Pubblicato il 7 marzo 2016 | Aggiornato l'8 marzo 2016
Abbiamo rilasciato un aggiornamento della sicurezza per i dispositivi Nexus tramite un aggiornamento over-the-air (OTA) nell'ambito della nostra procedura di rilascio mensile del Bollettino sulla sicurezza di Android. Le immagini del firmware di Nexus sono state rilasciate anche sul sito per sviluppatori Google. Le build LMY49H o successive e Android M con livello della patch di sicurezza dell'1° marzo 2016 o successivo risolvono questi problemi. Consulta la documentazione di Nexus per istruzioni su come controllare il livello della patch di sicurezza.
I partner sono stati informati dei problemi descritti nel bollettino il 1° febbraio 2016 o prima. Ove applicabile, le patch del codice sorgente per questi problemi sono state rilasciate nel repository Android Open Source Project (AOSP).
Il più grave di questi problemi è una vulnerabilità di sicurezza critica che potrebbe consentire l'esecuzione di codice remoto su un dispositivo interessato tramite diversi metodi, come email, navigazione web e MMS durante l'elaborazione di file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, supponendo che le mitigazioni della piattaforma e del servizio siano disattivate a scopo di sviluppo o se sono state aggirate.
Non abbiamo ricevuto segnalazioni di sfruttamento attivo da parte dei clienti di questi problemi appena segnalati. Consulta la sezione Mitigazioni per informazioni dettagliate sulle protezioni della piattaforma di sicurezza Android e sulle protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android. Invitiamo tutti i clienti ad accettare questi aggiornamenti sui propri dispositivi.
Mitigazioni
Questo è un riepilogo delle mitigazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni dei servizi come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità di sicurezza possano essere sfruttate con successo su Android.
- Lo sfruttamento di molti problemi su Android è reso più difficile dai miglioramenti nelle versioni più recenti della piattaforma Android. Invitiamo tutti gli utenti a eseguire l'aggiornamento all'ultima versione di Android, se possibile.
- Il team di Android Security monitora attivamente gli abusi con Verifica app e SafetyNet, che avvisano dell'imminente installazione di applicazioni potenzialmente dannose. Gli strumenti per il rooting dei dispositivi sono vietati su Google Play. Per proteggere gli utenti che installano applicazioni da origini diverse da Google Play, Verifica app è attivata per impostazione predefinita e avvisa gli utenti delle applicazioni di rooting note. Verifica App tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di elevazione dei privilegi. Se un'app di questo tipo è già stata installata, Verifica app invierà una notifica all'utente e tenterà di rimuoverla.
- A seconda dei casi, le applicazioni Google Hangouts e Messenger non trasmettono automaticamente i contenuti multimediali a processi come mediaserver.
Ringraziamenti
Vogliamo ringraziare per il loro contributo i seguenti ricercatori:
- Abhishek Arya, Oliver Chang e Martin Barbella del team di sicurezza di Google Chrome: CVE-2016-0815
- Anestis Bechtsoudis (@anestisb) di CENSUS S.A.: CVE-2016-0816, CVE-2016-0824
- Chad Brubaker di Android Security: CVE-2016-0818
- Mark Brand di Google Project Zero: CVE-2016-0820
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) e Xuxian Jiang del team C0RE di Qihoo 360: CVE-2016-0826
- Peter Pi (@heisecode) di Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
- Scott Bauer (sbauer@eng.utah.edu, sbauer@plzdonthack.me): CVE-2016-0822
- Wish Wu (@wish_wu) di Trend Micro Inc.: CVE-2016-0819
- Yongzheng Wu e Tieyan Li di Huawei: CVE-2016-0831
- Su Mon Kywe e Yingjiu Li della Singapore Management University: CVE-2016-0831
- Zach Riggle (@ebeip90) del team di sicurezza di Android: CVE-2016-0821
Dettagli sulla vulnerabilità di sicurezza
Nelle sezioni seguenti sono riportati i dettagli di ciascuna delle vulnerabilità di sicurezza che si applicano al livello del patch del 1° marzo 2016. Sono presenti una descrizione del problema, una motivazione della gravità e una tabella con il CVE, il bug associato, la gravità, le versioni interessate e la data di segnalazione. Se disponibile, collegheremo la modifica AOSP che ha risolto il problema all'ID bug. Quando più modifiche si riferiscono a un singolo bug, i riferimenti AOSP aggiuntivi sono collegati ai numeri che seguono l'ID bug.
Vulnerabilità di esecuzione di codice remoto in Mediaserver
Durante l'elaborazione di file multimediali e dati di un file appositamente creato, le vulnerabilità in mediaserver potrebbero consentire a un utente malintenzionato di causare la corruzione della memoria e l'esecuzione di codice da remoto come processo mediaserver.
La funzionalità interessata è fornita come parte integrante del sistema operativo e esistono più applicazioni che consentono di accedervi con contenuti remoti, in particolare MMS e riproduzione di contenuti multimediali nel browser.
Questo problema è classificato come di gravità Critica a causa della possibilità di eseguire codice remoto nel contesto del servizio mediaserver. Il servizio MediaServer ha accesso agli stream audio e video, nonché ai privilegi a cui le app di terze parti non potrebbero normalmente accedere.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0815 | ANDROID-26365349 | Critico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno Google |
| CVE-2016-0816 | ANDROID-25928803 | Critico | 6.0, 6.0.1 | Interno Google |
Vulnerabilità di esecuzione di codice remoto in libvpx
Durante l'elaborazione di file multimediali e dati di un file appositamente creato, le vulnerabilità in mediaserver potrebbero consentire a un utente malintenzionato di causare la corruzione della memoria e l'esecuzione di codice da remoto come processo mediaserver.
La funzionalità interessata è fornita come parte integrante del sistema operativo e sono disponibili più applicazioni che consentono di accedervi con contenuti remote, tra cui MMS e riproduzione di contenuti multimediali nel browser.
I problemi sono classificati come critici perché potrebbero essere utilizzati per l'esecuzione di codice remoto nel contesto del servizio mediaserver. Il servizio MediaServer ha accesso agli stream audio e video, nonché ai privilegi a cui le app di terze parti non possono accedere normalmente.
| CVE | Bug con i link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-1621 | ANDROID-23452792 [2] [3] | Critico | 4.4.4, 5.0.2, 5.1.1, 6.0 | Interno Google |
Elevazione dei privilegi in Conscrypt
Una vulnerabilità in Conscrypt potrebbe consentire di considerare erroneamente attendibile un tipo specifico di certificato non valido, emesso da un'autorità di certificazione (CA) intermedia. Ciò potrebbe consentire un attacco man-in-the-middle. Questo problema è classificato come di gravità Critica a causa della possibilità di un'elevazione dei privilegi e dell'esecuzione di codice arbitrario da remoto.
| CVE | Bug con i link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0818 | ANDROID-26232830 [2] | Critico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno Google |
Vulnerabilità di elevazione dei privilegi nel componente Qualcomm Performance
Una vulnerabilità di elevazione dei privilegi nel componente Qualcomm per le prestazioni potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel kernel. Questo problema è classificato come di gravità Critica a causa della possibilità di un compromesso permanente locale del dispositivo e il dispositivo potrebbe essere riparato solo riflashando il sistema operativo.
| CVE | Bug | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0819 | ANDROID-25364034* | Critico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 ottobre 2015 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi nel driver del kernel Wi-Fi MediaTek
Esiste una vulnerabilità nel driver del kernel Wi-Fi MediaTek che potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come di gravità Critica a causa della possibilità di elevazione dei privilegi e di esecuzione di codice arbitrario nel contesto del kernel.
| CVE | Bug | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0820 | ANDROID-26267358* | Critico | 6.0.1 | 18 dicembre 2015 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi nel componente Portachiavi del kernel
Una vulnerabilità di elevazione dei privilegi nel componente del portachiavi del kernel potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario all'interno del kernel. Questo problema è classificato come di gravità Critica a causa della possibilità di un compromesso permanente locale del dispositivo e il dispositivo potrebbe essere riparato solo riflashando il sistema operativo. Tuttavia, nelle versioni di Android 5.0 e successive, le regole SELinux impediscono alle applicazioni di terze parti di raggiungere il codice interessato.
Nota: come riferimento, la patch in AOSP è disponibile per versioni specifiche del kernel: 4.1, 3.18, 3.14, e 3.10.
| CVE | Bug | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0728 | ANDROID-26636379 | Critico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 gennaio 2016 |
Vulnerabilità di aggiramento della mitigazione nel kernel
Una vulnerabilità di bypass della mitigazione nel kernel potrebbe consentire il bypass delle misure di sicurezza in atto per aumentare la difficoltà degli attaccanti di sfruttare la piattaforma. Questo problema è classificato come di gravità elevata perché potrebbe consentire di aggirare le misure di sicurezza in atto per aumentare la difficoltà per gli attaccanti di sfruttare la piattaforma.
Nota: l'aggiornamento per questo problema si trova nell'upstream di Linux.
| CVE | Bug | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0821 | ANDROID-26186802 | Alto | 6.0.1 | Interno Google |
Elevazione dei privilegi nel driver del kernel MediaTek Connectivity
Esiste una vulnerabilità di elevazione dei privilegi in un driver del kernel MediaTek per la connettività che potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Normalmente un bug di esecuzione del codice del kernel come questo verrebbe classificato come critico, ma poiché richiede prima di compromettere il servizio conn_launcher, giustifica un downgrade alla classificazione di gravità elevata.
| CVE | Bug | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0822 | ANDROID-25873324* | Alto | 6.0.1 | 24 novembre 2015 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di divulgazione di informazioni nel kernel
Una vulnerabilità di divulgazione di informazioni nel kernel potrebbe consentire il aggiramento delle misure di sicurezza in atto per aumentare la difficoltà per gli utenti malintenzionati di sfruttare la piattaforma. Questi problemi sono classificati come di gravità Alta perché potrebbero consentire un aggiramento locale di tecnologie di mitigazione degli exploit come ASLR in un processo privilegiato.
Nota: la correzione di questo problema si trova in Linux upstream.
| CVE | Bug | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0823 | ANDROID-25739721* | Alto | 6.0.1 | Interno Google |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
V vulnerabilità di divulgazione di informazioni in libstagefright
Una vulnerabilità di divulgazione di informazioni in libstagefright potrebbe consentire il aggiramento delle misure di sicurezza in atto per aumentare la difficoltà degli attaccanti nell'exploitare la piattaforma. Questi problemi sono classificati come di gravità elevata perché potrebbero essere utilizzati anche per ottenere funzionalità elevate, come i privilegi delle autorizzazioni Signature o SignatureOrSystem, che non sono accessibili alle applicazioni di terze parti.
| CVE | Bug con il link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0824 | ANDROID-25765591 | Alto | 6.0, 6.0.1 | 18 novembre 2015 |
Vulnerabilità di divulgazione di informazioni in Widevine
Una vulnerabilità di divulgazione di informazioni nell'applicazione attendibile Widevine potrebbe consentire al codice in esecuzione nel contesto del kernel di accedere alle informazioni nello spazio di archiviazione sicuro di TrustZone. Questo problema è classificato come di gravità Alta perché potrebbe essere utilizzato per ottenere funzionalità elevate, ad esempio i privilegi di autorizzazione Signature o SignatureOrSystem.
| CVE | Bug | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0825 | ANDROID-20860039* | Alto | 6.0.1 | Interno Google |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito per sviluppatori Google.
Vulnerabilità di elevazione dei privilegi in Mediaserver
Una vulnerabilità di elevazione dei privilegi in mediaserver potrebbe consentire a un'applicazione local maligna di eseguire codice arbitrario nel contesto di un' applicazione di sistema con privilegi elevati. Questo problema è classificato come di gravità Alta perché potrebbe essere utilizzato per ottenere funzionalità elevate, ad esempio i privilegi delle autorizzazioni Signature o SignatureOrSystem, che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0826 | ANDROID-26265403 [2] | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 dicembre 2015 |
| CVE-2016-0827 | ANDROID-26347509 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 dicembre 2015 |
Vulnerabilità di divulgazione di informazioni in Mediaserver
Una vulnerabilità di divulgazione di informazioni in mediaserver potrebbe consentire il aggiramento delle misure di sicurezza in atto per aumentare la difficoltà degli attaccanti di sfruttare la piattaforma. Questi problemi sono classificati come di gravità elevata perché potrebbero anche essere utilizzati per ottenere funzionalità elevate, come i privilegi delle autorizzazioni Signature o SignatureOrSystem, che non sono accessibili alle applicazioni di terze parti.
| CVE | Bug relativi ai link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0828 | ANDROID-26338113 | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 dicembre 2015 |
| CVE-2016-0829 | ANDROID-26338109 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 dicembre 2015 |
Vulnerabilità Denial of Service da remoto nel Bluetooth
Una vulnerabilità di denial of service da remoto nel componente Bluetooth potrebbe consentire a un malintenzionato nelle vicinanze di bloccare l'accesso a un dispositivo interessato. Un malintenzionato potrebbe provocare un overflow di dispositivi Bluetooth identificati nel componente Bluetooth, con conseguente danneggiamento della memoria e interruzione del servizio. Questa è classificata come gravità Alta perché porta a un Denial of Service del servizio Bluetooth, che potrebbe essere potenzialmente risolto solo con un aggiornamento del firmware del dispositivo.
| CVE | Bug con il link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0830 | ANDROID-26071376 | Alto | 6.0, 6.0.1 | Interno Google |
Vulnerabilità di divulgazione di informazioni nella telefonia
Una vulnerabilità di divulgazione di informazioni nel componente Telefonia potrebbe consentire a un'applicazione di accedere a informazioni sensibili. Questo problema è classificato come di gravità moderata perché potrebbe essere utilizzato per accedere in modo improprio ai dati senza autorizzazione.
| CVE | Bug con il link AOSP | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0831 | ANDROID-25778215 | Moderata | 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 novembre 2015 |
Vulnerabilità di elevazione dei privilegi nella configurazione guidata
Una vulnerabilità nella configurazione guidata potrebbe consentire a un malintenzionato che ha avuto accesso fisico al dispositivo di accedere alle impostazioni del dispositivo ed eseguire un ripristino manuale del dispositivo. Questo problema è classificato come di gravità moderata perché potrebbe essere utilizzato per aggirare in modo improprio la protezione del ripristino dei dati di fabbrica.
| CVE | Bug | Gravità | Versioni aggiornate | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-0832 | ANDROID-25955042* | Moderata | 5.1.1, 6.0, 6.0.1 | Interno Google |
* Non è stata fornita alcuna patch del codice sorgente per questo aggiornamento.
Domande frequenti e risposte
Questa sezione esamina le risposte alle domande frequenti che potrebbero sorgere dopo aver letto questo bollettino.
1. Come faccio a stabilire se il mio dispositivo è aggiornato per risolvere questi problemi?
Le build LMY49H o successive e Android 6.0 con il livello della patch di sicurezza dell'1 marzo 2016 o successivo risolvono questi problemi. Per istruzioni su come controllare il livello della patch di sicurezza, consulta la documentazione di Nexus. I produttori di dispositivi che includono questi aggiornamenti devono impostare il livello della stringa della patch su: [ro.build.version.security_patch]:[2016-03-01]
Revisioni
- 7 marzo 2016: bollettino pubblicato.
- 8 marzo 2016: il bollettino è stato rivisto per includere i link ad AOSP.