Veröffentlicht am 4. Januar 2016 | Aktualisiert am 28. April 2016
Im Rahmen unseres monatlichen Release-Prozesses für Android-Sicherheitsbulletins haben wir ein Sicherheitsupdate für Nexus-Geräte als Over-the-air-Update (OTA-Update) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google-Entwicklerwebsite veröffentlicht. Mit Build LMY49F oder höher und Android 6.0 mit dem Sicherheitspatch vom 1. Januar 2016 oder höher werden diese Probleme behoben. Weitere Informationen finden Sie im Abschnitt Häufig gestellte Fragen und Antworten.
Partner wurden am 7. Dezember 2015 oder früher über die in diesem Bulletin beschriebenen Probleme informiert und erhielten Updates dazu. Gegebenenfalls wurden Quellcode-Patches für diese Probleme im Repository des Android Open Source Project (AOSP) veröffentlicht.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Ausführung von Remote-Code auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Web-Browsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Bewertung des Schweregrads basiert auf der Auswirkung, die die Ausnutzung der Sicherheitslücke auf ein betroffenes Gerät haben könnte, vorausgesetzt, die Plattform- und Dienstmitigationen sind zu Entwicklungszwecken deaktiviert oder werden erfolgreich umgangen.
Wir haben keine Berichte über eine aktive Ausnutzung dieser neu gemeldeten Probleme durch Kunden erhalten. Im Abschnitt Maßnahmen finden Sie Details zu den Sicherheitsmechanismen der Android-Plattform und zu Dienstmechanismen wie SafetyNet, die die Sicherheit der Android-Plattform verbessern. Wir empfehlen allen Kunden, diese Updates auf ihren Geräten zu akzeptieren.
Abhilfemaßnahmen
Hier finden Sie eine Zusammenfassung der Sicherheitsmaßnahmen, die von der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bereitgestellt werden. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android-Geräten erfolgreich ausgenutzt werden können.
- Die Ausnutzung vieler Probleme auf Android-Geräten wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Nutzern, nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
- Das Android-Sicherheitsteam überwacht mithilfe von Verify Apps und SafetyNet aktiv den Missbrauch und warnt vor potenziell schädlichen Apps, die installiert werden sollen. Tools zum Rooten von Geräten sind bei Google Play verboten. Zum Schutz von Nutzern, die Apps von außerhalb von Google Play installieren, ist „Apps prüfen“ standardmäßig aktiviert. Nutzer werden dann vor bekannten Rooting-Apps gewarnt. Verify Apps versucht, die Installation bekannter schädlicher Anwendungen zu erkennen und zu blockieren, die eine Sicherheitslücke zur Berechtigungserweiterung ausnutzen. Wenn eine solche App bereits installiert ist, wird der Nutzer von Verify Apps benachrichtigt und die App wird entfernt.
- Die Google Hangouts- und Messenger-Anwendungen übergeben Medien nicht automatisch an Prozesse wie den Medienserver.
Danksagungen
Wir möchten uns bei den folgenden Forschern für ihre Beiträge bedanken:
- Abhishek Arya, Oliver Chang und Martin Barbella vom Google Chrome-Sicherheitsteam: CVE-2015-6636
- Sen Nie (@nforest_) und jfang vom KEEN-Lab, Tencent (@K33nTeam): CVE-2015-6637
- Yabin Cui vom Android Bionic-Team: CVE-2015-6640
- Tom Craig von Google X: CVE-2015-6641
- Jann Horn (https://thejh.net): CVE-2015-6642
- Jouni Malinen, PGP-ID EFC895FA: CVE-2015-5310
- Quan Nguyen vom Google Information Security Engineer Team: CVE-2015-6644
- Gal Beniamini (@laginimaineb, http://bits-please.blogspot.com): CVE-2015-6639
Details zur Sicherheitslücke
In den folgenden Abschnitten finden Sie Details zu den einzelnen Sicherheitslücken, die für das Patchlevel vom 01.01.2016 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den aktualisierten Versionen und dem Meldedatum. Sobald verfügbar, verknüpfen wir die AOSP-Änderung, mit der das Problem behoben wurde, mit der Fehler-ID. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit den Zahlen verknüpft, die auf die Fehler-ID folgen.
Sicherheitslücke bei der Remote-Codeausführung im Mediaserver
Bei der Verarbeitung von Mediendateien und Daten einer speziell erstellten Datei können Sicherheitslücken im Mediaserver es einem Angreifer ermöglichen, den Arbeitsspeicher zu beschädigen und Remote-Code im Rahmen des Mediaserver-Prozesses auszuführen.
Die betroffenen Funktionen sind ein zentraler Bestandteil des Betriebssystems und es gibt mehrere Anwendungen, über die sie mit Remote-Inhalten erreicht werden können, insbesondere MMS und die Browserwiedergabe von Medien.
Dieses Problem wird aufgrund der Möglichkeit der Remote-Codeausführung im Kontext des Mediaserver-Dienstes als kritisch eingestuft. Der Mediaserverdienst hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-6636 | ANDROID-25070493 | Kritisch | 5.0, 5.1.1, 6.0, 6.0.1 | Google Intern |
| ANDROID-24686670 | Kritisch | 5.0, 5.1.1, 6.0, 6.0.1 | Google Intern |
Sicherheitslücke vom Typ „Rechteausweitung“ im misc-sd-Treiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im misc-sd-Treiber von MediaTek könnte es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer dauerhaften lokalen Gerätemanipulation als kritisch eingestuft. In diesem Fall muss das Gerät möglicherweise durch Neu-Flashen des Betriebssystems repariert werden.
| CVE | Fehler | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-6637 | ANDROID-25307013* | Kritisch | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 26. Oktober 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google-Entwicklerwebsite verfügbar sind.
Sicherheitslücke vom Typ „Rechteausweitung“ im Imagination Technologies-Treiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen in einem Kernel-Treiber von Imagination Technologies könnte es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer dauerhaften lokalen Gerätemanipulation als kritisch eingestuft. In diesem Fall muss das Gerät möglicherweise durch ein erneutes Flashen des Betriebssystems repariert werden.
| CVE | Fehler | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-6638 | ANDROID-24673908* | Kritisch | 5.0, 5.1.1, 6.0, 6.0.1 | Google Intern |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google-Entwicklerwebsite verfügbar sind.
Sicherheitslücken bei der Rechteausweitung in der Trustzone
Sicherheitslücken in Bezug auf die Rechteausweitung in der Widevine QSEE TrustZone-Anwendung könnten es einer kompromittierten, privilegierten Anwendung mit Zugriff auf QSEECOM ermöglichen, beliebigen Code im Trustzone-Kontext auszuführen. Dieses Problem wird als kritisch eingestuft, da es zu einer dauerhaften lokalen Manipulation des Geräts kommen kann. In diesem Fall muss das Gerät möglicherweise durch ein erneutes Flashen des Betriebssystems repariert werden.
| CVE | Fehler | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-6639 | ANDROID-24446875* | Kritisch | 5.0, 5.1.1, 6.0, 6.0.1 | 23. September 2015 |
| CVE-2015-6647 | ANDROID-24441554* | Kritisch | 5.0, 5.1.1, 6.0, 6.0.1 | 27. September 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google-Entwicklerwebsite verfügbar sind.
Sicherheitslücke im Kernel zur Rechteausweitung
Eine Sicherheitslücke zur Rechteausweitung im Kernel kann es einer schädlichen lokalen Anwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer dauerhaften lokalen Gerätemanipulation als kritisch eingestuft. In diesem Fall muss das Gerät möglicherweise durch Neuflashen des Betriebssystems repariert werden.
| CVE | Fehler mit AOSP Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-6640 | ANDROID-20017123 | Kritisch | 4.4.4, 5.0, 5.1.1, 6.0 | Google Intern |
Sicherheitslücke bei der Rechteausweitung in Bluetooth
Eine Sicherheitslücke zur Erhöhung von Berechtigungen in der Bluetooth-Komponente kann es einem per Bluetooth gekoppelten Remote-Gerät ermöglichen, auf die privaten Informationen (Kontakte) des Nutzers zuzugreifen. Dieses Problem hat den Schweregrad „Hoch“, da es dazu verwendet werden könnte, aus der Ferne auf gefährliche Funktionen zuzugreifen. Diese Berechtigungen sind nur für lokal installierte Drittanbieter-Apps zugänglich.
| CVE | Fehler mit AOSP-Links | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-6641 | ANDROID-23607427 [2] | Hoch | 6.0, 6.0.1 | Google Intern |
Sicherheitslücke im Kernel, die zur Offenlegung von Informationen führt
Eine Sicherheitslücke im Kernel, die zur Offenlegung von Informationen führt, könnte eine Umgehung der Sicherheitsmaßnahmen ermöglichen, die die Ausnutzung der Plattform durch Angreifer erschweren. Diese Probleme werden als „Hoch“ eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen zu erhalten, z. B. Berechtigungen für Signature oder SignatureOrSystem, auf die Drittanbieteranwendungen nicht zugreifen können.
| CVE | Fehler | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-6642 | ANDROID-24157888* | Hoch | 4.4.4, 5.0, 5.1.1, 6.0 | 12. September 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google-Entwicklerwebsite verfügbar sind.
Sicherheitslücke im Einrichtungsassistenten, die eine Rechteausweitung ermöglicht
Eine Sicherheitslücke im Einrichtungsassistenten, die es einem Angreifer mit physischem Zugriff auf das Gerät ermöglicht, sich Zugriff auf die Geräteeinstellungen zu verschaffen und das Gerät manuell zurückzusetzen. Dieses Problem wird als mäßig eingestuft, da es dazu verwendet werden könnte, den Schutz vor dem Zurücksetzen auf die Werkseinstellungen zu umgehen.
| CVE | Fehler mit AOSP-Links | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-6643 | ANDROID-25290269 [2] | Moderat | 5.1.1, 6.0, 6.0.1 | Google Intern |
Sicherheitslücke bei der Rechteausweitung in WLANs
Eine Sicherheitslücke zur Berechtigungserweiterung in der WLAN-Komponente kann es einem Angreifer in der Nähe ermöglichen, auf Informationen zu WLAN-Diensten zuzugreifen. Ein Gerät ist nur dann anfällig für dieses Problem, wenn es sich in der Nähe befindet. Dieses Problem wird als mäßig eingestuft, da es dazu verwendet werden könnte, aus der Ferne auf „normale“ Funktionen zuzugreifen. Diese Berechtigungen sind nur für lokal installierte Drittanbieteranwendungen zugänglich.
| CVE | Fehler mit AOSP-Links | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-5310 | ANDROID-25266660 | Moderat | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 25. Oktober 2015 |
Sicherheitslücke bei der Offenlegung von Informationen in Bouncy Castle
Eine Sicherheitslücke in Bouncy Castle kann es einer schädlichen lokalen Anwendung ermöglichen, auf die privaten Daten von Nutzern zuzugreifen. Dieses Problem hat den Schweregrad „Mittel“, da es dazu verwendet werden könnte, unberechtigt „gefährliche“ Berechtigungen zu erlangen.
| CVE | Fehler mit AOSP-Links | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-6644 | ANDROID-24106146 | Moderat | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | Google Intern |
Denial-of-Service-Sicherheitslücke in SyncManager
Eine Denial-of-Service-Sicherheitslücke im SyncManager könnte es einer schädlichen lokalen Anwendung ermöglichen, einen Neustartschleife auszulösen. Dieses Problem wird als mäßig eingestuft, da es zu einer vorübergehenden lokalen Dienstverweigerung führen kann, die möglicherweise durch ein Zurücksetzen auf die Werkseinstellungen behoben werden muss.
| CVE | Fehler mit AOSP-Links | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-6645 | ANDROID-23591205 | Moderat | 4.4.4, 5.0, 5.1.1, 6.0 | Google Intern |
Reduzierung der Angriffsfläche für Nexus-Kernel
SysV IPC wird von keinem Android-Kernel unterstützt. Wir haben diese Funktion aus dem Betriebssystem entfernt, da sie eine zusätzliche Angriffsfläche bietet, die dem System keine Funktionen hinzufügt, die von schädlichen Anwendungen ausgenutzt werden könnten. Außerdem entsprechen System V-IPCs nicht dem Anwendungslebenszyklus von Android, da die zugewiesenen Ressourcen vom Speichermanager nicht freigegeben werden können, was zu einem globalen Kernel-Ressourcenleck führt. Mit dieser Änderung werden Probleme wie CVE-2015-7613 behoben.
| CVE | Fehler | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-6646 | ANDROID-22300191* | Moderat | 6.0 | Google Intern |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google-Entwicklerwebsite verfügbar sind.
Häufig gestellte Fragen und Antworten
In diesem Abschnitt werden häufige Fragen zu diesem Bulletin beantwortet.
1. Wie finde ich heraus, ob mein Gerät entsprechend aktualisiert wurde?
Mit Build LMY49F oder höher und Android 6.0 mit dem Sicherheitspatch-Level vom 1. Januar 2016 oder höher werden diese Probleme behoben. Eine Anleitung zum Prüfen des Sicherheitspatches finden Sie in der Nexus-Dokumentation. Gerätehersteller, die diese Updates einbinden, sollten die Patch-Stringebene auf Folgendes festlegen: [ro.build.version.security_patch]:[2016-01-01]
Überarbeitungen
- 4. Januar 2016: Bulletin veröffentlicht.
- 6. Januar 2016: Das Bulletin wurde überarbeitet und enthält jetzt AOSP-Links.
- 28. April 2016: CVE-2015-6617 aus den Danksagungen entfernt und CVE-2015-6647 in die Zusammenfassungstabelle aufgenommen