Veröffentlicht am 01. Februar 2016 | Aktualisiert am 07. März 2016
Im Rahmen unseres monatlichen Release-Prozesses für Android-Sicherheitsbulletins haben wir ein Sicherheitsupdate für Nexus-Geräte als Over-the-air-Update (OTA-Update) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht. Diese Probleme wurden in den Builds LMY49G und höher sowie in Android M mit dem Stand der Sicherheitsupdates vom 1. Februar 2016 oder höher behoben. Eine Anleitung zum Prüfen des Sicherheitspatches finden Sie in der Nexus-Dokumentation.
Partner wurden am 4. Januar 2016 oder früher über die in diesem Bulletin beschriebenen Probleme informiert. Gegebenenfalls wurden Quellcode-Patches für diese Probleme im Repository des Android Open Source Project (AOSP) veröffentlicht.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Ausführung von Remote-Code auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Web-Browsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Sicherheitslücke zur Remote-Codeausführung im WLAN-Treiber von Broadcom hat ebenfalls die höchste Bewertung, da sie die Remote-Codeausführung auf einem betroffenen Gerät ermöglichen könnte, wenn es mit demselben Netzwerk wie der Angreifer verbunden ist. Die Bewertung des Schweregrads basiert auf der Auswirkung, die die Ausnutzung der Sicherheitslücke auf ein betroffenes Gerät haben könnte, vorausgesetzt, die Plattform- und Dienstmitigationen sind zu Entwicklungszwecken deaktiviert oder werden erfolgreich umgangen.
Wir haben keine Berichte über eine aktive Ausnutzung dieser neu gemeldeten Probleme durch Kunden erhalten. Im Abschnitt Maßnahmen finden Sie Details zu den Sicherheitsmechanismen der Android-Plattform und zu Dienstmechanismen wie SafetyNet, die die Sicherheit der Android-Plattform verbessern. Wir empfehlen allen Kunden, diese Updates auf ihren Geräten zu akzeptieren.
Abhilfemaßnahmen
Hier finden Sie eine Zusammenfassung der Abhilfemaßnahmen, die von der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bereitgestellt werden. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android-Geräten erfolgreich ausgenutzt werden können.
- Die Ausnutzung vieler Probleme auf Android-Geräten wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Nutzern, nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
- Das Android-Sicherheitsteam überwacht mithilfe von Verify Apps und SafetyNet aktiv den Missbrauch und warnt vor potenziell schädlichen Apps, die installiert werden sollen. Tools zum Rooten von Geräten sind bei Google Play verboten. Zum Schutz von Nutzern, die Apps von außerhalb von Google Play installieren, ist „Apps prüfen“ standardmäßig aktiviert. Nutzer werden dann vor bekannten Rooting-Apps gewarnt. Verify Apps versucht, die Installation bekannter schädlicher Anwendungen zu erkennen und zu blockieren, die eine Sicherheitslücke zur Berechtigungserweiterung ausnutzen. Wenn eine solche App bereits installiert ist, wird der Nutzer von Verify Apps benachrichtigt und die App wird entfernt.
- Die Google Hangouts- und Messenger-Anwendungen übergeben Medien nicht automatisch an Prozesse wie den Medienserver.
Danksagungen
Wir möchten uns bei den folgenden Forschern für ihre Beiträge bedanken:
- Android- und Chrome-Sicherheitsteam: CVE-2016-0809, CVE-2016-0810
- Broadgate-Team: CVE-2016-0801, CVE-2015-0802
- Chiachih Wu (@chiachih_wu), Mingjian Zhou (@Mingjian_Zhou) und Xuxian Jiang vom C0RE-Team von Qihoo 360: CVE-2016-0804
- David Riley vom Google Pixel C-Team: CVE-2016-0812
- Gengjia Chen (@chengjia4574) vom Lab IceSword, Qihoo 360: CVE-2016-0805
- Qidan He (@Flanker_hqd) von KeenLab (@keen_lab), Tencent: CVE-2016-0811
- Seven Shen (@lingtongshen) von Trend Micro (www.trendmicro.com): CVE-2016-0803
- Weichao Sun (@sunblate) von Alibaba Inc.: CVE-2016-0808
- Zach Riggle (@ebeip90) vom Android-Sicherheitsteam: CVE-2016-0807
Details zur Sicherheitslücke
In den folgenden Abschnitten finden Sie Details zu den einzelnen Sicherheitslücken, die für das Patchlevel vom 01.02.2016 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den betroffenen Versionen und dem Meldedatum. Sobald verfügbar, verknüpfen wir den AOSP-Commit, mit dem das Problem behoben wurde, mit der Bug-ID. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit den Zahlen verknüpft, die auf die Fehler-ID folgen.
Sicherheitslücke bei der Remote-Codeausführung im Broadcom-Wi‑Fi-Treiber
Mehrere Sicherheitslücken für die Remote-Ausführung im Broadcom-Wi‑Fi-Treiber könnten es einem Remote-Angreifer ermöglichen, mit speziell erstellten Paketen für drahtlose Steuernachrichten den Kernelspeicher so zu beschädigen, dass im Kontext des Kernels Remote-Code ausgeführt wird. Diese Sicherheitslücken können ausgelöst werden, wenn sich der Angreifer und das Opfer im selben Netzwerk befinden. Dieses Problem wird aufgrund der Möglichkeit der Remote-Codeausführung im Kontext des Kernels ohne Nutzerinteraktion als kritisch eingestuft.
| CVE | Fehler | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0801 | ANDROID-25662029 ANDROID-25662233 |
Kritisch | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 25. Oktober 2015 |
| CVE-2016-0802 | ANDROID-25306181 | Kritisch | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 26. Oktober 2015 |
Sicherheitslücke bei der Remote-Codeausführung im Mediaserver
Bei der Verarbeitung von Mediendateien und Daten einer speziell erstellten Datei können Sicherheitslücken im Mediaserver es einem Angreifer ermöglichen, den Arbeitsspeicher zu beschädigen und Remote-Code im Rahmen des Mediaserver-Prozesses auszuführen.
Die betroffenen Funktionen sind ein zentraler Bestandteil des Betriebssystems und es gibt mehrere Anwendungen, über die sie mit Remote-Inhalten erreicht werden können, insbesondere MMS und die Browserwiedergabe von Medien.
Dieses Problem wird aufgrund der Möglichkeit der Remote-Codeausführung im Kontext des Mediaserver-Dienstes als kritisch eingestuft. Der Mediaserverdienst hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0803 | ANDROID-25812794 | Kritisch | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 19. November 2015 |
| CVE-2016-0804 | ANDROID-25070434 | Kritisch | 5.0, 5.1.1, 6.0, 6.0.1 | 12. Oktober 2015 |
Sicherheitslücke zur Rechteausweitung im Qualcomm-Leistungsmodul
Eine Sicherheitslücke zur Erhöhung von Berechtigungen in der Performance Event Manager-Komponente für ARM-Prozessoren von Qualcomm kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird als kritisch eingestuft, da es zu einer dauerhaften lokalen Manipulation des Geräts kommen kann. Das Gerät muss möglicherweise durch ein erneutes Flashen des Betriebssystems repariert werden.
| CVE | Bug (Fehler) | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0805 | ANDROID-25773204* | Kritisch | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 15. November 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google-Entwicklerwebsite verfügbar sind.
Sicherheitslücke zur Rechteausweitung im Qualcomm-WLAN-Treiber
Es gibt eine Sicherheitslücke im Qualcomm-WLAN-Treiber, die es einer lokalen schädlichen Anwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als kritisch eingestuft, da es zu einer dauerhaften lokalen Manipulation des Geräts kommen kann. Das Gerät muss möglicherweise durch ein erneutes Flashen des Betriebssystems repariert werden.
| CVE | Bug (Fehler) | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0806 | ANDROID-25344453* | Kritisch | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 15. November 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google-Entwicklerwebsite verfügbar sind.
Sicherheitslücke vom Typ „Ausweitung von Berechtigungen“ in Debuggerd
Eine Sicherheitslücke zur Erhöhung von Berechtigungen in der Debuggerd-Komponente könnte es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Root-Kontext des Geräts auszuführen. Dieses Problem wird als kritisch eingestuft, da das Gerät möglicherweise lokal und dauerhaft manipuliert wurde und es möglicherweise repariert werden muss, indem das Betriebssystem neu geflasht wird.
| CVE | Fehler im AOSP-Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0807 | ANDROID-25187394 | Kritisch | 6.0 und 6.0.1 | Google Intern |
Denial-of-Service-Sicherheitslücke in Minikin
Eine Denial-of-Service-Sicherheitslücke in der Minikin-Bibliothek kann es einem lokalen Angreifer ermöglichen, den Zugriff auf ein betroffenes Gerät vorübergehend zu blockieren. Ein Angreifer könnte dazu führen, dass ein nicht vertrauenswürdiger Schriftschnitt geladen wird, was einen Überlauf in der Minikin-Komponente verursacht und zu einem Absturz führt. Dieser Fehler wird als „Hoch“ eingestuft, da ein Denial-of-Service-Angriff zu einem kontinuierlichen Neustart führt.
| CVE | Fehler im AOSP-Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0808 | ANDROID-25645298 | Hoch | 5.0, 5.1.1, 6.0, 6.0.1 | 3. November 2015 |
Sicherheitslücke bei der Rechteausweitung in WLANs
Eine Sicherheitslücke zur Erhöhung von Berechtigungen in der WLAN-Komponente könnte es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Systemkontext auszuführen. Ein Gerät ist nur dann anfällig für dieses Problem, wenn es sich in der Nähe befindet. Dieses Problem wird als „Hoch“ eingestuft, da es dazu verwendet werden kann, aus der Ferne auf „normale“ Funktionen zuzugreifen. Normalerweise sind diese Berechtigungen nur für lokal installierte Drittanbieteranwendungen zugänglich.
| CVE | Fehler im AOSP-Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0809 | ANDROID-25753768 | Hoch | 6.0, 6.0.1 | Google Intern |
Sicherheitslücke im Mediaserver, die eine Rechteausweitung ermöglicht
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Mediaserver kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext einer erhöhten Systemanwendung auszuführen. Dieses Problem hat den Schweregrad „Hoch“, da es dazu verwendet werden kann, erweiterte Funktionen zu erhalten, z. B. Berechtigungen für Signature oder SignatureOrSystem, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler im AOSP-Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0810 | ANDROID-25781119 | Hoch | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | Google Intern |
Sicherheitslücke in libmediaplayerservice, die zur Offenlegung von Informationen führt
Eine Sicherheitslücke in libmediaplayerservice könnte es ermöglichen, die Sicherheitsmaßnahmen zu umgehen, die die Ausnutzung der Plattform durch Angreifer erschweren sollen. Diese Probleme werden als „Hoch“ eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen zu erhalten, z. B. Berechtigungen für Signature oder SignatureOrSystem, auf die Drittanbieteranwendungen nicht zugreifen können.
| CVE | Fehler im AOSP-Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0811 | ANDROID-25800375 | Hoch | 6.0, 6.0.1 | 16. November 2015 |
Sicherheitslücke im Einrichtungsassistenten, die eine Rechteausweitung ermöglicht
Eine Sicherheitslücke im Einrichtungsassistenten könnte es einem böswilligen Angreifer ermöglichen, den Schutz vor Zurücksetzen zu umgehen und Zugriff auf das Gerät zu erhalten. Dieser Fehler wird als mäßig eingestuft, da er es potenziell ermöglicht, dass jemand mit physischem Zugriff auf ein Gerät den Schutz vor Zurücksetzen auf die Werkseinstellungen umgeht. Dadurch kann ein Angreifer ein Gerät erfolgreich zurücksetzen und alle Daten löschen.
| CVE | Fehler mit AOSP-Links | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0812 | ANDROID-25229538 | Moderat | 5.1.1, 6.0 | Google Intern |
| CVE-2016-0813 | ANDROID-25476219 | Moderat | 5.1.1, 6.0, 6.0.1 | Google Intern |
Häufig gestellte Fragen und Antworten
In diesem Abschnitt werden häufige Fragen zu diesem Bulletin beantwortet.
1. Wie finde ich heraus, ob mein Gerät entsprechend aktualisiert wurde?
Mit Builds LMY49G oder höher und Android 6.0 mit dem Sicherheitspatch vom 1. Februar 2016 oder höher werden diese Probleme behoben. Eine Anleitung zum Prüfen des Sicherheitspatches finden Sie in der Nexus-Dokumentation. Gerätehersteller, die diese Updates einbinden, sollten die Patch-Stringebene auf Folgendes festlegen: [ro.build.version.security_patch]:[2016-02-01]
Überarbeitungen
- 1. Februar 2016: Bulletin veröffentlicht.
- 2. Februar 2016: Das Bulletin wurde überarbeitet und enthält jetzt AOSP-Links.
- 7. März 2016: Das Bulletin wurde überarbeitet und enthält jetzt zusätzliche AOSP-Links.