Google setzt sich dafür ein, die Rassengerechtigkeit für schwarze Gemeinschaften zu fördern. Siehe wie.
Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Nexus Security Bulletin - März 2016

Veröffentlicht am 07. März 2016 | Aktualisiert am 08. März 2016

Wir haben ein Sicherheitsupdate für Nexus-Geräte über ein OTA-Update (Over-the-Air) als Teil unseres monatlichen Release-Prozesses für das Android Security Bulletin veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht . Erstellt LMY49H oder höher und Android M mit Sicherheits-Patch-Level vom 01. März 2016 oder höher, um diese Probleme zu beheben. Anweisungen zum Überprüfen der Sicherheits-Patch-Stufe finden Sie in der Nexus-Dokumentation .

Die Partner wurden am 1. Februar 2016 oder früher über die im Bulletin beschriebenen Probleme informiert. Gegebenenfalls wurden Quellcode-Patches für diese Probleme im AOSP-Repository (Android Open Source Project) veröffentlicht.

Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Surfen im Internet und MMS bei der Verarbeitung von Mediendateien ermöglichen kann. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Sicherheitsanfälligkeit möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstminderungen sind für Entwicklungszwecke deaktiviert oder werden erfolgreich umgangen.

Wir haben keine Berichte über die aktive Nutzung dieser neu gemeldeten Probleme durch Kunden erhalten. Weitere Informationen zum Schutz der Android-Sicherheitsplattform und zum Schutz von Diensten wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Schadensbegrenzungen . Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.

Milderungen

Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform bereitgestellten Maßnahmen und des Schutzes von Diensten wie SafetyNet. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken unter Android erfolgreich ausgenutzt werden können.

  • Die Nutzung vieler Probleme unter Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht mit Verify Apps und SafetyNet aktiv auf Missbrauch, um vor potenziell schädlichen Anwendungen zu warnen, die installiert werden sollen. Geräte-Rooting-Tools sind in Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist "Apps überprüfen" standardmäßig aktiviert und warnt Benutzer vor bekannten Root-Anwendungen. Überprüfen Sie, ob Apps versucht, die Installation bekannter schädlicher Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitsanfälligkeit bezüglich der Eskalation von Berechtigungen ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
  • Gegebenenfalls übergeben Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie den Medienserver.

Danksagung

Wir möchten diesen Forschern für ihre Beiträge danken:

  • Abhishek Arya, Oliver Chang und Martin Barbella vom Google Chrome Security Team: CVE-2016-0815
  • Anestis Bechtsoudis ( @anestisb ) von CENSUS SA: CVE-2016-0816, CVE-2016-0824
  • Chad Brubaker von Android Security: CVE-2016-0818
  • Mark Brand von Google Project Zero: CVE-2016-0820
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team von Qihoo 360 : CVE-2016-0826
  • Peter Pi ( @heisecode ) von Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
  • Scott Bauer ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
  • Wish Wu ( @wish_wu ) von Trend Micro Inc.: CVE-2016-0819
  • Yongzheng Wu und Tieyan Li von Huawei: CVE-2016-0831
  • Su Mon Kywe und Yingjiu Li von der Singapore Management University: CVE-2016-0831
  • Zach Riggle ( @ ebeip90 ) vom Android-Sicherheitsteam: CVE-2016-0821

Details zu Sicherheitslücken

In den folgenden Abschnitten finden Sie Details zu den Sicherheitslücken, die für die Patch-Version 2016-03-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung des Schweregrads und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den betroffenen Versionen und dem gemeldeten Datum. Wenn verfügbar, verknüpfen wir die AOSP-Änderung, mit der das Problem behoben wurde, mit der Fehler-ID. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern verknüpft, die auf die Fehler-ID folgen.

Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Mediaserver

Während der Verarbeitung von Mediendateien und Daten einer speziell gestalteten Datei können Sicherheitslücken im Mediaserver dazu führen, dass ein Angreifer als Mediaserver-Prozess Speicherbeschädigungen und Remotecodeausführung verursacht.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, mit denen sie mit Remote-Inhalten erreicht werden kann, insbesondere mit MMS und der Browser-Wiedergabe von Medien.

Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Dienstes als kritischer Schweregrad eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0815 ANDROID-26365349 Kritisch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Intern
CVE-2016-0816 ANDROID-25928803 Kritisch 6.0, 6.0.1 Google Intern

Sicherheitslücken bei der Remotecodeausführung in libvpx

Während der Verarbeitung von Mediendateien und Daten einer speziell gestalteten Datei können Sicherheitslücken im Mediaserver dazu führen, dass ein Angreifer als Mediaserver-Prozess Speicherbeschädigungen und Remotecodeausführung verursacht.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, mit denen sie mit Remote-Inhalten erreicht werden kann, insbesondere mit MMS und der Browser-Wiedergabe von Medien.

Die Probleme werden als kritischer Schweregrad eingestuft, da sie für die Remotecodeausführung im Kontext des Mediaserver-Dienstes verwendet werden können. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-1621 ANDROID-23452792 [2] [3] Kritisch 4.4.4, 5.0.2, 5.1.1, 6.0 Google Intern

Erhöhung der Berechtigung in Conscrypt

Eine Sicherheitsanfälligkeit in Conscrypt kann dazu führen, dass einem bestimmten Typ eines ungültigen Zertifikats, das von einer zwischengeschalteten Zertifizierungsstelle (CA) ausgestellt wurde, fälschlicherweise vertraut wird. Dies kann einen Man-in-the-Middle-Angriff ermöglichen. Dieses Problem wird aufgrund der Möglichkeit einer Erhöhung der Berechtigungen und der Remote-Ausführung von beliebigem Code als kritischer Schweregrad eingestuft.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0818 ANDROID-26232830 [2] Kritisch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Intern

Erhöhung der Sicherheitsanfälligkeit in Bezug auf Berechtigungen in der Qualcomm-Leistungskomponente

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Qualcomm-Leistungskomponente kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritischer Schweregrad eingestuft. Das Gerät konnte nur durch erneutes Flashen des Betriebssystems repariert werden.

CVE Fehler Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0819 ANDROID-25364034 * Kritisch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29. Oktober 2015

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Bezug auf Berechtigungen im MediaTek Wi-Fi Kernel-Treiber

Der MediaTek Wi-Fi-Kerneltreiber weist eine Sicherheitsanfälligkeit auf, die es einer lokalen bösartigen Anwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit der Erhöhung von Berechtigungen und der Ausführung von willkürlichem Code im Kontext des Kernels als kritischer Schweregrad eingestuft.

CVE Fehler Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0820 ANDROID-26267358 * Kritisch 6.0.1 18. Dezember 2015

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in der Kernel-Schlüsselringkomponente

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Kernel-Schlüsselringkomponente kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritischer Schweregrad eingestuft, und das Gerät kann möglicherweise nur durch erneutes Flashen des Betriebssystems repariert werden. In Android-Versionen 5.0 und höher verhindern die SELinux-Regeln jedoch, dass Anwendungen von Drittanbietern den betroffenen Code erreichen.

Hinweis: Als Referenz ist der Patch in AOSP für bestimmte Kernelversionen verfügbar: 4.1 , 3.18 , 3.14 und 3.10 .

CVE Fehler Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0728 ANDROID-26636379 Kritisch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11. Januar 2016

Sicherheitsanfälligkeit im Kernel umgehen

Eine Sicherheitsanfälligkeit bezüglich der Umgehung der Minderung im Kernel könnte die Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen, um die Schwierigkeit von Angreifern zu erhöhen, die die Plattform ausnutzen. Dieses Problem wird als schwerwiegend eingestuft, da dadurch Sicherheitsmaßnahmen umgangen werden können, um die Schwierigkeit von Angreifern zu erhöhen, die die Plattform ausnutzen.

Hinweis: Das Update für dieses Problem befindet sich im Linux-Upstream .

CVE Fehler Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0821 ANDROID-26186802 Hoch 6.0.1 Google Intern

Erhöhung der Berechtigungen im MediaTek Connectivity Kernel-Treiber

In einem MediaTek-Konnektivitätskerneltreiber besteht eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen, die es einer lokalen bösartigen Anwendung ermöglichen kann, beliebigen Code im Kontext des Kernels auszuführen. Normalerweise wird ein Kernel-Code-Ausführungsfehler wie dieser als kritisch eingestuft. Da jedoch zuerst der Dienst conn_launcher kompromittiert werden muss, ist ein Downgrade auf einen hohen Schweregrad gerechtfertigt.

CVE Fehler Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0822 ANDROID-25873324 * Hoch 6.0.1 24. November 2015

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bei der Offenlegung von Informationen im Kernel

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen im Kernel könnte die Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen, um die Schwierigkeit von Angreifern zu erhöhen, die die Plattform ausnutzen. Diese Probleme werden als schwerwiegend eingestuft, da sie eine lokale Umgehung von Exploit-Minderungstechnologien wie ASLR in einem privilegierten Prozess ermöglichen könnten.

Hinweis: Das Update für dieses Problem befindet sich in Linux Upstream .

CVE Fehler Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0823 ANDROID-25739721 * Hoch 6.0.1 Google Intern

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bei der Offenlegung von Informationen in libstagefright

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in libstagefright könnte die Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen, um die Schwierigkeit von Angreifern zu erhöhen, die die Plattform ausnutzen. Diese Probleme werden als hochgradig eingestuft, da sie auch verwendet werden können, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0824 ANDROID-25765591 Hoch 6.0, 6.0.1 18. November 2015

Sicherheitslücke bei der Offenlegung von Informationen in Widevine

Durch eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in der vertrauenswürdigen Widevine-Anwendung kann Code, der im Kernelkontext ausgeführt wird, auf Informationen im sicheren Speicher von TrustZone zugreifen. Dieses Problem wird als hoher Schweregrad eingestuft, da damit erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen erworben werden können.

CVE Bug (s) Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0825 ANDROID-20860039 * Hoch 6.0.1 Google Intern

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Mediaserver

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in Mediaserver kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext einer Anwendung mit erhöhtem System auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da damit erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen erworben werden können, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0826 ANDROID-26265403 [2] Hoch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17. Dezember 2015
CVE-2016-0827 ANDROID-26347509 Hoch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28. Dezember 2015

Sicherheitslücke bei der Offenlegung von Informationen in Mediaserver

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in Mediaserver könnte die Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen, um die Schwierigkeit von Angreifern zu erhöhen, die die Plattform ausnutzen. Diese Probleme werden als hochgradig eingestuft, da sie auch verwendet werden können, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0828 ANDROID-26338113 Hoch 5.0.2, 5.1.1, 6.0, 6.0.1 27. Dezember 2015
CVE-2016-0829 ANDROID-26338109 Hoch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27. Dezember 2015

Remote Denial of Service-Sicherheitsanfälligkeit in Bluetooth

Eine Remote-Denial-of-Service-Sicherheitsanfälligkeit in der Bluetooth-Komponente kann es einem proximalen Angreifer ermöglichen, den Zugriff auf ein betroffenes Gerät zu blockieren. Ein Angreifer kann einen Überlauf identifizierter Bluetooth-Geräte in der Bluetooth-Komponente verursachen, was zu Speicherbeschädigung und Dienststopp führt. Dies wird als hoher Schweregrad eingestuft, da dies zu einem Denial-of-Service für den Bluetooth-Dienst führt, der möglicherweise nur mit einem Blitz des Geräts behoben werden kann.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0830 ANDROID-26071376 Hoch 6.0, 6.0.1 Google Intern

Sicherheitslücke bei der Offenlegung von Informationen in der Telefonie

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in der Telefoniekomponente kann einer Anwendung den Zugriff auf vertrauliche Informationen ermöglichen. Dieses Problem wird als mittelschwer eingestuft, da es verwendet werden kann, um ohne Erlaubnis nicht ordnungsgemäß auf Daten zuzugreifen.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0831 ANDROID-25778215 Mäßig 5.0.2, 5.1.1, 6.0, 6.0.1 16. November 2015

Erhöhung der Sicherheitsanfälligkeit bezüglich Berechtigungen im Setup-Assistenten

Eine Sicherheitsanfälligkeit im Setup-Assistenten kann es einem Angreifer, der physischen Zugriff auf das Gerät hatte, ermöglichen, auf Geräteeinstellungen zuzugreifen und einen manuellen Geräte-Reset durchzuführen. Dieses Problem wird als mittelschwer eingestuft, da es verwendet werden kann, um den Werksreset-Schutz nicht ordnungsgemäß zu umgehen.

CVE Bug (s) Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0832 ANDROID-25955042 * Mäßig 5.1.1, 6.0, 6.0.1 Google Intern

* Für dieses Update wird kein Quellcode-Patch bereitgestellt.

Häufige Fragen und Antworten

In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Bulletins auftreten können.

1. Wie stelle ich fest, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?

Builds LMY49H oder höher und Android 6.0 mit Sicherheits-Patch-Level vom 1. März 2016 oder höher beheben diese Probleme. Anweisungen zum Überprüfen der Sicherheits-Patch-Stufe finden Sie in der Nexus-Dokumentation . Gerätehersteller, die diese Updates enthalten, sollten die Patch-Zeichenfolge auf Folgendes festlegen: [ro.build.version.security_patch]: [2016-03-01]

Überarbeitungen

  • 07. März 2016: Bulletin veröffentlicht.
  • 08. März 2016: Das Bulletin wurde überarbeitet, um AOSP-Links aufzunehmen.