Boletim de segurança do Nexus - fevereiro de 2016

Publicado em 01 de fevereiro de 2016 | Atualizado em 7 de março de 2016

Lançamos uma atualização de segurança para dispositivos Nexus por meio de uma atualização over-the-air (OTA) como parte de nosso processo de lançamento mensal do Boletim de segurança do Android. As imagens de firmware do Nexus também foram lançadas no site do Google Developer . Compilações LMY49G ou posterior e Android M com nível de patch de segurança de 1º de fevereiro de 2016 ou posterior resolvem esses problemas. Consulte a documentação do Nexus para obter instruções sobre como verificar o nível do patch de segurança.

Os parceiros foram notificados sobre os problemas descritos no boletim em 4 de janeiro de 2016 ou antes. Quando aplicável, os patches de código-fonte para esses problemas foram lançados no repositório do Android Open Source Project (AOSP).

O mais grave desses problemas é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como email, navegação na Web e MMS ao processar arquivos de mídia. A vulnerabilidade de execução remota de código no driver Wi-Fi da Broadcom também é de gravidade crítica, pois pode permitir a execução remota de código em um dispositivo afetado enquanto estiver conectado à mesma rede que o invasor. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, supondo que as atenuações da plataforma e do serviço estejam desabilitadas para fins de desenvolvimento ou se forem ignoradas com êxito.

Não tivemos relatos de exploração ativa de clientes desses problemas recém-relatados. Consulte a seção Mitigações para obter detalhes sobre as proteções da plataforma de segurança Android e as proteções de serviço, como SafetyNet, que melhoram a segurança da plataforma Android. Incentivamos todos os clientes a aceitar essas atualizações em seus dispositivos.

Mitigações

Este é um resumo das mitigações fornecidas pela plataforma de segurança Android e proteções de serviço, como SafetyNet. Esses recursos reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.

  • A exploração de muitos problemas no Android é dificultada pelos aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
  • A equipe de segurança do Android está monitorando ativamente o abuso com o Verify Apps e o SafetyNet, que avisará sobre aplicativos potencialmente prejudiciais prestes a serem instalados. As ferramentas de root do dispositivo são proibidas no Google Play. Para proteger os usuários que instalam aplicativos de fora do Google Play, o Verify Apps é ativado por padrão e avisará os usuários sobre aplicativos de root conhecidos. O Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará removê-lo.
  • Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam mídia automaticamente para processos como servidor de mídia.

Reconhecimentos

Gostaríamos de agradecer a esses pesquisadores por suas contribuições:

  • Equipe de segurança do Android e Chrome: CVE-2016-0809, CVE-2016-0810
  • Equipe Broadgate: CVE-2016-0801, CVE-2015-0802
  • Chiachih Wu ( @chiachih_wu ), Mingjian Zhou ( @Mingjian_Zhou ) e Xuxian Jiang da equipe C0RE , Qihoo 360 : CVE-2016-0804
  • David Riley da equipe do Google Pixel C: CVE-2016-0812
  • Gengjia Chen ( @chengjia4574 ) do Lab IceSword, Qihoo 360: CVE-2016-0805
  • Qidan He ( @Flanker_hqd ) do KeenLab ( @keen_lab ), Tencent: CVE-2016-0811
  • Seven Shen ( @lingtongshen ) da Trend Micro ( www.trendmicro.com ): CVE-2016-0803
  • Weichao Sun ( @sunblate ) da Alibaba Inc: CVE-2016-0808
  • Zach Riggle ( @ebeip90 ) da equipe de segurança do Android: CVE-2016-0807

Detalhes da vulnerabilidade de segurança

Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2016-02-01. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, bug associado, gravidade, versões afetadas e data relatada. Quando disponível, vincularemos o commit do AOSP que abordou o problema ao ID do bug. Quando várias alterações estão relacionadas a um único bug, as referências AOSP adicionais são vinculadas a números após o ID do bug.

Vulnerabilidade de execução remota de código no driver Broadcom Wi-Fi

Várias vulnerabilidades de execução remota no driver Broadcom Wi-Fi podem permitir que um invasor remoto use pacotes de mensagens de controle sem fio especialmente criados para corromper a memória do kernel de uma maneira que leve à execução remota de código no contexto do kernel. Essas vulnerabilidades podem ser acionadas quando o invasor e a vítima estão associados à mesma rede. Esse problema é classificado como de gravidade Crítica devido à possibilidade de execução remota de código no contexto do kernel sem exigir interação do usuário.

CVE Insetos Gravidade Versões atualizadas Data do relatório
CVE-2016-0801 ANDROID-25662029
ANDROID-25662233
Crítico 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 de outubro de 2015
CVE-2016-0802 ANDROID-25306181 Crítico 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26 de outubro de 2015

Vulnerabilidade de execução remota de código no Mediaserver

Durante o processamento de arquivos de mídia e dados de um arquivo especialmente criado, as vulnerabilidades no servidor de mídia podem permitir que um invasor cause corrupção de memória e execução remota de código como o processo do servidor de mídia.

A funcionalidade afetada é fornecida como parte central do sistema operacional e existem vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia do navegador.

Este problema é classificado como de gravidade Crítica devido à possibilidade de execução remota de código no contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não podem acessar.

CVE Bugs com links AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-0803 ANDROID-25812794 Crítico 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 19 de novembro de 2015
CVE-2016-0804 ANDROID-25070434 Crítico 5.0, 5.1.1, 6.0, 6.0.1 12 de outubro de 2015

Vulnerabilidade de elevação de privilégios no módulo de desempenho da Qualcomm

Uma vulnerabilidade de elevação de privilégio no componente gerenciador de eventos de desempenho para processadores ARM da Qualcomm pode permitir que um aplicativo malicioso local execute código arbitrário no kernel. Esse problema é classificado como uma gravidade Crítica devido à possibilidade de um comprometimento local permanente do dispositivo e o dispositivo possivelmente precisaria ser reparado com a atualização do sistema operacional.

CVE Incomodar Gravidade Versões atualizadas Data do relatório
CVE-2016-0805 ANDROID-25773204* Crítico 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 15 de novembro de 2015

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios no driver Qualcomm Wi-Fi

Há uma vulnerabilidade no driver Qualcomm Wi-Fi que pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como uma gravidade Crítica devido à possibilidade de um comprometimento local permanente do dispositivo e o dispositivo possivelmente precisaria ser reparado com a atualização do sistema operacional.

CVE Incomodar Gravidade Versões atualizadas Data do relatório
CVE-2016-0806 ANDROID-25344453* Crítico 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 15 de novembro de 2015

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios no Debuggerd

Uma vulnerabilidade de elevação de privilégio no componente Debuggerd pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto raiz do dispositivo. Esse problema é classificado como uma gravidade Crítica devido à possibilidade de um comprometimento local permanente do dispositivo e o dispositivo possivelmente precisaria ser reparado com a atualização do sistema operacional.

CVE Bug com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-0807 ANDROID-25187394 Crítico 6.0 e 6.0.1 Interno do Google

Vulnerabilidade de negação de serviço no Minikin

Uma vulnerabilidade de negação de serviço na biblioteca Minikin pode permitir que um invasor local bloqueie temporariamente o acesso a um dispositivo afetado. Um invasor pode fazer com que uma fonte não confiável seja carregada e causar um estouro no componente Minikin, o que leva a uma falha. Isso é classificado como de alta gravidade porque a negação de serviço leva a um loop de reinicialização contínuo.

CVE Bug com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-0808 ANDROID-25645298 Alto 5.0, 5.1.1, 6.0, 6.0.1 3 de novembro de 2015

Elevação de vulnerabilidade de privilégio em Wi-Fi

Uma vulnerabilidade de elevação de privilégio no componente Wi-Fi pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do sistema. Um dispositivo só é vulnerável a esse problema enquanto estiver nas proximidades. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos “ normais ” remotamente. Geralmente, essas permissões são acessíveis apenas para aplicativos de terceiros instalados localmente.

CVE Bug com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-0809 ANDROID-25753768 Alto 6.0, 6.0.1 Interno do Google

Vulnerabilidade de elevação de privilégios no Mediaserver

Uma vulnerabilidade de elevação de privilégio no mediaserver pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.

CVE Bug com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-0810 ANDROID-25781119 Alto 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 Interno do Google

Vulnerabilidade de divulgação de informações no libmediaplayerservice

Uma vulnerabilidade de divulgação de informações no libmediaplayerservice pode permitir um desvio das medidas de segurança em vigor para aumentar a dificuldade dos invasores explorarem a plataforma. Esses problemas são classificados como de alta gravidade porque também podem ser usados ​​para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a aplicativos de terceiros.

CVE Bug com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-0811 ANDROID-25800375 Alto 6.0, 6.0.1 16 de novembro de 2015

Vulnerabilidade de Elevação de Privilégios no Assistente de Configuração

Uma vulnerabilidade no Assistente de configuração pode permitir que um invasor mal-intencionado ignore a proteção de redefinição de fábrica e obtenha acesso ao dispositivo. Isso é classificado como gravidade moderada porque potencialmente permite que alguém com acesso físico a um dispositivo ignore a proteção de redefinição de fábrica, que permite que um invasor reinicie um dispositivo com êxito, apagando todos os dados.

CVE Bugs com links AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-0812 ANDROID-25229538 Moderado 5.1.1, 6.0 Interno do Google
CVE-2016-0813 ANDROID-25476219 Moderado 5.1.1, 6.0, 6.0.1 Interno do Google

Perguntas e respostas comuns

Esta seção revisa as respostas para perguntas comuns que podem ocorrer após a leitura deste boletim.

1. Como determino se meu dispositivo está atualizado para resolver esses problemas?

Compilações LMY49G ou posterior e Android 6.0 com nível de patch de segurança de 1º de fevereiro de 2016 ou posterior resolvem esses problemas. Consulte a documentação do Nexus para obter instruções sobre como verificar o nível do patch de segurança. Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da string de patch para: [ro.build.version.security_patch]:[2016-02-01]

Revisões

  • 01 de fevereiro de 2016: Boletim publicado.
  • 02 de fevereiro de 2016: Boletim revisado para incluir links AOSP.
  • 07 de março de 2016: Boletim revisado para incluir links adicionais do AOSP.