Pubblicato il 9 settembre 2015
Abbiamo rilasciato un aggiornamento di sicurezza per i dispositivi Nexus tramite un aggiornamento over-the-air (OTA) come parte del nostro processo di rilascio mensile del Bollettino sulla sicurezza Android (Build LMY48M). Gli aggiornamenti per i dispositivi Nexus e le patch del codice sorgente per questi problemi sono stati rilasciati anche nel repository di origine Android Open Source Project (AOSP). Il più grave di questi problemi è una vulnerabilità di sicurezza critica che potrebbe consentire l'esecuzione di codice in modalità remota su un dispositivo interessato.
Le immagini del firmware Nexus sono state rilasciate anche al sito degli sviluppatori di Google . Le build LMY48M o successive risolvono questi problemi. I partner sono stati informati di questi problemi il 13 agosto 2015 o prima.
Non abbiamo rilevato lo sfruttamento da parte dei clienti dei nuovi problemi segnalati. L'eccezione è il problema esistente (CVE-2015-3636). Fare riferimento alla sezione Mitigazioni per i dettagli sulle protezioni della piattaforma di sicurezza Android e sulle protezioni dei servizi come SafetyNet, che riducono la probabilità che le vulnerabilità della sicurezza possano essere sfruttate con successo su Android.
Tieni presente che entrambi gli aggiornamenti di sicurezza critici (CVE-2015-3864 e CVE-2015-3686) affrontano le vulnerabilità già divulgate. In questo aggiornamento non sono state rilevate nuove vulnerabilità di sicurezza critiche. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, supponendo che la piattaforma e le attenuazioni del servizio siano disabilitate per scopi di sviluppo o se bypassate correttamente.
Invitiamo tutti i clienti ad accettare questi aggiornamenti sui propri dispositivi.
Mitigazioni
Questo è un riepilogo delle attenuazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni del servizio come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità della sicurezza possano essere sfruttate con successo su Android.
- Lo sfruttamento per molti problemi su Android è reso più difficile dai miglioramenti nelle versioni più recenti della piattaforma Android. Incoraggiamo tutti gli utenti ad aggiornare all'ultima versione di Android, ove possibile.
- Il team di sicurezza di Android sta monitorando attivamente gli abusi con Verifica app e SafetyNet che avviseranno di applicazioni potenzialmente dannose che stanno per essere installate. Gli strumenti di rooting del dispositivo sono vietati all'interno di Google Play. Per proteggere gli utenti che installano applicazioni al di fuori di Google Play, Verifica app è abilitato per impostazione predefinita e avviserà gli utenti delle applicazioni di rooting note. Verifica app tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di escalation dei privilegi. Se tale applicazione è già stata installata, Verifica app avviserà l'utente e tenterà di rimuovere tali applicazioni.
- A seconda dei casi, le applicazioni Google Hangouts e Messenger non trasmettono automaticamente i file multimediali a processi come mediaserver.
Ringraziamenti
Vorremmo ringraziare questi ricercatori per il loro contributo:
- Jordan Gruskovnjak di Exodus Intelligence (@jgrusko): CVE-2015-3864
- Michał Bednarski: CVE-2015-3845
- Guang Gong di Qihoo 360 Technology Co. Ltd (@oldfresher): CVE-2015-1528, CVE-2015-3849
- Brennan Lautner: CVE-2015-3863
- jgor (@indiecom): CVE-2015-3860
- Wish Wu di Trend Micro Inc. (@wish_wu): CVE-2015-3861
Dettagli vulnerabilità di sicurezza
Nelle sezioni seguenti, forniamo i dettagli per ciascuna delle vulnerabilità della sicurezza in questo bollettino. C'è una descrizione del problema, una logica di gravità e una tabella con il CVE, il bug associato, la gravità, le versioni interessate e la data segnalata. Ove disponibile, abbiamo collegato la modifica AOSP che ha risolto il problema all'ID del bug. Quando più modifiche si riferiscono a un singolo bug, ulteriori riferimenti AOSP sono collegati a numeri che seguono l'ID del bug.
Vulnerabilità nell'esecuzione di codice in remoto in Mediaserver
Durante l'elaborazione di file multimediali e dati di un file appositamente predisposto, le vulnerabilità in mediaserver possono consentire a un utente malintenzionato di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota come processo mediaserver.
La funzionalità interessata è fornita come parte fondamentale del sistema operativo e sono disponibili più applicazioni che consentono di raggiungerla con contenuti remoti, in particolare MMS e riproduzione di file multimediali tramite browser.
Questo problema è classificato come Critico a causa della possibilità di esecuzione di codice in modalità remota nel contesto del servizio mediaserver. Il servizio mediaserver ha accesso a flussi audio e video, nonché accesso a privilegi a cui normalmente le app di terze parti non possono accedere.
Questo problema è correlato al già segnalato CVE-2015-3824 (ANDROID-20923261). L'aggiornamento della sicurezza originale non era sufficiente per risolvere una variante di questo problema originariamente segnalato.
| CVE | Bug con i collegamenti AOSP | Gravità | Versioni interessate |
|---|---|---|---|
| CVE-2015-3864 | ANDROID-23034759 | Critico | 5.1 e seguenti |
Vulnerabilità del privilegio di elevazione nel kernel
Una vulnerabilità legata all'elevazione dei privilegi nella gestione dei socket ping da parte del kernel Linux potrebbe consentire a un'applicazione dannosa di eseguire codice arbitrario nel contesto del kernel.
Questo problema è classificato come Critico a causa della possibilità di esecuzione di codice in un servizio privilegiato che può ignorare le protezioni dei dispositivi, portando potenzialmente a una compromissione permanente (ad esempio, richiedendo il re-flash della partizione di sistema) su alcuni dispositivi.
Questo problema è stato identificato pubblicamente per la prima volta il 1 maggio 2015. Un exploit di questa vulnerabilità è stato incluso in una serie di strumenti di "rooting" che possono essere utilizzati dal proprietario del dispositivo per modificare il firmware sul proprio dispositivo.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate |
|---|---|---|---|
| CVE-2015-3636 | ANDROID-20770158 | Critico | 5.1 e seguenti |
Aumento della vulnerabilità dei privilegi in Binder
Una vulnerabilità legata all'acquisizione di privilegi più elevati in Binder potrebbe consentire a un'applicazione dannosa di eseguire codice arbitrario nel contesto del processo di un'altra app.
Questo problema è classificato con gravità elevata perché consente a un'applicazione dannosa di ottenere privilegi non accessibili a un'applicazione di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate |
|---|---|---|---|
| CVE-2015-3845 | ANDROID-17312693 | Alto | 5.1 e seguenti |
| CVE-2015-1528 | ANDROID-19334482 [ 2 ] | Alto | 5.1 e seguenti |
Aumento della vulnerabilità dei privilegi in Keystore
Una vulnerabilità legata all'acquisizione di privilegi più elevati in Keystore potrebbe consentire a un'applicazione dannosa di eseguire codice arbitrario nel contesto del servizio keystore. Ciò potrebbe consentire l'uso non autorizzato delle chiavi archiviate da Keystore, comprese le chiavi con supporto hardware.
Questo problema è classificato come severità elevata perché può essere utilizzato per ottenere privilegi non accessibili a un'applicazione di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate |
|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | Alto | 5.1 e seguenti |
Aumento della vulnerabilità dei privilegi nella regione
Una vulnerabilità legata all'acquisizione di privilegi più elevati nella regione potrebbe, attraverso la creazione di un messaggio dannoso a un servizio, consentire a un'applicazione dannosa di eseguire codice arbitrario nel contesto del servizio di destinazione.
Questo problema è classificato come severità elevata perché può essere utilizzato per ottenere privilegi non accessibili a un'applicazione di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate |
|---|---|---|---|
| CVE-2015-3849 | ANDROID-20883006 [ 2 ] | Alto | 5.1 e seguenti |
L'aumento della vulnerabilità dei privilegi negli SMS consente il bypass delle notifiche
Una vulnerabilità legata all'acquisizione di privilegi più elevati nel modo in cui Android elabora i messaggi SMS potrebbe consentire a un'applicazione dannosa di inviare un messaggio SMS che ignora la notifica di avviso SMS a tariffa maggiorata.
Questo problema è classificato come severità elevata perché può essere utilizzato per ottenere privilegi non accessibili a un'applicazione di terze parti.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate |
|---|---|---|---|
| CVE-2015-3858 | ANDROID-22314646 | Alto | 5.1 e seguenti |
Aumento della vulnerabilità dei privilegi nella schermata di blocco
Una vulnerabilità legata all'acquisizione di privilegi più elevati in Lockscreen potrebbe consentire a un utente malintenzionato di aggirare la schermata di blocco provocandone l'arresto anomalo. Questo problema è classificato come una vulnerabilità solo su Android 5.0 e 5.1. Sebbene sia possibile causare l'arresto anomalo dell'interfaccia utente di sistema dalla schermata di blocco in modo simile su 4.4, non è possibile accedere alla schermata iniziale e il dispositivo deve essere riavviato per il ripristino.
Questo problema è classificato come di gravità moderata perché potenzialmente consente a qualcuno con accesso fisico a un dispositivo di installare app di terze parti senza che il proprietario del dispositivo approvi le autorizzazioni. Può anche consentire all'attaccante di visualizzare i dati dei contatti, i registri telefonici, i messaggi SMS e altri dati normalmente protetti con un'autorizzazione di livello "pericoloso".
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate |
|---|---|---|---|
| CVE-2015-3860 | ANDROID-22214934 | Moderare | 5.1 e 5.0 |
Vulnerabilità di Denial of Service in Mediaserver
Una vulnerabilità Denial of Service in mediaserver potrebbe consentire a un utente malintenzionato locale di bloccare temporaneamente l'accesso a un dispositivo interessato.
Questo problema è classificato come di gravità Bassa perché un utente potrebbe riavviare in modalità provvisoria per rimuovere un'applicazione dannosa che sta sfruttando questo problema. È anche possibile fare in modo che il mediaserver elabori il file dannoso in remoto tramite il Web o tramite MMS, in tal caso il processo del mediaserver si arresta in modo anomalo e il dispositivo rimane utilizzabile.
| CVE | Bug con collegamenti AOSP | Gravità | Versioni interessate |
|---|---|---|---|
| CVE-2015-3861 | ANDROID-21296336 | Basso | 5.1 e seguenti |