Bollettino sulla sicurezza di Nexus - ottobre 2015

Pubblicato il 5 ottobre 2015 | Aggiornato il 28 aprile 2016

Abbiamo rilasciato un aggiornamento di sicurezza per i dispositivi Nexus tramite un aggiornamento over-the-air (OTA) come parte del nostro processo di rilascio mensile del bollettino sulla sicurezza di Android. Le immagini del firmware del Nexus sono state rilasciate anche sul sito degli sviluppatori di Google . Le build LMY48T o successive (come LMY48W) e Android M con livello di patch di sicurezza del 1 ottobre 2015 o successivo risolvono questi problemi. Fare riferimento alla documentazione del Nexus per istruzioni su come verificare il livello della patch di sicurezza.

I partner sono stati informati di questi problemi il 10 settembre 2015 o prima. Le patch del codice sorgente per questi problemi sono state rilasciate nel repository Android Open Source Project (AOSP).

Il più grave di questi problemi è una vulnerabilità critica della sicurezza che potrebbe consentire l'esecuzione di codice remoto su un dispositivo interessato attraverso più metodi come e-mail, navigazione Web e MMS durante l'elaborazione di file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, presupponendo che le mitigazioni della piattaforma e del servizio siano disabilitate per scopi di sviluppo o se aggirate con successo.

Non abbiamo ricevuto segnalazioni di sfruttamento attivo da parte dei clienti di questi problemi appena segnalati. Fare riferimento alla sezione Mitigazioni per dettagli sulle protezioni della piattaforma di sicurezza Android e sulle protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android. Incoraggiamo tutti i clienti ad accettare questi aggiornamenti sui propri dispositivi.

Mitigazioni

Questo è un riepilogo delle mitigazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni dei servizi come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità della sicurezza possano essere sfruttate con successo su Android.

  • Lo sfruttamento di molti problemi su Android è reso più difficile dai miglioramenti apportati alle versioni più recenti della piattaforma Android. Incoraggiamo tutti gli utenti ad aggiornare all'ultima versione di Android, ove possibile.
  • Il team di sicurezza Android sta monitorando attivamente eventuali abusi con Verify Apps e SafetyNet che avviseranno delle applicazioni potenzialmente dannose che stanno per essere installate. Gli strumenti di rooting del dispositivo sono vietati in Google Play. Per proteggere gli utenti che installano applicazioni dall'esterno di Google Play, Verifica app è abilitato per impostazione predefinita e avviserà gli utenti delle applicazioni di rooting note. Verify Apps tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di escalation dei privilegi. Se tale applicazione è già stata installata, Verify Apps avviserà l'utente e tenterà di rimuovere tali applicazioni.
  • Se opportuno, Google ha aggiornato le applicazioni Hangouts e Messenger in modo che i media non vengano automaticamente passati a processi vulnerabili (come mediaserver).

Ringraziamenti

Desideriamo ringraziare questi ricercatori per il loro contributo:

  • Brennan Lautner: CVE-2015-3863
  • Chiachih Wu e Xuxian Jiang del C0RE Team di Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
  • Yajin Zhou, Lei Wu e Xuxian Jiang del C0RE Team di Qihoo 360: CVE-2015-3865
  • Daniel Micay (daniel.micay@copperhead.co) presso Copperhead Security: CVE-2015-3875
  • dragonltx del team di sicurezza mobile di Alibaba: CVE-2015-6599
  • Ian Beer e Steven Vittitoe di Google Project Zero: CVE-2015-6604
  • Joaquín Rinaudo (@xeroxnir) e Iván Arce (@4Dgifts) di Programa STIC presso la Fundación Dr. Manuel Sadosky, Buenos Aires Argentina: CVE-2015-3870
  • Josh Drake di Zimperium: CVE-2015-3876, CVE-2015-6602
  • Jordan Gruskovnjak di Exodus Intelligence (@jgrusko): CVE-2015-3867
  • Peter Pi di Trend Micro: CVE-2015-3872, CVE-2015-3871
  • Ping Li di Qihoo 360 Technology Co. Ltd: CVE-2015-3878
  • Sette Shen: CVE-2015-6600, CVE-2015-3847
  • Wangtao(neobyte) di Baidu X-Team: CVE-2015-6598
  • Wish Wu di Trend Micro Inc. (@wish_wu): CVE-2015-3823
  • Michael Roland del JR-Center u'smile presso l'Università di Scienze Applicate, Alta Austria/ Hagenberg: CVE-2015-6606

Desideriamo inoltre riconoscere il contributo del team di sicurezza di Chrome, del team di sicurezza di Google, di Project Zero e di altre persone all'interno di Google per aver segnalato diversi problemi risolti in questo bollettino.

Dettagli sulla vulnerabilità della sicurezza

Nelle sezioni seguenti forniamo dettagli per ciascuna delle vulnerabilità della sicurezza che si applicano al livello di patch 2015-10-01. È presente una descrizione del problema, una motivazione relativa alla gravità e una tabella con il CVE, il bug associato, la gravità, le versioni interessate e la data segnalata. Ove disponibile, abbiamo collegato la modifica AOSP che risolveva il problema all'ID del bug. Quando più modifiche riguardano un singolo bug, ulteriori riferimenti AOSP sono collegati a numeri che seguono l'ID del bug.

Vulnerabilità legate all'esecuzione di codice in modalità remota in libstagefright

Esistono vulnerabilità in libstagefright che potrebbero consentire a un utente malintenzionato, durante l'elaborazione di file multimediali e dati di un file appositamente predisposto, di provocare il danneggiamento della memoria e l'esecuzione di codice remoto nel servizio mediaserver.

Questi problemi sono classificati come di gravità critica a causa della possibilità di esecuzione di codice in modalità remota come servizio privilegiato. I componenti interessati hanno accesso a flussi audio e video nonché accesso a privilegi a cui normalmente le applicazioni di terze parti non possono accedere.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3873 ANDROID-20674086 [ 2 , 3 , 4 ] Critico 5.1 e seguenti Interno di Google
ANDROID-20674674 [ 2 , 3 , 4 ]
ANDROID-20718524
ANDROID-21048776
ANDROID-21443020
ANDROID-21814993
ANDROID-22008959
ANDROID-22077698
ANDROID-22388975
ANDROID-22845824
ANDROID-23016072
ANDROID-23247055
ANDROID-23248776
ANDROID-20721050 Critico 5.0 e 5.1 Interno di Google
CVE-2015-3823 ANDROID-21335999 Critico 5.1 e seguenti 20 maggio 2015
CVE-2015-6600 ANDROID-22882938 Critico 5.1 e seguenti 31 luglio 2015
CVE-2015-6601 ANDROID-22935234 Critico 5.1 e seguenti 3 agosto 2015
CVE-2015-3869 ANDROID-23036083 Critico 5.1 e seguenti 4 agosto 2015
CVE-2015-3870 ANDROID-22771132 Critico 5.1 e seguenti 5 agosto 2015
CVE-2015-3871 ANDROID-23031033 Critico 5.1 e seguenti 6 agosto 2015
CVE-2015-3868 ANDROID-23270724 Critico 5.1 e seguenti 6 agosto 2015
CVE-2015-6604 ANDROID-23129786 Critico 5.1 e seguenti 11 agosto 2015
CVE-2015-3867 ANDROID-23213430 Critico 5.1 e seguenti 14 agosto 2015
CVE-2015-6603 ANDROID-23227354 Critico 5.1 e seguenti 15 agosto 2015
CVE-2015-3876 ANDROID-23285192 Critico 5.1 e seguenti 15 agosto 2015
CVE-2015-6598 ANDROID-23306638 Critico 5.1 e seguenti 18 agosto 2015
CVE-2015-3872 ANDROID-23346388 Critico 5.1 e seguenti 19 agosto 2015
CVE-2015-6599 ANDROID-23416608 Critico 5.1 e seguenti 21 agosto 2015

Vulnerabilità legate all'esecuzione di codice in modalità remota in Sonivox

Esistono vulnerabilità in Sonivox che potrebbero consentire a un utente malintenzionato, durante l'elaborazione di file multimediali di un file appositamente predisposto, di causare il danneggiamento della memoria e l'esecuzione di codice remoto nel servizio mediaserver. Questo problema è classificato come grave a causa della possibilità di esecuzione di codice in modalità remota come servizio privilegiato. Il componente interessato ha accesso ai flussi audio e video nonché ai privilegi a cui normalmente le applicazioni di terze parti non possono accedere.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3874 ANDROID-23335715 Critico 5.1 e seguenti Molteplici
ANDROID-23307276 [ 2 ]
ANDROID-23286323

Vulnerabilità legate all'esecuzione di codice in modalità remota nelle libutils

Esistono vulnerabilità in libutils, una libreria generica, nell'elaborazione dei file audio. Queste vulnerabilità potrebbero consentire a un utente malintenzionato, durante l'elaborazione di un file appositamente predisposto, di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota in un servizio che utilizza questa libreria come mediaserver.

La funzionalità interessata viene fornita come API dell'applicazione ed esistono diverse applicazioni che consentono di raggiungerla con contenuti remoti, in particolare MMS e riproduzione di contenuti multimediali tramite browser. Questo problema è classificato come grave a causa della possibilità di esecuzione di codice remoto in un servizio privilegiato. Il componente interessato ha accesso ai flussi audio e video nonché ai privilegi a cui normalmente le app di terze parti non possono accedere.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3875 ANDROID-22952485 Critico 5.1 e seguenti 15 agosto 2015
CVE-2015-6602 ANDROID-23290056 [ 2 ] Critico 5.1 e seguenti 15 agosto 2015

Vulnerabilità legata all'esecuzione di codice in modalità remota a Skia

Potrebbe essere sfruttata una vulnerabilità nel componente Skia durante l'elaborazione di un file multimediale appositamente predisposto, che potrebbe portare al danneggiamento della memoria e all'esecuzione di codice remoto in un processo privilegiato. Questo problema è classificato come grave a causa della possibilità di esecuzione di codice in modalità remota tramite più metodi di attacco come e-mail, navigazione Web e MMS durante l'elaborazione di file multimediali.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3877 ANDROID-20723696 Critico 5.1 e seguenti 30 luglio 2015

Vulnerabilità legate all'esecuzione di codice in modalità remota in libFLAC

Esiste una vulnerabilità in libFLAC nell'elaborazione dei file multimediali. Queste vulnerabilità potrebbero consentire a un utente malintenzionato, durante l'elaborazione di un file appositamente predisposto, di provocare il danneggiamento della memoria e l'esecuzione di codice in modalità remota.

La funzionalità interessata viene fornita come API dell'applicazione ed esistono più applicazioni che consentono di raggiungerla con contenuti remoti, come la riproduzione di contenuti multimediali tramite browser. Questo problema è classificato come grave a causa della possibilità di esecuzione di codice remoto in un servizio privilegiato. Il componente interessato ha accesso ai flussi audio e video nonché ai privilegi a cui normalmente le app di terze parti non possono accedere.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2014-9028 ANDROID-18872897 [ 2 ] Critico 5.1 e seguenti 14 novembre 2014

Elevazione della vulnerabilità dei privilegi in KeyStore

Una vulnerabilità relativa all'elevazione dei privilegi nel componente KeyStore può essere sfruttata da un'applicazione dannosa quando richiama le API KeyStore. Questa applicazione potrebbe causare il danneggiamento della memoria e l'esecuzione di codice arbitrario nel contesto di KeyStore. Questo problema è classificato come di gravità elevata perché può essere utilizzato per accedere a privilegi che non sono direttamente accessibili a un'applicazione di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3863 ANDROID-22802399 Alto 5.1 e seguenti 28 luglio 2015

Elevazione della vulnerabilità dei privilegi nel framework Media Player

Una vulnerabilità che aumenta i privilegi nel componente del framework del lettore multimediale potrebbe consentire a un'applicazione dannosa di eseguire codice arbitrario nel contesto del mediaserver. Questo problema è classificato con gravità elevata perché consente a un'applicazione dannosa di accedere a privilegi non accessibili a un'applicazione di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3879 ANDROID-23223325 [2]* Alto 5.1 e seguenti 14 agosto 2015

* Una seconda modifica per questo problema non è presente in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito degli sviluppatori di Google .

Vulnerabilità relativa all'acquisizione di privilegi più elevati in Android Runtime

Una vulnerabilità legata all'elevazione dei privilegi in Android Runtime può consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto di un'applicazione di sistema con privilegi elevati. Questo problema è classificato come di gravità elevata perché può essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili a un'applicazione di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3865 ANDROID-23050463 [ 2 ] Alto 5.1 e seguenti 8 agosto 2015

Elevazione delle vulnerabilità dei privilegi in Mediaserver

Esistono diverse vulnerabilità nel mediaserver che possono consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto di un servizio nativo privilegiato. Questo problema è classificato come di gravità elevata perché può essere utilizzato per accedere a privilegi che non sono direttamente accessibili a un'applicazione di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6596 ANDROID-20731946 Alto 5.1 e seguenti Molteplici
ANDROID-20719651*
ANDROID-19573085 Alto 5.0 - 6.0 Interno di Google

* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito degli sviluppatori di Google .

Elevazione della vulnerabilità dei privilegi nel kit di valutazione degli elementi sicuri

Una vulnerabilità nel plug-in SEEK (Secure Element Evaluation Kit, ovvero l'API SmartCard) potrebbe consentire a un'applicazione di ottenere autorizzazioni elevate senza richiederle. Questo problema è classificato come di gravità elevata perché può essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili ad applicazioni di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6606 ANDROID-22301786* Alto 5.1 e seguenti 30 giugno 2015

*L'aggiornamento che risolve questo problema si trova nel sito SEEK per Android .

Elevazione della vulnerabilità dei privilegi nella proiezione dei media

Una vulnerabilità nel componente Proiezione multimediale può consentire la divulgazione dei dati dell'utente sotto forma di istantanee dello schermo. Il problema è dovuto al fatto che il sistema operativo consente nomi di applicazioni troppo lunghi. L'utilizzo di questi nomi lunghi da parte di un'applicazione dannosa locale potrebbe impedire all'utente di visualizzare un avviso relativo alla registrazione dello schermo. Questo problema è classificato con gravità moderata perché può essere utilizzato per ottenere in modo errato autorizzazioni elevate.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3878 ANDROID-23345192 Moderare 5.0 - 6.0 18 agosto 2015

Elevazione della vulnerabilità dei privilegi in Bluetooth

Una vulnerabilità nel componente Bluetooth di Android potrebbe consentire a un'applicazione di eliminare i messaggi SMS memorizzati. Questo problema è classificato con gravità moderata perché può essere utilizzato per ottenere in modo errato autorizzazioni elevate.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-3847 ANDROID-22343270 Moderare 5.1 e seguenti 8 luglio 2015

Elevazione delle vulnerabilità dei privilegi in SQLite

Sono state scoperte numerose vulnerabilità nel motore di analisi SQLite. Queste vulnerabilità possono essere sfruttate da un'applicazione locale che può far sì che un'altra applicazione o servizio esegua query SQL arbitrarie. Uno sfruttamento riuscito potrebbe comportare l'esecuzione di codice arbitrario nel contesto dell'applicazione di destinazione.

Una correzione è stata caricata su AOSP principale l'8 aprile 2015, aggiornando la versione SQLite alla 3.8.9: https://android-review.googlesource.com/#/c/145961/

Questo bollettino contiene patch per le versioni SQLite in Android 4.4 (SQLite 3.7.11) e Android 5.0 e 5.1 (SQLite 3.8.6).

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6607 ANDROID-20099586 Moderare 5.1 e seguenti 7 aprile 2015
Noto pubblicamente

Vulnerabilità di tipo Denial of Service nel Mediaserver

Esistono più vulnerabilità nel mediaserver che possono causare un Denial of Service bloccando il processo mediaserver. Questi problemi sono classificati come di gravità bassa perché l'effetto si verifica con un arresto anomalo del server multimediale che provoca una negazione del servizio temporanea a livello locale.

CVE Bug con collegamenti AOSP Gravità Versioni interessate Data riportata
CVE-2015-6605 ANDROID-20915134 Basso 5.1 e seguenti Interno di Google
ANDROID-23142203
ANDROID-22278703 Basso 5.0 - 6.0 Interno di Google
CVE-2015-3862 ANDROID-22954006 Basso 5.1 e seguenti 2 agosto 2015

Revisioni

  • 5 ottobre 2015: pubblicato il bollettino.
  • 7 ottobre 2015: Bollettino aggiornato con i riferimenti AOSP. Chiariti i riferimenti ai bug per CVE-2014-9028.
  • 12 ottobre 2015: riconoscimenti aggiornati per CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
  • 22 gennaio 2016: riconoscimenti aggiornati per CVE-2015-6606.
  • 28 aprile 2016: aggiunto CVE-2015-6603 e corretto errore di battitura con CVE-2014-9028.