Publicado em 07 de março de 2016 | Atualizado em 08 de março de 2016
Lançamos uma atualização de segurança para dispositivos Nexus por meio de uma atualização over-the-air (OTA) como parte do nosso processo de lançamento mensal do Boletim de Segurança do Android. As imagens do firmware do Nexus também foram divulgadas no site do Google Developers . As versões LMY49H ou posterior e Android M com nível de patch de segurança de 1º de março de 2016 ou posterior resolvem esses problemas. Consulte a documentação do Nexus para obter instruções sobre como verificar o nível do patch de segurança.
Os parceiros foram notificados sobre os problemas descritos no boletim em 1º de fevereiro de 2016 ou antes. Quando aplicável, os patches de código-fonte para esses problemas foram lançados no repositório Android Open Source Project (AOSP).
O mais grave desses problemas é uma vulnerabilidade crítica de segurança que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como e-mail, navegação na Web e MMS ao processar arquivos de mídia. A avaliação da gravidade baseia-se no efeito que a exploração da vulnerabilidade poderia ter num dispositivo afetado, assumindo que as mitigações da plataforma e do serviço estão desativadas para fins de desenvolvimento ou se forem contornadas com sucesso.
Não tivemos relatos de exploração ativa por parte dos clientes desses problemas recentemente relatados. Consulte a seção Mitigações para obter detalhes sobre as proteções da plataforma de segurança Android e proteções de serviço, como SafetyNet, que melhoram a segurança da plataforma Android. Incentivamos todos os clientes a aceitarem essas atualizações em seus dispositivos.
Mitigações
Este é um resumo das mitigações fornecidas pela plataforma de segurança Android e proteções de serviços como SafetyNet. Esses recursos reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.
- A exploração de muitos problemas no Android é dificultada pelas melhorias nas versões mais recentes da plataforma Android. Encorajamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
- A equipe de segurança do Android está monitorando ativamente abusos com Verify Apps e SafetyNet, que alertarão sobre aplicativos potencialmente prejudiciais prestes a serem instalados. Ferramentas de root de dispositivos são proibidas no Google Play. Para proteger os usuários que instalam aplicativos de fora do Google Play, o Verify Apps está ativado por padrão e avisará os usuários sobre aplicativos com root conhecidos. O Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará remover tais aplicativos.
- Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam mídia automaticamente para processos como o mediaserver.
Reconhecimentos
Gostaríamos de agradecer a estes pesquisadores por suas contribuições:
- Abhishek Arya, Oliver Chang e Martin Barbella da equipe de segurança do Google Chrome: CVE-2016-0815
- Anestis Bechtsoudis ( @anestisb ) do CENSUS SA: CVE-2016-0816, CVE-2016-0824
- Chad Brubaker da Segurança Android: CVE-2016-0818
- Marcar marca do Google Project Zero: CVE-2016-0820
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) e Xuxian Jiang da equipe C0RE da Qihoo 360 : CVE-2016-0826
- Peter Pi ( @heisecode ) da Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
- Scott Bauer ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
- Wish Wu ( @wish_wu ) da Trend Micro Inc.: CVE-2016-0819
- Yongzheng Wu e Tieyan Li da Huawei: CVE-2016-0831
- Su Mon Kywe e Yingjiu Li da Singapore Management University: CVE-2016-0831
- Zach Riggle ( @ebeip90 ) da equipe de segurança do Android: CVE-2016-0821
Detalhes de vulnerabilidade de segurança
Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível do patch 01/03/2016. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, bug associado, gravidade, versões afetadas e data relatada. Quando disponível, vincularemos a alteração do AOSP que resolveu o problema ao ID do bug. Quando várias alterações estão relacionadas a um único bug, referências adicionais do AOSP são vinculadas a números após o ID do bug.
Vulnerabilidade de execução remota de código no Mediaserver
Durante o processamento de arquivos de mídia e de dados de um arquivo especialmente criado, as vulnerabilidades no mediaserver podem permitir que um invasor cause corrupção de memória e execução remota de código durante o processo do mediaserver.
A funcionalidade afetada é fornecida como uma parte central do sistema operacional, e há vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador.
Este problema é classificado como de gravidade Crítica devido à possibilidade de execução remota de código no contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não poderiam acessar.
| CVE | Bugs com links AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0815 | ANDROID-26365349 | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
| CVE-2016-0816 | ANDROID-25928803 | Crítico | 6.0, 6.0.1 | Interno do Google |
Vulnerabilidades de execução remota de código em libvpx
Durante o processamento de arquivos de mídia e de dados de um arquivo especialmente criado, as vulnerabilidades no mediaserver podem permitir que um invasor cause corrupção de memória e execução remota de código durante o processo do mediaserver.
A funcionalidade afetada é fornecida como uma parte central do sistema operacional e há vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador.
Os problemas são classificados como de gravidade crítica porque podem ser usados para execução remota de código no contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não podem acessar.
| CVE | Bug com links AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-1621 | ANDROID-23452792 [2] [3] | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0 | Interno do Google |
Elevação de privilégio no Conscrypt
Uma vulnerabilidade no Conscrypt pode permitir que um tipo específico de certificado inválido, emitido por uma Autoridade de Certificação (CA) intermediária, seja confiável incorretamente. Isso pode permitir um ataque man-in-the-middle. Este problema é classificado como de gravidade Crítica devido à possibilidade de elevação de privilégio e execução remota de código arbitrário.
| CVE | Bug com links AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0818 | ANDRÓIDE-26232830 [2] | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
Vulnerabilidade de elevação de privilégio no componente de desempenho da Qualcomm
Uma vulnerabilidade de elevação de privilégio no componente de desempenho da Qualcomm pode permitir que um aplicativo malicioso local execute código arbitrário no kernel. Esse problema é classificado como de gravidade crítica devido à possibilidade de comprometimento local permanente do dispositivo, e o dispositivo só pode ser reparado atualizando novamente o sistema operacional.
| CVE | Erro | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0819 | ANDROID-25364034* | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 de outubro de 2015 |
* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de elevação de privilégio no driver MediaTek Wi-Fi Kernel
Há uma vulnerabilidade no driver do kernel MediaTek Wi-Fi que pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como de gravidade Crítica devido à possibilidade de elevação de privilégio e execução arbitrária de código no contexto do kernel.
| CVE | Erro | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0820 | ANDROID-26267358* | Crítico | 6.0.1 | 18 de dezembro de 2015 |
* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de elevação de privilégio no componente Kernel Keyring
Uma vulnerabilidade de elevação de privilégio no componente Kernel Keyring pode permitir que um aplicativo malicioso local execute código arbitrário dentro do kernel. Este problema é classificado como de gravidade Crítica devido à possibilidade de um comprometimento local permanente do dispositivo e o dispositivo só poderia ser reparado atualizando novamente o sistema operacional. No entanto, nas versões 5.0 e superiores do Android, as regras do SELinux impedem que aplicativos de terceiros acessem o código afetado.
Nota: Para referência, o patch no AOSP está disponível para versões específicas do kernel: 4.1 , 3.18 , 3.14 e 3.10 .
| CVE | Erro | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0728 | ANDROID-26636379 | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 de janeiro de 2016 |
Vulnerabilidade de desvio de mitigação no kernel
Uma vulnerabilidade de desvio de mitigação no kernel poderia permitir um desvio das medidas de segurança em vigor para aumentar a dificuldade dos invasores explorarem a plataforma. Este problema é classificado como de alta gravidade porque pode permitir contornar as medidas de segurança em vigor para aumentar a dificuldade dos invasores explorarem a plataforma.
Nota: A atualização para este problema está localizada no upstream do Linux .
| CVE | Erro | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0821 | ANDROID-26186802 | Alto | 6.0.1 | Interno do Google |
Elevação de privilégio no driver do kernel de conectividade MediaTek
Há uma vulnerabilidade de elevação de privilégio em um driver de kernel de conectividade MediaTek que pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Normalmente, um bug de execução de código do kernel como esse seria classificado como crítico, mas como requer primeiro o comprometimento do serviço conn_launcher, justifica um downgrade para classificação de gravidade Alta.
| CVE | Erro | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0822 | ANDROID-25873324* | Alto | 6.0.1 | 24 de novembro de 2015 |
* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de divulgação de informações no kernel
Uma vulnerabilidade de divulgação de informações no kernel poderia permitir contornar as medidas de segurança em vigor para aumentar a dificuldade dos invasores explorarem a plataforma. Esses problemas são classificados como de alta gravidade porque poderiam permitir um desvio local de tecnologias de mitigação de exploração, como ASLR, em um processo privilegiado.
Nota: A correção para esse problema está localizada no Linux upstream .
| CVE | Erro | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0823 | ANDROID-25739721* | Alto | 6.0.1 | Interno do Google |
* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de divulgação de informações em libstagefright
Uma vulnerabilidade de divulgação de informações no libstagefright poderia permitir contornar as medidas de segurança em vigor para aumentar a dificuldade dos invasores explorarem a plataforma. Esses problemas são classificados como de alta gravidade porque também podem ser usados para obter recursos elevados, como privilégios de permissão Signature ou SignatureOrSystem , que não são acessíveis a aplicativos de terceiros.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0824 | ANDROID-25765591 | Alto | 6.0, 6.0.1 | 18 de novembro de 2015 |
Vulnerabilidade de divulgação de informações em Widevine
Uma vulnerabilidade de divulgação de informações no Widevine Trusted Application pode permitir que o código em execução no contexto do kernel acesse informações no armazenamento seguro TrustZone. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissão Signature ou SignatureOrSystem .
| CVE | Insetos) | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0825 | ANDROID-20860039* | Alto | 6.0.1 | Interno do Google |
* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de elevação de privilégio no Mediaserver
Uma vulnerabilidade de elevação de privilégio no mediaserver poderia permitir que um aplicativo malicioso local executasse código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissão Signature ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.
| CVE | Bugs com links AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0826 | ANDRÓIDE-26265403 [2] | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 de dezembro de 2015 |
| CVE-2016-0827 | ANDROID-26347509 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 de dezembro de 2015 |
Vulnerabilidade de divulgação de informações no Mediaserver
Uma vulnerabilidade de divulgação de informações no mediaserver poderia permitir contornar as medidas de segurança em vigor para aumentar a dificuldade dos invasores explorarem a plataforma. Esses problemas são classificados como de alta gravidade porque também podem ser usados para obter recursos elevados, como privilégios de permissão Signature ou SignatureOrSystem , que não são acessíveis a aplicativos de terceiros.
| CVE | Bugs com links AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0828 | ANDRÓIDE-26338113 | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 de dezembro de 2015 |
| CVE-2016-0829 | ANDROID-26338109 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 de dezembro de 2015 |
Vulnerabilidade de negação remota de serviço em Bluetooth
Uma vulnerabilidade de negação remota de serviço no componente Bluetooth pode permitir que um invasor proximal bloqueie o acesso a um dispositivo afetado. Um invasor pode causar um estouro de dispositivos Bluetooth identificados no componente Bluetooth, o que leva à corrupção da memória e à interrupção do serviço. Isso é classificado como de alta gravidade porque leva a uma negação de serviço ao serviço Bluetooth, que só poderia ser corrigida com um flash do dispositivo.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0830 | ANDROID-26071376 | Alto | 6.0, 6.0.1 | Interno do Google |
Vulnerabilidade de divulgação de informações em telefonia
Uma vulnerabilidade de divulgação de informações no componente Telefonia poderia permitir que um aplicativo acessasse informações confidenciais. Este problema é classificado como gravidade moderada porque pode ser usado para acessar dados indevidamente sem permissão.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0831 | ANDRÓIDE-25778215 | Moderado | 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 de novembro de 2015 |
Vulnerabilidade de elevação de privilégio no assistente de configuração
Uma vulnerabilidade no Assistente de configuração poderia permitir que um invasor que tivesse acesso físico ao dispositivo obtivesse acesso às configurações do dispositivo e executasse uma redefinição manual do dispositivo. Esse problema é classificado como de gravidade moderada porque pode ser usado para contornar incorretamente a proteção de redefinição de fábrica.
| CVE | Insetos) | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0832 | ANDROID-25955042* | Moderado | 5.1.1, 6.0, 6.0.1 | Interno do Google |
* Não há patch de código-fonte fornecido para esta atualização.
Perguntas e respostas comuns
Esta seção analisa respostas a perguntas comuns que podem surgir após a leitura deste boletim.
1. Como determino se meu dispositivo está atualizado para resolver esses problemas?
As versões LMY49H ou posterior e Android 6.0 com nível de patch de segurança de 1º de março de 2016 ou posterior resolvem esses problemas. Consulte a documentação do Nexus para obter instruções sobre como verificar o nível do patch de segurança. Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da string do patch como: [ro.build.version.security_patch]:[2016-03-01]
Revisões
- 07 de março de 2016: Boletim publicado.
- 08 de março de 2016: Boletim revisado para incluir links AOSP.