Boletim de segurança do Nexus - fevereiro de 2016

Publicado em 01 de fevereiro de 2016 | Atualizado em 7 de março de 2016

Lançamos uma atualização de segurança para dispositivos Nexus por meio de uma atualização over-the-air (OTA) como parte do nosso processo de lançamento mensal do Boletim de Segurança do Android. As imagens do firmware do Nexus também foram divulgadas no site do Google Developers . As versões LMY49G ou posterior e Android M com nível de patch de segurança de 1º de fevereiro de 2016 ou posterior resolvem esses problemas. Consulte a documentação do Nexus para obter instruções sobre como verificar o nível do patch de segurança.

Os parceiros foram notificados sobre os problemas descritos no boletim em 4 de janeiro de 2016 ou antes. Quando aplicável, os patches de código-fonte para esses problemas foram lançados no repositório Android Open Source Project (AOSP).

O mais grave desses problemas é uma vulnerabilidade crítica de segurança que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como e-mail, navegação na Web e MMS ao processar arquivos de mídia. A vulnerabilidade de execução remota de código no driver Wi-Fi da Broadcom também é de gravidade crítica, pois pode permitir a execução remota de código em um dispositivo afetado enquanto estiver conectado à mesma rede que o invasor. A avaliação da gravidade baseia-se no efeito que a exploração da vulnerabilidade poderia ter num dispositivo afetado, assumindo que as mitigações da plataforma e do serviço estão desativadas para fins de desenvolvimento ou se forem contornadas com sucesso.

Não tivemos relatos de exploração ativa por parte dos clientes desses problemas recentemente relatados. Consulte a seção Mitigações para obter detalhes sobre as proteções da plataforma de segurança Android e proteções de serviço, como SafetyNet, que melhoram a segurança da plataforma Android. Incentivamos todos os clientes a aceitarem essas atualizações em seus dispositivos.

Mitigações

Este é um resumo das mitigações fornecidas pela plataforma de segurança Android e proteções de serviços como SafetyNet. Esses recursos reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.

  • A exploração de muitos problemas no Android é dificultada pelas melhorias nas versões mais recentes da plataforma Android. Encorajamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
  • A equipe de segurança do Android está monitorando ativamente abusos com Verify Apps e SafetyNet, que alertarão sobre aplicativos potencialmente prejudiciais prestes a serem instalados. Ferramentas de root de dispositivos são proibidas no Google Play. Para proteger os usuários que instalam aplicativos de fora do Google Play, o Verify Apps está ativado por padrão e avisará os usuários sobre aplicativos com root conhecidos. O Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará remover tais aplicativos.
  • Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam mídia automaticamente para processos como o mediaserver.

Reconhecimentos

Gostaríamos de agradecer a estes pesquisadores por suas contribuições:

  • Equipe de segurança do Android e do Chrome: CVE-2016-0809, CVE-2016-0810
  • Equipe Broadgate: CVE-2016-0801, CVE-2015-0802
  • Chiachih Wu ( @chiachih_wu ), Mingjian Zhou ( @Mingjian_Zhou ) e Xuxian Jiang da equipe C0RE , Qihoo 360 : CVE-2016-0804
  • David Riley da equipe do Google Pixel C: CVE-2016-0812
  • Gengjia Chen ( @chengjia4574 ) do Laboratório IceSword, Qihoo 360: CVE-2016-0805
  • Qidan He ( @Flanker_hqd ) de KeenLab ( @keen_lab ), Tencent: CVE-2016-0811
  • Seven Shen ( @lingtongshen ) da Trend Micro ( www.trendmicro.com ): CVE-2016-0803
  • Weichao Sun ( @sunblate ) da Alibaba Inc: CVE-2016-0808
  • Zach Riggle ( @ebeip90 ) da equipe de segurança do Android: CVE-2016-0807

Detalhes de vulnerabilidade de segurança

Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 01/02/2016. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, bug associado, gravidade, versões afetadas e data relatada. Quando disponível, vincularemos o commit AOSP que abordou o problema ao ID do bug. Quando várias alterações estão relacionadas a um único bug, referências adicionais do AOSP são vinculadas a números após o ID do bug.

Vulnerabilidade de execução remota de código no driver Wi-Fi da Broadcom

Múltiplas vulnerabilidades de execução remota no driver Broadcom Wi-Fi podem permitir que um invasor remoto use pacotes de mensagens de controle sem fio especialmente criados para corromper a memória do kernel de uma forma que leve à execução remota de código no contexto do kernel. Essas vulnerabilidades podem ser desencadeadas quando o invasor e a vítima estão associados à mesma rede. Este problema é classificado como de gravidade Crítica devido à possibilidade de execução remota de código no contexto do kernel sem exigir interação do usuário.

CVE Insetos Gravidade Versões atualizadas Data relatada
CVE-2016-0801 ANDROID-25662029
ANDROID-25662233
Crítico 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 de outubro de 2015
CVE-2016-0802 ANDROID-25306181 Crítico 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26 de outubro de 2015

Vulnerabilidade de execução remota de código no Mediaserver

Durante o processamento de arquivos de mídia e de dados de um arquivo especialmente criado, as vulnerabilidades no mediaserver podem permitir que um invasor cause corrupção de memória e execução remota de código durante o processo do mediaserver.

A funcionalidade afetada é fornecida como uma parte central do sistema operacional e há vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador.

Este problema é classificado como de gravidade Crítica devido à possibilidade de execução remota de código no contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não podem acessar.

CVE Bugs com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-0803 ANDROID-25812794 Crítico 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 19 de novembro de 2015
CVE-2016-0804 ANDROID-25070434 Crítico 5.0, 5.1.1, 6.0, 6.0.1 12 de outubro de 2015

Vulnerabilidade de elevação de privilégio no módulo de desempenho da Qualcomm

Uma vulnerabilidade de elevação de privilégio no componente gerenciador de eventos de desempenho para processadores ARM da Qualcomm poderia permitir que um aplicativo malicioso local executasse código arbitrário dentro do kernel. Este problema é classificado como de gravidade crítica devido à possibilidade de um comprometimento local permanente do dispositivo e o dispositivo possivelmente precisará ser reparado atualizando novamente o sistema operacional.

CVE Erro Gravidade Versões atualizadas Data relatada
CVE-2016-0805 ANDROID-25773204* Crítico 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 15 de novembro de 2015

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .

Vulnerabilidade de elevação de privilégio no driver Wi-Fi da Qualcomm

Há uma vulnerabilidade no driver Qualcomm Wi-Fi que pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como de gravidade crítica devido à possibilidade de um comprometimento local permanente do dispositivo e o dispositivo possivelmente precisará ser reparado atualizando novamente o sistema operacional.

CVE Erro Gravidade Versões atualizadas Data relatada
CVE-2016-0806 ANDRÓIDE-25344453* Crítico 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 15 de novembro de 2015

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .

Vulnerabilidade de elevação de privilégio no Debuggerd

Uma vulnerabilidade de elevação de privilégio no componente Debuggerd pode permitir que um aplicativo malicioso local execute código arbitrário no contexto raiz do dispositivo. Este problema é classificado como de gravidade crítica devido à possibilidade de um comprometimento local permanente do dispositivo e o dispositivo possivelmente precisará ser reparado atualizando novamente o sistema operacional.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-0807 ANDROID-25187394 Crítico 6.0 e 6.0.1 Interno do Google

Vulnerabilidade de negação de serviço no Minikin

Uma vulnerabilidade de negação de serviço na biblioteca Minikin pode permitir que um invasor local bloqueie temporariamente o acesso a um dispositivo afetado. Um invasor pode fazer com que uma fonte não confiável seja carregada e causar um estouro no componente Minikin, o que causa uma falha. Isso é classificado como de alta gravidade porque a negação de serviço leva a um loop de reinicialização contínuo.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-0808 ANDROID-25645298 Alto 5.0, 5.1.1, 6.0, 6.0.1 3 de novembro de 2015

Vulnerabilidade de elevação de privilégio em Wi-Fi

Uma vulnerabilidade de elevação de privilégio no componente Wi-Fi pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do sistema. Um dispositivo só é vulnerável a esse problema quando estiver próximo. Este problema é classificado como de alta gravidade porque pode ser usado para obter recursos “ normais ” remotamente. Geralmente, essas permissões são acessíveis apenas a aplicativos de terceiros instalados localmente.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-0809 ANDROID-25753768 Alto 6.0, 6.0.1 Interno do Google

Vulnerabilidade de elevação de privilégio no Mediaserver

Uma vulnerabilidade de elevação de privilégio no mediaserver poderia permitir que um aplicativo malicioso local executasse código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissão Signature ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-0810 ANDROID-25781119 Alto 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 Interno do Google

Vulnerabilidade de divulgação de informações em libmediaplayerservice

Uma vulnerabilidade de divulgação de informações no libmediaplayerservice poderia permitir contornar as medidas de segurança em vigor para aumentar a dificuldade dos invasores explorarem a plataforma. Esses problemas são classificados como de alta gravidade porque também podem ser usados ​​para obter recursos elevados, como privilégios de permissão Signature ou SignatureOrSystem , que não são acessíveis a aplicativos de terceiros.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-0811 ANDROID-25800375 Alto 6.0, 6.0.1 16 de novembro de 2015

Vulnerabilidade de elevação de privilégio no assistente de configuração

Uma vulnerabilidade no Assistente de configuração pode permitir que um invasor mal-intencionado ignore a proteção contra redefinição de fábrica e obtenha acesso ao dispositivo. Isso é classificado como gravidade moderada porque potencialmente permite que alguém com acesso físico a um dispositivo ignore a proteção contra redefinição de fábrica, o que permite que um invasor redefina um dispositivo com êxito, apagando todos os dados.

CVE Bugs com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-0812 ANDROID-25229538 Moderado 5.1.1, 6.0 Interno do Google
CVE-2016-0813 ANDROID-25476219 Moderado 5.1.1, 6.0, 6.0.1 Interno do Google

Perguntas e respostas comuns

Esta seção analisa respostas a perguntas comuns que podem surgir após a leitura deste boletim.

1. Como determino se meu dispositivo está atualizado para resolver esses problemas?

As versões LMY49G ou posterior e Android 6.0 com nível de patch de segurança de 1º de fevereiro de 2016 ou posterior resolvem esses problemas. Consulte a documentação do Nexus para obter instruções sobre como verificar o nível do patch de segurança. Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da string do patch como: [ro.build.version.security_patch]:[2016-02-01]

Revisões

  • 01 de fevereiro de 2016: Boletim publicado.
  • 02 de fevereiro de 2016: Boletim revisado para incluir links AOSP.
  • 07 de março de 2016: Boletim revisado para incluir links AOSP adicionais.