Publicado em 02 de novembro de 2015
Lançamos uma atualização de segurança para dispositivos Nexus por meio de uma atualização over-the-air (OTA) como parte do nosso processo de lançamento mensal do Boletim de Segurança do Android. As imagens do firmware do Nexus também foram divulgadas no site do Google Developers . As versões LMY48X ou posterior e Android Marshmallow com nível de patch de segurança de 1º de novembro de 2015 ou posterior resolvem esses problemas. Consulte a seção Perguntas e Respostas Comuns para obter mais detalhes.
Os parceiros foram notificados sobre esses problemas em 5 de outubro de 2015 ou antes. Patches de código-fonte para esses problemas serão lançados no repositório Android Open Source Project (AOSP) nas próximas 48 horas. Revisaremos este boletim com os links do AOSP quando estiverem disponíveis.
O mais grave desses problemas é uma vulnerabilidade crítica de segurança que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como e-mail, navegação na Web e MMS ao processar arquivos de mídia. A avaliação da gravidade baseia-se no efeito que a exploração da vulnerabilidade poderia ter num dispositivo afetado, assumindo que as mitigações da plataforma e do serviço estão desativadas para fins de desenvolvimento ou se forem contornadas com êxito.
Não tivemos relatos de exploração ativa por parte dos clientes desses problemas recentemente relatados. Consulte a seção Mitigações para obter detalhes sobre as proteções da plataforma de segurança Android e proteções de serviço, como SafetyNet, que melhoram a segurança da plataforma Android. Incentivamos todos os clientes a aceitarem essas atualizações em seus dispositivos.
Mitigações
Este é um resumo das mitigações fornecidas pela plataforma de segurança Android e proteções de serviços como SafetyNet. Esses recursos reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.
- A exploração de muitos problemas no Android é dificultada pelas melhorias nas versões mais recentes da plataforma Android. Encorajamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
- A equipe de segurança do Android está monitorando ativamente abusos com Verify Apps e SafetyNet, que alertarão sobre aplicativos potencialmente prejudiciais prestes a serem instalados. Ferramentas de root de dispositivos são proibidas no Google Play. Para proteger os usuários que instalam aplicativos de fora do Google Play, o Verify Apps está ativado por padrão e avisará os usuários sobre aplicativos com root conhecidos. O Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará remover tais aplicativos.
- Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam mídia automaticamente para processos como o mediaserver.
Reconhecimentos
Gostaríamos de agradecer a estes pesquisadores por suas contribuições:
- Abhishek Arya, Oliver Chang e Martin Barbella, equipe de segurança do Google Chrome: CVE-2015-6608
- Daniel Micay (daniel.micay@copperhead.co) em Copperhead Security: CVE-2015-6609
- Dongkwan Kim do Laboratório de Segurança de Sistemas, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
- Hongil Kim do Laboratório de Segurança de Sistemas, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
- Jack Tang da Trend Micro (@jacktang310): CVE-2015-6611
- Peter Pi da Trend Micro: CVE-2015-6611
- Natalie Silvanovich do Google Project Zero: CVE-2015-6608
- Qidan He (@flanker_hqd) e Wen Xu (@antlr7) da KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
- Guang Gong (龚广) ( @oldfresher , higongguang@gmail.com) da Qihoo 360 Technology CC o.Ltd : CVE-2015-6612
- Sete Shen da Trend Micro: CVE-2015-6610
Detalhes de vulnerabilidade de segurança
Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível do patch 01/11/2015. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, bug associado, gravidade, versões afetadas e data relatada. Quando disponível, vinculamos a alteração do AOSP que resolveu o problema ao ID do bug. Quando várias alterações estão relacionadas a um único bug, referências adicionais do AOSP são vinculadas a números após o ID do bug.
Vulnerabilidades de execução remota de código no Mediaserver
Durante o processamento de arquivos de mídia e de dados de um arquivo especialmente criado, as vulnerabilidades no mediaserver podem permitir que um invasor cause corrupção de memória e execução remota de código durante o processo do mediaserver.
A funcionalidade afetada é fornecida como uma parte central do sistema operacional e há vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador.
Este problema é classificado como de gravidade Crítica devido à possibilidade de execução remota de código no contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não podem acessar.
CVE | Bug(s) com links AOSP | Gravidade | Versões afetadas | Data relatada |
---|---|---|---|---|
CVE-2015-6608 | ANDROID-19779574 | Crítico | 5,0, 5,1, 6,0 | Interno do Google |
ANDROID-23680780 | ||||
ANDROID-23876444 | ||||
ANDROID-23881715 | Crítico | 4,4, 5,0, 5,1, 6,0 | Interno do Google | |
ANDROID-14388161 | Crítico | 4.4 e 5.1 | Interno do Google | |
ANDROID-23658148 | Crítico | 5,0, 5,1, 6,0 | Interno do Google |
Vulnerabilidade de execução remota de código em libutils
Uma vulnerabilidade na libutils, uma biblioteca genérica, pode ser explorada durante o processamento de arquivos de áudio. Esta vulnerabilidade pode permitir que um invasor, durante o processamento de um arquivo especialmente criado, cause corrupção de memória e execução remota de código.
A funcionalidade afetada é fornecida como uma API e há vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador. Este problema é classificado como de gravidade crítica devido à possibilidade de execução remota de código em um serviço privilegiado. O componente afetado tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não conseguem acessar.
CVE | Bug(s) com links AOSP | Gravidade | Versões afetadas | Data relatada |
---|---|---|---|---|
CVE-2015-6609 | ANDROID-22953624 [ 2 ] | Crítico | 6.0 e abaixo | 3 de agosto de 2015 |
Vulnerabilidades de divulgação de informações no Mediaserver
Existem vulnerabilidades de divulgação de informações no mediaserver que podem permitir contornar as medidas de segurança em vigor para aumentar a dificuldade dos invasores explorarem a plataforma.
CVE | Bug(s) com links AOSP | Gravidade | Versões afetadas | Data relatada |
---|---|---|---|---|
CVE-2015-6611 | ANDROID-23905951 [ 2 ] [ 3 ] | Alto | 6.0 e abaixo | 07 de setembro de 2015 |
ANDROID-23912202* | ||||
ANDROID-23953967* | ||||
ANDROID-23696300 | Alto | 6.0 e abaixo | 31 de agosto de 2015 | |
ANDROID-23600291 | Alto | 6.0 e abaixo | 26 de agosto de 2015 | |
ANDROID-23756261 [ 2 ] | Alto | 6.0 e abaixo | 26 de agosto de 2015 | |
ANDROID-23540907 [ 2 ] | Alto | 5.1 e abaixo | 25 de agosto de 2015 | |
ANDROID-23541506 | Alto | 6.0 e abaixo | 25 de agosto de 2015 | |
ANDROID-23284974* | ||||
ANDRÓIDE-23542351* | ||||
ANDRÓIDE-23542352* | ||||
ANDROID-23515142 | Alto | 5.1 e abaixo | 19 de agosto de 2015 |
* O patch para este bug está incluído em outros links AOSP fornecidos.
Vulnerabilidade de elevação de privilégio em libstagefright
Há uma vulnerabilidade de elevação de privilégio no libstagefright que pode permitir que um aplicativo malicioso local cause corrupção de memória e execução arbitrária de código dentro do contexto do serviço mediaserver. Embora esse problema normalmente seja classificado como Crítico, avaliamos esse problema como de alta gravidade devido à menor probabilidade de poder ser explorado remotamente.
CVE | Bug(s) com links AOSP | Gravidade | Versões afetadas | Data relatada |
---|---|---|---|---|
CVE-2015-6610 | ANDROID-23707088 [ 2 ] | Alto | 6.0 e abaixo | 19 de agosto de 2015 |
Vulnerabilidade de elevação de privilégio na libmedia
Existe uma vulnerabilidade na libmedia que pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do serviço mediaserver. Este problema é classificado como de gravidade alta porque pode ser usado para acessar privilégios que não são diretamente acessíveis a um aplicativo de terceiros.
CVE | Bug(s) com links AOSP | Gravidade | Versões afetadas | Data relatada |
---|---|---|---|---|
CVE-2015-6612 | ANDROID-23540426 | Alto | 6.0 e abaixo | 23 de agosto de 2015 |
Vulnerabilidade de elevação de privilégio em Bluetooth
Há uma vulnerabilidade no Bluetooth que pode permitir que um aplicativo local envie comandos para uma porta de depuração de escuta no dispositivo. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissão Signature ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.
CVE | Bug(s) com links AOSP | Gravidade | Versões afetadas | Data relatada |
---|---|---|---|---|
CVE-2015-6613 | ANDROID-24371736 | Alto | 6,0 | Interno do Google |
Vulnerabilidade de elevação de privilégio em telefonia
Uma vulnerabilidade no componente Telefonia que pode permitir que um aplicativo malicioso local transmita dados não autorizados para interfaces de rede restritas, impactando potencialmente as cobranças de dados. Também poderia impedir que o dispositivo recebesse chamadas, além de permitir que um invasor controlasse as configurações de mudo das chamadas. Este problema é classificado como de gravidade moderada porque pode ser usado para obter permissões “ perigosas ” indevidamente.
CVE | Bug(s) com links AOSP | Gravidade | Versões afetadas | Data relatada |
---|---|---|---|---|
CVE-2015-6614 | ANDROID-21900139 [ 2 ] [ 3 ] | Moderado | 5,0, 5,1 | 8 de junho de 2015 |
Perguntas e respostas comuns
Esta seção analisará as respostas a perguntas comuns que podem surgir após a leitura deste boletim.
1. Como determino se meu dispositivo está atualizado para resolver esses problemas?
As versões LMY48X ou posterior e Android Marshmallow com nível de patch de segurança de 1º de novembro de 2015 ou posterior resolvem esses problemas. Consulte a documentação do Nexus para obter instruções sobre como verificar o nível do patch de segurança. Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da string do patch como: [ro.build.version.security_patch]:[2015-11-01]
Revisões
- 02 de novembro de 2015: publicado originalmente