque pode ser usado para obter recursos “ normais ” remotamente. Geralmente, essas permissões são acessíveis apenas para aplicativos de terceiros instalados localmente.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-0809 ANDROID-25753768 Alto 6.0, 6.0.1 Google interno

Elevação da vulnerabilidade de privilégio no Mediaserver

Uma vulnerabilidade de elevação de privilégio no mediaserver pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um aplicativo de sistema elevado. Este problema é classificada como alta gravidade, pois poderia ser utilizado para obter capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a um aplicativo de terceiros.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-0810 ANDROID-25781119 Alto 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 Google interno

Vulnerabilidade de divulgação de informações em libmediaplayerservice

Uma vulnerabilidade de divulgação de informações em libmediaplayerservice pode permitir um desvio das medidas de segurança em vigor para aumentar a dificuldade de invasores que exploram a plataforma. Estas questões são classificadas como de alto gravidade, porque eles também poderiam ser usados para obter capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a aplicativos de terceiros.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-0811 ANDROID-25800375 Alto 6.0, 6.0.1 16 de novembro de 2015

Vulnerabilidade de elevação de privilégio no assistente de configuração

Uma vulnerabilidade no Assistente de configuração pode permitir que um invasor mal-intencionado ignore a proteção contra redefinição de fábrica e obtenha acesso ao dispositivo. Isso é classificado como uma gravidade Moderada porque permite que alguém com acesso físico a um dispositivo ignore a Proteção de redefinição de fábrica, que permite que um invasor redefina um dispositivo com êxito, apagando todos os dados.

CVE Bugs com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-0812 ANDROID-25229538 Moderado 5.1.1, 6.0 Google interno
CVE-2016-0813 ANDROID-25476219 Moderado 5.1.1, 6.0, 6.0.1 Google interno

Perguntas e respostas comuns

Esta seção analisa as respostas a perguntas comuns que podem ocorrer após a leitura deste boletim.

1. Como posso determinar se meu dispositivo está atualizado para resolver esses problemas?

Builds LMY49G ou posterior e Android 6.0 com nível de patch de segurança de 1 de fevereiro de 2016 ou posterior resolvem esses problemas. Consulte a documentação do Nexus para obter instruções sobre como verificar o nível do patch de segurança. Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da string de patch para: [ro.build.version.security_patch]: [2016-02-01]

Revisões

  • 01 de fevereiro de 2016: Boletim publicado.
  • 2 de fevereiro de 2016: Boletim revisado para incluir links AOSP.
  • 7 de março de 2016: Boletim revisado para incluir links AOSP adicionais.