Veröffentlicht am 7. März 2016 | Aktualisiert am 8. März 2016
Im Rahmen unseres monatlichen Release-Prozesses für Android-Sicherheitsbulletins haben wir ein Sicherheitsupdate für Nexus-Geräte als Over-the-air-Update (OTA-Update) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht. Diese Probleme wurden in den Builds LMY49H und höher sowie in Android M mit dem Sicherheitspatch vom 01. März 2016 oder höher behoben. Eine Anleitung zum Prüfen des Sicherheitspatches finden Sie in der Nexus-Dokumentation.
Partner wurden am oder vor dem 1. Februar 2016 über die im Bulletin beschriebenen Probleme informiert. Gegebenenfalls wurden Quellcode-Patches für diese Probleme im Repository des Android Open Source Project (AOSP) veröffentlicht.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Ausführung von Remote-Code auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Web-Browsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Bewertung des Schweregrads basiert auf der Auswirkung, die die Ausnutzung der Sicherheitslücke auf ein betroffenes Gerät haben könnte, vorausgesetzt, die Plattform- und Dienstmitigationen sind zu Entwicklungszwecken deaktiviert oder werden erfolgreich umgangen.
Wir haben keine Berichte über eine aktive Ausnutzung dieser neu gemeldeten Probleme durch Kunden erhalten. Im Abschnitt Maßnahmen finden Sie Details zu den Sicherheitsmechanismen der Android-Plattform und zu Dienstmechanismen wie SafetyNet, die die Sicherheit der Android-Plattform verbessern. Wir empfehlen allen Kunden, diese Updates auf ihren Geräten zu akzeptieren.
Abhilfemaßnahmen
Hier finden Sie eine Zusammenfassung der Sicherheitsmaßnahmen, die von der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bereitgestellt werden. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android-Geräten erfolgreich ausgenutzt werden können.
- Die Ausnutzung vieler Probleme auf Android-Geräten wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Nutzern, nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
- Das Android-Sicherheitsteam überwacht mithilfe von Verify Apps und SafetyNet aktiv den Missbrauch und warnt vor potenziell schädlichen Apps, die installiert werden sollen. Tools zum Rooten von Geräten sind bei Google Play verboten. Zum Schutz von Nutzern, die Apps von außerhalb von Google Play installieren, ist „Apps prüfen“ standardmäßig aktiviert. Nutzer werden dann vor bekannten Rooting-Apps gewarnt. Verify Apps versucht, die Installation bekannter schädlicher Anwendungen zu erkennen und zu blockieren, die eine Sicherheitslücke zur Berechtigungserweiterung ausnutzen. Wenn eine solche App bereits installiert ist, wird der Nutzer von Verify Apps benachrichtigt und die App wird entfernt.
- Die Google Hangouts- und Messenger-Anwendungen übergeben Medien nicht automatisch an Prozesse wie den Medienserver.
Danksagungen
Wir möchten uns bei den folgenden Forschern für ihre Beiträge bedanken:
- Abhishek Arya, Oliver Chang und Martin Barbella vom Google Chrome Security-Team: CVE-2016-0815
- Anestis Bechtsoudis (@anestisb) von CENSUS S.A.: CVE-2016-0816, CVE-2016-0824
- Chad Brubaker vom Android-Sicherheitsteam: CVE-2016-0818
- Mark Brand of Google Project Zero: CVE-2016-0820
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) und Xuxian Jiang vom C0RE-Team von Qihoo 360: CVE-2016-0826
- Peter Pi (@heisecode) von Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
- Scott Bauer (sbauer@eng.utah.edu, sbauer@plzdonthack.me): CVE-2016-0822
- Wish Wu (@wish_wu) von Trend Micro Inc.: CVE-2016-0819
- Yongzheng Wu und Tieyan Li von Huawei: CVE-2016-0831
- Su Mon Kywe und Yingjiu Li von der Singapore Management University: CVE-2016-0831
- Zach Riggle (@ebeip90) vom Android-Sicherheitsteam: CVE-2016-0821
Details zur Sicherheitslücke
In den folgenden Abschnitten finden Sie Details zu den einzelnen Sicherheitslücken, die für das Patchlevel vom 01.03.2016 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den betroffenen Versionen und dem Meldedatum. Sobald verfügbar, verknüpfen wir die AOSP-Änderung, mit der das Problem behoben wurde, mit der Fehler-ID. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit den Zahlen verknüpft, die auf die Fehler-ID folgen.
Sicherheitslücke bei der Remote-Codeausführung im Mediaserver
Bei der Verarbeitung von Mediendateien und Daten einer speziell erstellten Datei können Sicherheitslücken im Mediaserver es einem Angreifer ermöglichen, den Arbeitsspeicher zu beschädigen und Remote-Code im Rahmen des Mediaserver-Prozesses auszuführen.
Die betroffene Funktion ist ein zentraler Bestandteil des Betriebssystems und es gibt mehrere Anwendungen, über die sie mit Remote-Inhalten aufgerufen werden kann, insbesondere MMS und die Browserwiedergabe von Medien.
Dieses Problem wird aufgrund der Möglichkeit der Remote-Codeausführung im Kontext des Mediaserver-Dienstes als kritisch eingestuft. Der Mediaserverdienst hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0815 | ANDROID-26365349 | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Intern |
| CVE-2016-0816 | ANDROID-25928803 | Kritisch | 6.0, 6.0.1 | Google Intern |
Sicherheitslücken bei der Remote-Codeausführung in libvpx
Bei der Verarbeitung von Mediendateien und Daten einer speziell erstellten Datei können Sicherheitslücken im Mediaserver es einem Angreifer ermöglichen, den Arbeitsspeicher zu beschädigen und Remote-Code im Rahmen des Mediaserver-Prozesses auszuführen.
Die betroffenen Funktionen sind ein zentraler Bestandteil des Betriebssystems und es gibt mehrere Anwendungen, über die sie mit Remote-Inhalten erreicht werden können, insbesondere MMS und die Browserwiedergabe von Medien.
Die Probleme werden als kritisch eingestuft, da sie für die Remote-Codeausführung im Kontext des Mediaserver-Dienstes verwendet werden könnten. Der Mediaserverdienst hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler bei AOSP-Links | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-1621 | ANDROID-23452792 [2] [3] | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0 | Google Intern |
Rechteausweitung in Conscrypt
Eine Sicherheitslücke in Conscrypt kann dazu führen, dass ein bestimmter Typ ungültiger Zertifikate, die von einer Zwischenzertifizierungsstelle ausgestellt wurden, fälschlicherweise als vertrauenswürdig eingestuft wird. Dies kann einen Man-in-the-Middle-Angriff ermöglichen. Dieses Problem wird aufgrund der Möglichkeit einer Erhöhung der Berechtigungen und der Ausführung beliebigen Codes aus der Ferne als kritisch eingestuft.
| CVE | Fehler bei AOSP-Links | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0818 | ANDROID-26232830 [2] | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Intern |
Sicherheitslücke vom Typ „Rechteausweitung“ in der Qualcomm-Leistungskomponente
Eine Sicherheitslücke zur Berechtigungsausweitung in der Leistungskomponente von Qualcomm könnte es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird als kritisch eingestuft, da es zu einer dauerhaften lokalen Manipulation des Geräts kommen kann. Das Gerät kann nur durch ein erneutes Flashen des Betriebssystems repariert werden.
| CVE | Bug (Fehler) | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0819 | ANDROID-25364034* | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29. Oktober 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google-Entwicklerwebsite verfügbar sind.
Sicherheitslücke vom Typ „Rechteausweitung“ im MediaTek-Wi‑Fi-Kernel-Treiber
Es gibt eine Sicherheitslücke im MediaTek-Wi‑Fi-Kernel-Treiber, die es einer lokalen schädlichen Anwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer Rechteausweitung und der Ausführung beliebigen Codes im Kontext des Kernels als kritisch eingestuft.
| CVE | Bug (Fehler) | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0820 | ANDROID-26267358* | Kritisch | 6.0.1 | 18. Dezember 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google-Entwicklerwebsite verfügbar sind.
Sicherheitslücke vom Typ „Rechteausweitung“ in der Kernel-Schlüsselanhänger-Komponente
Eine Sicherheitslücke zur Erhöhung von Berechtigungen in der Kernel-Schlüsselanhängerkomponente könnte es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird als kritisch eingestuft, da es zu einer dauerhaften lokalen Manipulation des Geräts kommen kann. Das Gerät kann möglicherweise nur durch ein erneutes Flashen des Betriebssystems repariert werden. In Android-Versionen 5.0 und höher verhindern SELinux-Regeln jedoch, dass Drittanbieteranwendungen den betroffenen Code erreichen.
Hinweis:Der Patch in AOSP ist für bestimmte Kernelversionen verfügbar: 4.1, 3.18, 3.14 und 3.10.
| CVE | Bug (Fehler) | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0728 | ANDROID-26636379 | Kritisch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11. Januar 2016 |
Umgehungssicherheitslücke im Kernel
Eine Umgehungslücke im Kernel könnte eine Umgehung der Sicherheitsmaßnahmen ermöglichen, die die Ausnutzung der Plattform durch Angreifer erschweren sollen. Dieses Problem wird als „Hoch“ eingestuft, da es eine Umgehung der Sicherheitsmaßnahmen ermöglichen könnte, die die Ausnutzung der Plattform durch Angreifer erschweren sollen.
Hinweis:Das Update für dieses Problem befindet sich im Linux-Upstream.
| CVE | Bug (Fehler) | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0821 | ANDROID-26186802 | Hoch | 6.0.1 | Google Intern |
Rechteausweitung im MediaTek-Konnektivitäts-Kernel-Treiber
In einem MediaTek-Kernel-Treiber für die Konnektivität gibt es eine Sicherheitslücke, durch die eine lokale schädliche Anwendung beliebigen Code im Kontext des Kernels ausführen kann. Normalerweise würde ein solcher Fehler bei der Ausführung von Kernelcode als kritisch eingestuft. Da jedoch zuerst der Dienst „conn_launcher“ manipuliert werden muss, wird er auf die höchste Stufe herabgestuft.
| CVE | Bug (Fehler) | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0822 | ANDROID-25873324* | Hoch | 6.0.1 | 24. November 2015 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google-Entwicklerwebsite verfügbar sind.
Sicherheitslücke im Kernel, die zur Offenlegung von Informationen führt
Eine Sicherheitslücke im Kernel, die zur Offenlegung von Informationen führt, könnte eine Umgehung der Sicherheitsmaßnahmen ermöglichen, die die Ausnutzung der Plattform durch Angreifer erschweren. Diese Probleme werden als „Hoch“ eingestuft, da sie eine lokale Umgehung von Exploit-Mitigationstechnologien wie ASLR in einem privilegierten Prozess ermöglichen könnten.
Hinweis:Die Lösung für dieses Problem befindet sich in der Linux-Upstream-Version.
| CVE | Bug (Fehler) | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0823 | ANDROID-25739721* | Hoch | 6.0.1 | Google Intern |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google-Entwicklerwebsite verfügbar sind.
Sicherheitslücke in libstagefright, die zur Offenlegung von Informationen führt
Eine Sicherheitslücke in libstagefright, die zur Offenlegung von Informationen führt, könnte es ermöglichen, die Sicherheitsmaßnahmen zu umgehen, die die Ausnutzung der Plattform durch Angreifer erschweren sollen. Diese Probleme werden als „Hoch“ eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen zu erhalten, z. B. Berechtigungen für Signature oder SignatureOrSystem, auf die Drittanbieteranwendungen nicht zugreifen können.
| CVE | Fehler im AOSP-Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0824 | ANDROID-25765591 | Hoch | 6.0, 6.0.1 | 18. November 2015 |
Sicherheitslücke in Widevine, die zur Offenlegung von Informationen führt
Eine Sicherheitslücke bei der Offenlegung von Informationen in der Widevine Trusted Application könnte es Code ermöglichen, der im Kernelkontext ausgeführt wird, auf Informationen im sicheren TrustZone-Speicher zuzugreifen. Dieses Problem hat den Schweregrad „Hoch“, da es dazu verwendet werden könnte, erweiterte Funktionen zu erhalten, z. B. Berechtigungen für Signature oder SignatureOrSystem.
| CVE | Fehler | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0825 | ANDROID-20860039* | Hoch | 6.0.1 | Google Intern |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google-Entwicklerwebsite verfügbar sind.
Sicherheitslücke im Mediaserver, die eine Rechteausweitung ermöglicht
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Mediaserver kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext einer erhöhten Systemanwendung auszuführen. Dieses Problem hat den Schweregrad „Hoch“, da es dazu verwendet werden kann, erweiterte Funktionen zu erhalten, z. B. Berechtigungen für Signature oder SignatureOrSystem, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Links | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0826 | ANDROID-26265403 [2] | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17. Dezember 2015 |
| CVE-2016-0827 | ANDROID-26347509 | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28. Dezember 2015 |
Sicherheitslücke im Mediaserver, die zur Offenlegung von Informationen führt
Eine Sicherheitslücke im Mediaserver, die zur Offenlegung von Informationen führt, könnte es ermöglichen, die Sicherheitsmaßnahmen zu umgehen, die die Ausnutzung der Plattform durch Angreifer erschweren sollen. Diese Probleme werden als „Hoch“ eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen zu erhalten, z. B. Berechtigungen für Signature oder SignatureOrSystem, auf die Drittanbieteranwendungen nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0828 | ANDROID-26338113 | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1 | 27. Dezember 2015 |
| CVE-2016-0829 | ANDROID-26338109 | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27. Dezember 2015 |
Remote-DoS-Sicherheitslücke in Bluetooth
Eine Remote-DoS-Sicherheitslücke in der Bluetooth-Komponente kann es einem Angreifer in der Nähe ermöglichen, den Zugriff auf ein betroffenes Gerät zu blockieren. Ein Angreifer könnte einen Überlauf der erkannten Bluetooth-Geräte in der Bluetooth-Komponente verursachen, was zu einer Beschädigung des Arbeitsspeichers und einem Dienststopp führt. Dieser Fehler wird als „Hoch“ eingestuft, da er zu einer Dienstverweigerung für den Bluetooth-Dienst führt, die möglicherweise nur durch ein Flashen des Geräts behoben werden kann.
| CVE | Fehler im AOSP-Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0830 | ANDROID-26071376 | Hoch | 6.0, 6.0.1 | Google Intern |
Sicherheitslücke bei der Offenlegung von Informationen in der Telefonie
Eine Sicherheitslücke zur Offenlegung von Informationen in der Telefonkomponente könnte es einer Anwendung ermöglichen, auf vertrauliche Daten zuzugreifen. Dieses Problem hat die Bewertung „Mittel“, da es dazu verwendet werden könnte, ohne Berechtigung auf Daten zuzugreifen.
| CVE | Fehler im AOSP-Link | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0831 | ANDROID-25778215 | Moderat | 5.0.2, 5.1.1, 6.0, 6.0.1 | 16. November 2015 |
Sicherheitslücke im Einrichtungsassistenten, die eine Rechteausweitung ermöglicht
Eine Sicherheitslücke im Einrichtungsassistenten ermöglicht es einem Angreifer, der physischen Zugriff auf das Gerät hat, auf die Geräteeinstellungen zuzugreifen und das Gerät manuell zurückzusetzen. Dieses Problem wird als mäßig eingestuft, da es dazu verwendet werden könnte, den Schutz vor dem Zurücksetzen auf die Werkseinstellungen zu umgehen.
| CVE | Fehler | Schweregrad | Aktualisierte Versionen | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-0832 | ANDROID-25955042* | Moderat | 5.1.1, 6.0, 6.0.1 | Google Intern |
* Für dieses Update ist kein Quellcode-Patch verfügbar.
Häufig gestellte Fragen und Antworten
In diesem Abschnitt werden häufige Fragen zu diesem Bulletin beantwortet.
1. Wie finde ich heraus, ob mein Gerät entsprechend aktualisiert wurde?
Mit Build LMY49H oder höher und Android 6.0 mit dem Sicherheitspatch vom 1. März 2016 oder höher werden diese Probleme behoben. Eine Anleitung zum Prüfen des Sicherheitspatches finden Sie in der Nexus-Dokumentation. Gerätehersteller, die diese Updates einbinden, sollten die Patch-Stringebene auf Folgendes festlegen: [ro.build.version.security_patch]:[2016-03-01]
Überarbeitungen
- 7. März 2016: Veröffentlichung des Bulletins.
- 8. März 2016: Das Bulletin wurde überarbeitet und enthält jetzt AOSP-Links.