Nexus-Sicherheitsbulletin – März 2016

Veröffentlicht am 07. März 2016 | Aktualisiert am 08. März 2016

Wir haben ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) als Teil unseres monatlichen Veröffentlichungsprozesses für das Android Security Bulletin veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Site veröffentlicht. Builds LMY49H oder höher und Android M mit Sicherheitspatchlevel vom 1. März 2016 oder höher beheben diese Probleme. Anweisungen zum Überprüfen des Sicherheits-Patch-Levels finden Sie in der Nexus-Dokumentation .

Partner wurden über die im Bulletin beschriebenen Probleme am 1. Februar 2016 oder früher benachrichtigt. Wo zutreffend, wurden Quellcode-Patches für diese Probleme im Repository des Android Open Source Project (AOSP) veröffentlicht.

Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät durch mehrere Methoden wie E-Mail, Webbrowsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstmitigationen werden zu Entwicklungszwecken deaktiviert oder erfolgreich umgangen.

Uns liegen keine Berichte über eine aktive Nutzung dieser neu gemeldeten Probleme durch Kunden vor. Einzelheiten zum Schutz der Android-Sicherheitsplattform und zu Dienstschutzmaßnahmen wie SafetyNet , die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Abschwächungen. Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.

Abmilderungen

Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bereitgestellten Risikominderungen. Diese Fähigkeiten verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden könnten.

  • Die Nutzung für viele Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht aktiv auf Missbrauch mit Verify Apps und SafetyNet, die vor potenziell schädlichen Anwendungen warnen, die installiert werden sollen. Geräte-Rooting-Tools sind bei Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist „Apps überprüfen“ standardmäßig aktiviert und warnt Benutzer vor bekannten rootenden Anwendungen. Verify Apps versucht, die Installation bekannter bösartiger Anwendungen zu identifizieren und zu blockieren, die eine Schwachstelle bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
  • Entsprechend leiten Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie mediaserver weiter.

Danksagungen

Wir möchten diesen Forschern für ihre Beiträge danken:

  • Abhishek Arya, Oliver Chang und Martin Barbella vom Google Chrome-Sicherheitsteam: CVE-2016-0815
  • Anestis Bechtsoudis ( @anestisb ) von CENSUS SA: CVE-2016-0816, CVE-2016-0824
  • Chad Brubaker von Android Security: CVE-2016-0818
  • Marke von Google Project Zero: CVE-2016-0820
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team von Qihoo 360 : CVE-2016-0826
  • Peter Pi ( @heisecode ) von Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
  • Scott Bauer ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
  • Wish Wu ( @wish_wu ) von Trend Micro Inc.: CVE-2016-0819
  • Yongzheng Wu und Tieyan Li von Huawei: CVE-2016-0831
  • Su Mon Kywe und Yingjiu Li von der Singapore Management University: CVE-2016-0831
  • Zach Riggle ( @ebeip90 ) vom Android-Sicherheitsteam: CVE-2016-0821

Details zu Sicherheitslücken

In den folgenden Abschnitten stellen wir Details für alle Sicherheitsschwachstellen bereit, die für die Patch-Ebene vom 01.03.2016 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den betroffenen Versionen und dem gemeldeten Datum. Wenn verfügbar, werden wir die AOSP-Änderung, die das Problem behebt, mit der Fehler-ID verknüpfen. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern nach der Fehler-ID verknüpft.

Schwachstelle bezüglich Remotecodeausführung in Mediaserver

Während der Mediendatei- und Datenverarbeitung einer speziell gestalteten Datei könnten Schwachstellen im Mediaserver einem Angreifer ermöglichen, Speicherbeschädigungen und Remote-Codeausführung als Mediaserver-Prozess zu verursachen.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, die es ermöglichen, sie mit Remote-Inhalten zu erreichen, insbesondere MMS und Browser-Wiedergabe von Medien.

Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Dienstes als Kritisch eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0815 ANDROID-26365349 Kritisch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google-intern
CVE-2016-0816 ANDROID-25928803 Kritisch 6.0, 6.0.1 Google-intern

Schwachstellen bezüglich Remote-Codeausführung in libvpx

Während der Mediendatei- und Datenverarbeitung einer speziell gestalteten Datei könnten Schwachstellen im Mediaserver einem Angreifer ermöglichen, Speicherbeschädigungen und Remote-Codeausführung als Mediaserver-Prozess zu verursachen.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt und es gibt mehrere Anwendungen, die es ermöglichen, sie mit Remote-Inhalten zu erreichen, insbesondere MMS und Browser-Wiedergabe von Medien.

Die Probleme werden als Kritisch eingestuft, da sie für die Remotecodeausführung im Kontext des Mediaserver-Dienstes verwendet werden könnten. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-1621 ANDROID-23452792 [2] [3] Kritisch 4.4.4, 5.0.2, 5.1.1, 6.0 Google-intern

Erhöhung der Privilegien in Conscrypt

Eine Schwachstelle in Conscrypt könnte dazu führen, dass einem bestimmten Typ eines ungültigen Zertifikats, das von einer zwischengeschalteten Zertifizierungsstelle (CA) ausgestellt wurde, fälschlicherweise vertraut wird. Dies kann einen Man-in-the-Middle-Angriff ermöglichen. Dieses Problem wird aufgrund der Möglichkeit einer Erhöhung von Berechtigungen und der Remoteausführung von beliebigem Code als kritischer Schweregrad eingestuft.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0818 ANDROID-26232830 [2] Kritisch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google-intern

Elevation of Privilege-Schwachstelle in der Qualcomm Performance-Komponente

Eine Elevation-of-Privilege-Schwachstelle in der Leistungskomponente von Qualcomm könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als kritischer Schweregrad eingestuft, und das Gerät konnte nur durch erneutes Flashen des Betriebssystems repariert werden.

CVE Insekt Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0819 ANDROID-25364034* Kritisch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29. Oktober 2015

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im MediaTek Wi-Fi-Kernel-Treiber

Es gibt eine Schwachstelle im MediaTek Wi-Fi-Kernel-Treiber, die es einer lokalen bösartigen Anwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit der Erhöhung von Berechtigungen und der Ausführung willkürlichen Codes im Kontext des Kernels als kritischer Schweregrad eingestuft.

CVE Insekt Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0820 ANDROID-26267358* Kritisch 6.0.1 18. Dezember 2015

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Schwachstelle bezüglich der Erhöhung von Berechtigungen in der Kernel-Schlüsselbundkomponente

Eine Schwachstelle bezüglich Rechteerweiterungen in der Kernel Keyring-Komponente könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code innerhalb des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als kritischer Schweregrad eingestuft und das Gerät könnte möglicherweise nur durch erneutes Flashen des Betriebssystems repariert werden. In den Android-Versionen 5.0 und höher verhindern die SELinux-Regeln jedoch, dass Anwendungen von Drittanbietern den betroffenen Code erreichen.

Hinweis: Als Referenz ist der Patch in AOSP für bestimmte Kernel-Versionen verfügbar: 4.1 , 3.18 , 3.14 und 3.10 .

CVE Insekt Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0728 ANDROID-26636379 Kritisch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11. Januar 2016

Mitigation Bypass-Schwachstelle im Kernel

Eine Mitigation Bypass-Schwachstelle im Kernel könnte eine Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen, um Angreifern das Ausnutzen der Plattform zu erschweren. Dieses Problem wird als hoher Schweregrad eingestuft, da es eine Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen könnte, um Angreifern die Nutzung der Plattform zu erschweren.

Hinweis: Das Update für dieses Problem befindet sich im Linux-Upstream .

CVE Insekt Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0821 ANDROID-26186802 Hoch 6.0.1 Google-intern

Rechteerhöhung im MediaTek Connectivity Kernel-Treiber

In einem Kernel-Treiber für MediaTek-Konnektivität gibt es eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen, die es einer lokalen bösartigen Anwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Normalerweise würde ein Kernel-Code-Ausführungsfehler wie dieser als kritisch eingestuft, aber da er zunächst eine Kompromittierung des conn_launcher-Dienstes erfordert, rechtfertigt er eine Herabstufung auf den Schweregrad „Hoch“.

CVE Insekt Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0822 ANDROID-25873324* Hoch 6.0.1 24. November 2015

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Offenlegung von Informationen Sicherheitslücke im Kernel

Eine Schwachstelle zur Offenlegung von Informationen im Kernel könnte eine Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen, um Angreifern das Ausnutzen der Plattform zu erschweren. Diese Probleme werden als hoch eingestuft, da sie eine lokale Umgehung von Exploit-Mitigation-Technologien wie ASLR in einem privilegierten Prozess ermöglichen könnten.

Hinweis: Die Lösung für dieses Problem befindet sich im Linux-Upstream .

CVE Insekt Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0823 ANDROID-25739721* Hoch 6.0.1 Google-intern

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Offenlegung von Informationen Schwachstelle in libstagefright

Eine Schwachstelle zur Offenlegung von Informationen in libstagefright könnte eine Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen, um Angreifern die Nutzung der Plattform zu erschweren. Diese Probleme werden als hoher Schweregrad eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen zu erlangen, wie z. B. Signatur- oder SignatureOrSystem -Berechtigungsrechte, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0824 ANDROID-25765591 Hoch 6.0, 6.0.1 18. November 2015

Sicherheitsanfälligkeit bezüglich Offenlegung von Informationen in Widevine

Eine Schwachstelle bezüglich der Offenlegung von Informationen in der Widevine Trusted Application könnte es Code ermöglichen, der im Kernel-Kontext ausgeführt wird, um auf Informationen im sicheren TrustZone-Speicher zuzugreifen. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungen zu erlangen.

CVE Fehler Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0825 ANDROID-20860039* Hoch 6.0.1 Google-intern

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle in Mediaserver

Eine Schwachstelle bezüglich Rechteerweiterungen in Mediaserver könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext einer Systemanwendung mit erhöhten Rechten auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden könnte, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungsrechte zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0826 ANDROID-26265403 [2] Hoch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17. Dezember 2015
CVE-2016-0827 ANDROID-26347509 Hoch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28. Dezember 2015

Offenlegung von Informationen Sicherheitslücke in Mediaserver

Eine Schwachstelle zur Offenlegung von Informationen in Mediaserver könnte eine Umgehung der vorhandenen Sicherheitsmaßnahmen ermöglichen, um Angreifern die Nutzung der Plattform zu erschweren. Diese Probleme werden als hoher Schweregrad eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen zu erlangen, wie z. B. Signatur- oder SignatureOrSystem -Berechtigungsrechte, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0828 ANDROID-26338113 Hoch 5.0.2, 5.1.1, 6.0, 6.0.1 27. Dezember 2015
CVE-2016-0829 ANDROID-26338109 Hoch 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27. Dezember 2015

Remote-Denial-of-Service-Schwachstelle in Bluetooth

Eine Remote-Denial-of-Service-Schwachstelle in der Bluetooth-Komponente könnte es einem nahen Angreifer ermöglichen, den Zugriff auf ein betroffenes Gerät zu blockieren. Ein Angreifer könnte einen Überlauf von identifizierten Bluetooth-Geräten in der Bluetooth-Komponente verursachen, was zu einer Speicherbeschädigung und einem Dienststopp führt. Dies wird mit einem hohen Schweregrad bewertet, da es zu einem Denial of Service des Bluetooth-Dienstes führt, der möglicherweise nur durch ein Flashen des Geräts behoben werden könnte.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0830 ANDROID-26071376 Hoch 6.0, 6.0.1 Google-intern

Sicherheitsanfälligkeit bezüglich Offenlegung von Informationen in der Telefonie

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in der Telefonie-Komponente könnte es einer Anwendung ermöglichen, auf vertrauliche Informationen zuzugreifen. Dieses Problem wird mit mittlerem Schweregrad eingestuft, da es für den unsachgemäßen Zugriff auf Daten ohne Genehmigung verwendet werden könnte.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0831 ANDROID-25778215 Mäßig 5.0.2, 5.1.1, 6.0, 6.0.1 16. November 2015

Sicherheitslücke bezüglich Erhöhung von Berechtigungen im Setup-Assistenten

Eine Schwachstelle im Setup-Assistenten könnte es einem Angreifer mit physischem Zugriff auf das Gerät ermöglichen, Zugriff auf Geräteeinstellungen zu erhalten und einen manuellen Geräte-Reset durchzuführen. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es dazu verwendet werden könnte, den Schutz zum Zurücksetzen auf die Werkseinstellungen zu umgehen.

CVE Fehler Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0832 ANDROID-25955042* Mäßig 5.1.1, 6.0, 6.0.1 Google-intern

* Für dieses Update wird kein Quellcode-Patch bereitgestellt.

Häufige Fragen und Antworten

In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Bulletins auftreten können.

1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?

Builds LMY49H oder höher und Android 6.0 mit Sicherheits-Patch-Level vom 1. März 2016 oder höher beheben diese Probleme. Anweisungen zum Überprüfen des Sicherheits-Patch-Levels finden Sie in der Nexus-Dokumentation . Gerätehersteller, die diese Updates enthalten, sollten die Patch-String-Ebene auf: [ro.build.version.security_patch]:[2016-03-01] setzen.

Revisionen

  • 07. März 2016: Bulletin veröffentlicht.
  • 8. März 2016: Bulletin überarbeitet, um AOSP-Links aufzunehmen.