Google setzt sich dafür ein, die Rassengerechtigkeit für schwarze Gemeinschaften zu fördern. Siehe wie.
Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Nexus Security Bulletin - April 2016

Veröffentlicht am 04. April 2016 | Aktualisiert am 19. Dezember 2016

Wir haben ein Sicherheitsupdate für Nexus-Geräte über ein OTA-Update (Over-the-Air) als Teil unseres monatlichen Release-Prozesses für das Android Security Bulletin veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht . Sicherheits-Patch-Levels vom 02. April 2016 oder höher beheben diese Probleme (Anweisungen zum Überprüfen des Sicherheits-Patch-Levels finden Sie in der Nexus-Dokumentation ).

Die Partner wurden am 16. März 2016 oder früher über die im Bulletin beschriebenen Probleme informiert. Gegebenenfalls wurden Quellcode-Patches für diese Probleme im AOSP-Repository (Android Open Source Project) veröffentlicht.

Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Surfen im Internet und MMS bei der Verarbeitung von Mediendateien ermöglichen kann. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Sicherheitsanfälligkeit möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstminderungen sind für Entwicklungszwecke deaktiviert oder werden erfolgreich umgangen.

In Android Security Advisory 2016-03-18 wurde zuvor die Verwendung von CVE-2015-1805 durch eine Root- Anwendung erörtert. CVE-2015-1805 wird in diesem Update behoben. Es wurden keine Berichte über die aktive Ausbeutung oder den Missbrauch der anderen neu gemeldeten Probleme durch Kunden veröffentlicht. Weitere Informationen zum Schutz der Android-Sicherheitsplattform und zum Schutz von Diensten wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Schadensbegrenzungen .

Milderungen

Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform bereitgestellten Maßnahmen und des Schutzes von Diensten wie SafetyNet. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken unter Android erfolgreich ausgenutzt werden können.

  • Die Nutzung vieler Probleme unter Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht mit Verify Apps und SafetyNet aktiv auf Missbrauch, um den Benutzer vor erkannten potenziell schädlichen Anwendungen zu warnen, die installiert werden sollen. Geräte-Rooting-Tools sind in Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist "Apps überprüfen" standardmäßig aktiviert und warnt Benutzer vor bekannten Root-Anwendungen. Überprüfen Sie, ob Apps versucht, die Installation bekannter schädlicher Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitsanfälligkeit bezüglich der Eskalation von Berechtigungen ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
  • Gegebenenfalls übergeben Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie den Medienserver.

Danksagung

Das Android-Sicherheitsteam möchte diesen Forschern für ihre Beiträge danken:

  • Abhishek Arya, Oliver Chang und Martin Barbella vom Google Chrome-Sicherheitsteam: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
  • Anestis Bechtsoudis ( @anestisb ) von CENSUS SA: CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
  • Brad Ebinger und Santos Cordon vom Google Telecom Team: CVE-2016-0847
  • Dominik Schürmann vom Institut für Betriebssysteme und Computernetzwerke der TU Braunschweig: CVE-2016-2425
  • Gengjia Chen ( @ chengjia4574 ), pjf , Jianqiang Zhao ( @jianqiangzhao ) von IceSword Lab, Qihoo 360: CVE-2016-0844
  • George Piskas von der École polytechnique fédérale de Lausanne : CVE-2016-2426
  • Guang Gong (龚 广) ( @oldfresher ) von Qihoo 360 Technology Co. Ltd.: CVE-2016-2412, CVE-2016-2416
  • James Forshaw von Google Project Zero: CVE-2016-2417, CVE-2016-0846
  • Jianqiang Zhao ( @jianqiangzhao ), pjf und Gengjia Chen ( @ chengjia4574 ) von IceSword Lab, Qihoo 360: CVE-2016-2410, CVE-2016-2411
  • Jianqiang Zhao ( @jianqiangzhao ) und pjf von IceSword Lab, Qihoo 360: CVE-2016-2409
  • Nancy Wang von Vertu Corporation LTD: CVE-2016-0837
  • Nasim Zamir : CVE-2016-2409
  • Nico Golde ( @iamnion ) von der Qualcomm Product Security Initiative: CVE-2016-2420, CVE-2016-0849
  • Peter Pi ( @heisecode ) von Trend Micro: CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
  • Richard Shupak: CVE-2016-2415
  • Romain Trouvé von MWR Labs : CVE-2016-0850
  • Stuart Henderson: CVE-2016-2422
  • Vishwath Mohan von Android Security: CVE-2016-2424
  • Weichao Sun ( @sunblate ) von Alibaba Inc.: CVE-2016-2414
  • Wish Wu ( @wish_wu ) von Trend Micro Inc.: CVE-2016-0843
  • Yeonjoon Lee und Xiaofeng Wang von der Indiana University Bloomington, Tongxin Li und Xinhui Han von der Peking University: CVE-2016-0848

Das Android-Sicherheitsteam dankt auch Yuan-Tsung Lo , Wenke Dou , Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team und Zimperium für ihren Beitrag zu CVE-2015-1805.

Details zu Sicherheitslücken

Die folgenden Abschnitte enthalten Details zu den Sicherheitslücken, die für die Patch-Version 2016-04-02 gelten. Es gibt eine Beschreibung des Problems, eine Begründung des Schweregrads und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den betroffenen Versionen und dem gemeldeten Datum. Wenn verfügbar, verknüpfen wir das AOSP-Commit, mit dem das Problem behoben wurde, mit der Fehler-ID. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern verknüpft, die auf die Fehler-ID folgen.

Sicherheitsanfälligkeit bezüglich Remotecodeausführung in DHCPCD

Eine Sicherheitsanfälligkeit im Dynamic Host Configuration Protocol-Dienst kann es einem Angreifer ermöglichen, Speicherbeschädigungen zu verursachen, die zur Ausführung von Remotecode führen können. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des DHCP-Clients als kritischer Schweregrad eingestuft. Der DHCP-Dienst hat Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2014-6060 ANDROID-15268738 Kritisch 4.4.4 30. Juli 2014
CVE-2014-6060 ANDROID-16677003 Kritisch 4.4.4 30. Juli 2014
CVE-2016-1503 ANDROID-26461634 Kritisch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 4. Januar 2016

Sicherheitsanfälligkeit bezüglich Remotecodeausführung im Mediencodec

Während der Verarbeitung von Mediendateien und Daten einer speziell gestalteten Datei können Schwachstellen in einem vom Mediaserver verwendeten Mediencodec dazu führen, dass ein Angreifer als Mediaserverprozess Speicherbeschädigungen und Remotecodeausführung verursacht.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, mit denen sie mit Remote-Inhalten erreicht werden kann, insbesondere mit MMS und der Browser-Wiedergabe von Medien.

Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Dienstes als kritischer Schweregrad eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

CVE Fehler Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0834 ANDROID-26220548 * Kritisch 6.0, 6.0.1 16. Dezember 2015

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Mediaserver

Während der Verarbeitung von Mediendateien und Daten einer speziell gestalteten Datei können Sicherheitslücken im Mediaserver dazu führen, dass ein Angreifer als Mediaserver-Prozess Speicherbeschädigungen und Remotecodeausführung verursacht.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, mit denen sie mit Remote-Inhalten erreicht werden kann, insbesondere mit MMS und der Browser-Wiedergabe von Medien.

Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Dienstes als kritischer Schweregrad eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0835 ANDROID-26070014 [ 2 ] Kritisch 6.0, 6.0.1 6. Dezember 2015
CVE-2016-0836 ANDROID-25812590 Kritisch 6.0, 6.0.1 19. November 2015
CVE-2016-0837 ANDROID-27208621 Kritisch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11. Februar 2016
CVE-2016-0838 ANDROID-26366256 [ 2 ] Kritisch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Intern
CVE-2016-0839 ANDROID-25753245 Kritisch 6.0, 6.0.1 Google Intern
CVE-2016-0840 ANDROID-26399350 Kritisch 6.0, 6.0.1 Google Intern
CVE-2016-0841 ANDROID-26040840 Kritisch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Intern

Sicherheitsanfälligkeit bezüglich Remotecodeausführung in libstagefright

Während der Verarbeitung von Mediendateien und Daten einer speziell gestalteten Datei können Sicherheitslücken in libstagefright dazu führen, dass ein Angreifer als Mediaserver-Prozess Speicherbeschädigungen und Remotecodeausführung verursacht.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, mit denen sie mit Remote-Inhalten erreicht werden kann, insbesondere mit MMS und der Browser-Wiedergabe von Medien.

Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Dienstes als kritischer Schweregrad eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0842 ANDROID-25818142 Kritisch 6.0, 6.0.1 23. November 2015

Erhöhung der Sicherheitsanfälligkeit im Kernel

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Kernel kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritischer Schweregrad eingestuft, und das Gerät muss möglicherweise durch erneutes Flashen des Betriebssystems repariert werden. Dieses Problem wurde in Android Security Advisory 2016-03-18 beschrieben .

CVE Fehler Schwere Aktualisierte Versionen Datum der Meldung
CVE-2015-1805 ANDROID-27275324 * Kritisch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19. Februar 2016

* Der Patch in AOSP ist für bestimmte Kernelversionen verfügbar: 3.14 , 3.10 und 3.4 .

Erhöhung der Sicherheitsanfälligkeit für Berechtigungen im Qualcomm-Leistungsmodul

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Performance Event Manager-Komponente für ARM-Prozessoren von Qualcomm kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritischer Schweregrad eingestuft, und das Gerät muss möglicherweise durch erneutes Flashen des Betriebssystems repariert werden.

CVE Fehler Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0843 ANDROID-25801197 * Kritisch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19. November 2015

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Berechtigungen in der Qualcomm RF-Komponente

Der Qualcomm RF-Treiber weist eine Sicherheitsanfälligkeit auf, die es einer lokalen böswilligen Anwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritischer Schweregrad eingestuft, und das Gerät muss möglicherweise durch erneutes Flashen des Betriebssystems repariert werden.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0844 ANDROID-26324307 * Kritisch 6.0, 6.0.1 25. Dezember 2015

* Ein zusätzlicher Patch für dieses Problem befindet sich in Linux Upstream .

Erhöhung der Sicherheitsanfälligkeit im Kernel

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im allgemeinen Kernel kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritischer Schweregrad eingestuft, und das Gerät muss möglicherweise durch erneutes Flashen des Betriebssystems repariert werden.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2014-9322 ANDROID-26927260 [ 2 ] [ 3 ]
[ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ]
Kritisch 6.0, 6.0.1 25. Dezember 2015

Erhöhung der Sicherheitsanfälligkeit für Berechtigungen in der IMemory Native Interface

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der IMemory Native Interface kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext einer Anwendung mit erhöhtem System auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da damit erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen erworben werden können, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0846 ANDROID-26877992 Hoch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29. Januar 2016

Erhöhung der Sicherheitsanfälligkeit in Bezug auf Berechtigungen in Telekommunikationskomponenten

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Telekommunikationskomponente kann es einem Angreifer ermöglichen, Anrufe von einer beliebigen Nummer zu tätigen. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden kann, um lokalen Zugriff auf erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0847 ANDROID-26864502 [ 2 ] Hoch 5.0.2, 5.1.1, 6.0, 6.0.1 Google Intern

Erhöhung der Sicherheitsanfälligkeit in Bezug auf Berechtigungen im Download Manager

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Download-Manager kann es einem Angreifer ermöglichen, auf nicht autorisierte Dateien im privaten Speicher zuzugreifen. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden kann, um lokalen Zugriff auf erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0848 ANDROID-26211054 Hoch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14. Dezember 2015

Erhöhung der Sicherheitsanfälligkeit für Berechtigungen im Wiederherstellungsverfahren

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Wiederherstellungsprozedur kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext einer Anwendung mit erhöhtem System auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da damit erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen erworben werden können, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0849 ANDROID-26960931 Hoch 5.0.2, 5.1.1, 6.0, 6.0.1 3. Februar 2016

Erhöhung der Sicherheitsanfälligkeit in Bluetooth

Durch eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in Bluetooth kann ein nicht vertrauenswürdiges Gerät während des ersten Kopplungsvorgangs mit dem Telefon gekoppelt werden. Dies kann zu unbefugtem Zugriff auf die Geräteressourcen führen, z. B. auf die Internetverbindung. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden kann, um erweiterte Funktionen zu erhalten, auf die nicht vertrauenswürdige Geräte nicht zugreifen können.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-0850 ANDROID-26551752 Hoch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 13. Januar 2016

Erhöhung der Sicherheitsanfälligkeit in Haptic Driver von Texas Instruments

In einem haptischen Kerneltreiber von Texas Instruments besteht eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen, die es einer lokalen böswilligen Anwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Normalerweise wird ein Kernel-Code-Ausführungsfehler wie dieser als kritisch eingestuft. Da jedoch zunächst ein Dienst kompromittiert werden muss, der den Treiber aufrufen kann, wird er stattdessen als hochgradig eingestuft.

CVE Fehler Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-2409 ANDROID-25981545 * Hoch 6.0, 6.0.1 25. Dezember 2015

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Bezug auf Berechtigungen im Qualcomm Video Kernel-Treiber

In einem Qualcomm-Videokerneltreiber besteht eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen, die es einer lokalen bösartigen Anwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Normalerweise wird eine Sicherheitsanfälligkeit bezüglich Kernelcodeausführung als kritisch eingestuft. Da jedoch zunächst ein Dienst kompromittiert werden muss, der den Treiber aufrufen kann, wird sie stattdessen als hochgradig eingestuft.

CVE Fehler Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-2410 ANDROID-26291677 * Hoch 6.0, 6.0.1 21. Dezember 2015

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Bezug auf Berechtigungen in der Qualcomm Power Management-Komponente

In einem Qualcomm Power Management-Kerneltreiber besteht eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen, die es einer lokalen bösartigen Anwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Normalerweise wird ein Kernel-Code-Ausführungsfehler wie dieser als kritisch eingestuft. Da jedoch zuerst das Gerät kompromittiert und die Root-Position erhöht werden muss, wird er stattdessen als hochgradig eingestuft.

CVE Fehler Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-2411 ANDROID-26866053 * Hoch 6.0, 6.0.1 28. Januar 2016

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit für Berechtigungen in System_server

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in System_server kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext einer Anwendung mit erhöhtem System auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da damit erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen erworben werden können, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-2412 ANDROID-26593930 Hoch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 15. Januar 2016

Erhöhung der Sicherheitsanfälligkeit in Mediaserver

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in Mediaserver kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext einer Anwendung mit erhöhtem System auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da damit erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen erworben werden können, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-2413 ANDROID-26403627 Hoch 5.0.2, 5.1.1, 6.0, 6.0.1 5. Januar 2016

Denial-of-Service-Sicherheitsanfälligkeit in Minikin

Eine Denial-of-Service-Sicherheitsanfälligkeit in der Minikin-Bibliothek kann es einem lokalen Angreifer ermöglichen, den Zugriff auf ein betroffenes Gerät vorübergehend zu blockieren. Ein Angreifer kann dazu führen, dass eine nicht vertrauenswürdige Schriftart geladen wird und die Minikin-Komponente überläuft, was zu einem Absturz führt. Dies wird als hoher Schweregrad eingestuft, da Denial of Service zu einer kontinuierlichen Neustartschleife führen würde.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-2414 ANDROID-26413177 [ 2 ] Hoch 5.0.2, 5.1.1, 6.0, 6.0.1 3. November 2015

Sicherheitsanfälligkeit bezüglich Offenlegung von Informationen in Exchange ActiveSync

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in Exchange ActiveSync kann es einer lokalen bösartigen Anwendung ermöglichen, auf die privaten Informationen eines Benutzers zuzugreifen. Dieses Problem wird als schwerwiegend eingestuft, da es den Remotezugriff auf geschützte Daten ermöglicht.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-2415 ANDROID-26488455 Hoch 5.0.2, 5.1.1, 6.0, 6.0.1 11. Januar 2016

Sicherheitslücke bei der Offenlegung von Informationen in Mediaserver

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in Mediaserver könnte die Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen, um die Schwierigkeit von Angreifern zu erhöhen, die die Plattform ausnutzen. Diese Probleme werden als hochgradig eingestuft, da sie auch verwendet werden können, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-2416 ANDROID-27046057 [ 2 ] Hoch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5. Februar 2016
CVE-2016-2417 ANDROID-26914474 Hoch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 1. Februar 2016
CVE-2016-2418 ANDROID-26324358 Hoch 6.0, 6.0.1 24. Dezember 2015
CVE-2016-2419 ANDROID-26323455 Hoch 6.0, 6.0.1 24. Dezember 2015

Erhöhung der Sicherheitsanfälligkeit in der Debuggerd-Komponente

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Debuggerd-Komponente kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code auszuführen, der zu einem dauerhaften Gerätekompromiss führen kann. Infolgedessen müsste das Gerät möglicherweise repariert werden, indem das Betriebssystem erneut geflasht wird. Normalerweise wird ein solcher Code-Ausführungsfehler als kritisch eingestuft. Da er jedoch nur in Android Version 4.4.4 eine Erhöhung der Berechtigung vom System zum Root ermöglicht, wird er stattdessen als moderat eingestuft. In Android-Versionen 5.0 und höher verhindern SELinux-Regeln, dass Anwendungen von Drittanbietern den betroffenen Code erreichen.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-2420 ANDROID-26403620 [ 2 ] Mäßig 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5. Januar 2016

Erhöhung der Sicherheitsanfälligkeit bezüglich Berechtigungen im Setup-Assistenten

Eine Sicherheitsanfälligkeit im Setup-Assistenten kann es einem Angreifer ermöglichen, den Schutz zum Zurücksetzen auf die Werkseinstellungen zu umgehen und Zugriff auf das Gerät zu erhalten. Dies wird als mittlerer Schweregrad eingestuft, da möglicherweise Personen mit physischem Zugriff auf ein Gerät den Schutz für das Zurücksetzen auf die Werkseinstellungen umgehen können, wodurch ein Angreifer ein Gerät erfolgreich zurücksetzen und alle Daten löschen kann.

CVE Fehler Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-2421 ANDROID-26154410 * Mäßig 5.1.1, 6.0, 6.0.1 Google Intern

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in der neuesten Binärversion für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar ist.

Erhöhung der Sicherheitsanfälligkeit in Wi-Fi

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in Wi-Fi kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext einer Anwendung mit erhöhtem System auszuführen. Dieses Problem wird als mittelschwer eingestuft, da damit erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen erworben werden können, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-2422 ANDROID-26324357 Mäßig 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 23. Dezember 2015

Erhöhung der Sicherheitslücke in der Telefonie

Eine Sicherheitsanfälligkeit in der Telefonie kann es einem Angreifer ermöglichen, den Factory Reset-Schutz zu umgehen und Zugriff auf das Gerät zu erhalten. Dies wird als mittlerer Schweregrad eingestuft, da möglicherweise Personen mit physischem Zugriff auf ein Gerät den Schutz für das Zurücksetzen auf die Werkseinstellungen umgehen können, wodurch ein Angreifer ein Gerät erfolgreich zurücksetzen und alle Daten löschen kann.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-2423 ANDROID-26303187 Mäßig 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Intern

Denial-of-Service-Sicherheitsanfälligkeit in SyncStorageEngine

Eine Denial-of-Service-Sicherheitsanfälligkeit in SyncStorageEngine kann es einer lokalen bösartigen Anwendung ermöglichen, eine Neustartschleife auszulösen. Dieses Problem wird als mittelschwer eingestuft, da es zu einem lokalen vorübergehenden Denial-of-Service führen kann, der möglicherweise durch einen Werksreset behoben werden muss.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-2424 ANDROID-26513719 Mäßig 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Intern

Sicherheitslücke bei der Offenlegung von Informationen in AOSP Mail

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in AOSP Mail kann es einer lokalen bösartigen Anwendung ermöglichen, auf die privaten Informationen eines Benutzers zuzugreifen. Dieses Problem wird als mittelschwer eingestuft, da es verwendet werden kann, um „gefährliche“ Berechtigungen zu erhalten.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-2425 ANDROID-26989185 Mäßig 4.4.4, 5.1.1, 6.0, 6.0.1 29. Januar 2016
CVE-2016-2425 ANDROID-7154234 * Mäßig 5.0.2 29. Januar 2016

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in der neuesten Binärversion für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar ist.

Sicherheitslücke bei der Offenlegung von Informationen im Framework

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in der Framework-Komponente kann einer Anwendung den Zugriff auf vertrauliche Informationen ermöglichen. Dieses Problem wird als mittelschwer eingestuft, da es verwendet werden kann, um ohne Erlaubnis nicht ordnungsgemäß auf Daten zuzugreifen.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum der Meldung
CVE-2016-2426 ANDROID-26094635 Mäßig 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 8. Dezember 2015

Häufige Fragen und Antworten

In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Bulletins auftreten können.

1. Wie stelle ich fest, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?

Sicherheits-Patch-Levels vom 2. April 2016 oder höher beheben diese Probleme (Anweisungen zum Überprüfen des Sicherheits-Patch-Levels finden Sie in der Nexus-Dokumentation ). Gerätehersteller, die diese Updates enthalten, sollten die Patch-Zeichenfolge auf Folgendes einstellen: [ro.build.version.security_patch]: [2016-04-02]

2. Warum ist diese Sicherheits-Patch-Stufe am 2. April 2016?

Die Sicherheits-Patch-Stufe für das monatliche Sicherheitsupdate wird normalerweise auf den ersten des Monats festgelegt. Für April gibt eine Sicherheits-Patch-Stufe vom 1. April 2016 an, dass alle in diesem Bulletin beschriebenen Probleme mit Ausnahme von CVE-2015-1805, wie in Android Security Advisory 2016-03-18 beschrieben, behoben wurden. Eine Sicherheits-Patch-Stufe vom 2. April 2016 zeigt an, dass alle in diesem Bulletin beschriebenen Probleme, einschließlich CVE-2015-1805, wie in Android Security Advisory 2016-03-18 beschrieben, behoben wurden.

Überarbeitungen

  • 04. April 2016: Bulletin veröffentlicht.
  • 06. April 2016: Das Bulletin wurde überarbeitet, um AOSP-Links aufzunehmen.
  • 07. April 2016: Das Bulletin wurde überarbeitet, um einen zusätzlichen AOSP-Link aufzunehmen.
  • 11. Juli 2016: Aktualisierte Beschreibung von CVE-2016-2427.
  • 01. August 2016: Aktualisierte Beschreibung von CVE-2016-2427
  • 19. Dezember 2016: Aktualisiert, um CVE-2016-2427 zu entfernen, das zurückgesetzt wurde.