Publicado em 05 de outubro de 2015 | Atualizado em 28 de abril de 2016
Lançamos uma atualização de segurança para dispositivos Nexus por meio de uma atualização over-the-air (OTA) como parte de nosso processo de lançamento mensal do Boletim de segurança do Android. As imagens de firmware do Nexus também foram lançadas no site do Google Developer . As compilações LMY48T ou posterior (como LMY48W) e Android M com nível de patch de segurança de 1º de outubro de 2015 ou posterior resolvem esses problemas. Consulte a documentação do Nexus para obter instruções sobre como verificar o nível do patch de segurança.
Os parceiros foram notificados sobre esses problemas em 10 de setembro de 2015 ou antes. Os patches de código-fonte para esses problemas foram lançados no repositório Android Open Source Project (AOSP).
O mais grave desses problemas é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como email, navegação na Web e MMS ao processar arquivos de mídia. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, supondo que as atenuações da plataforma e do serviço estejam desabilitadas para fins de desenvolvimento ou se forem ignoradas com êxito.
Não tivemos relatos de exploração ativa de clientes desses problemas recém-relatados. Consulte a seção Mitigações para obter detalhes sobre as proteções da plataforma de segurança Android e as proteções de serviço, como SafetyNet, que melhoram a segurança da plataforma Android. Incentivamos todos os clientes a aceitar essas atualizações em seus dispositivos.
Mitigações
Este é um resumo das mitigações fornecidas pela plataforma de segurança Android e proteções de serviço, como SafetyNet. Esses recursos reduzem a probabilidade de que vulnerabilidades de segurança possam ser exploradas com sucesso no Android.
- A exploração de muitos problemas no Android é dificultada pelos aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
- A equipe de segurança do Android está monitorando ativamente o abuso com o Verify Apps e o SafetyNet, que avisará sobre aplicativos potencialmente prejudiciais prestes a serem instalados. As ferramentas de root do dispositivo são proibidas no Google Play. Para proteger os usuários que instalam aplicativos de fora do Google Play, o Verify Apps é ativado por padrão e avisará os usuários sobre aplicativos de root conhecidos. O Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará removê-lo.
- Conforme apropriado, o Google atualizou os aplicativos Hangouts e Messenger para que a mídia não seja passada automaticamente para processos vulneráveis (como mediaserver).
Reconhecimentos
Gostaríamos de agradecer a esses pesquisadores por suas contribuições:
- Brennan Lautner: CVE-2015-3863
- Chiachih Wu e Xuxian Jiang da equipe C0RE da Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
- Yajin Zhou, Lei Wu e Xuxian Jiang da equipe C0RE da Qihoo 360: CVE-2015-3865
- Daniel Micay (daniel.micay@copperhead.co) na Copperhead Security: CVE-2015-3875
- dragonltx da equipe de segurança móvel do Alibaba: CVE-2015-6599
- Ian Beer e Steven Vititoe do Google Project Zero: CVE-2015-6604
- Joaquín Rinaudo (@xeroxnir) e Iván Arce (@4Dgifts) do Programa STIC na Fundação Dr. Manuel Sadosky, Buenos Aires Argentina: CVE-2015-3870
- Josh Drake de Zimperium: CVE-2015-3876, CVE-2015-6602
- Jordan Gruskovnjak da Exodus Intelligence (@jgrusko): CVE-2015-3867
- Peter Pi da Trend Micro: CVE-2015-3872, CVE-2015-3871
- Ping Li da Qihoo 360 Technology Co. Ltd: CVE-2015-3878
- Sete Shen: CVE-2015-6600, CVE-2015-3847
- Wangtao(neobyte) do Baidu X-Team: CVE-2015-6598
- Wish Wu da Trend Micro Inc. (@wish_wu): CVE-2015-3823
- Michael Roland do JR-Center u'smile na University of Applied Sciences, Upper Austria/ Hagenberg: CVE-2015-6606
Também gostaríamos de agradecer as contribuições da equipe de segurança do Chrome, da equipe de segurança do Google, do Project Zero e de outros indivíduos do Google por relatar vários problemas corrigidos neste boletim.
Detalhes da vulnerabilidade de segurança
Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2015-10-01. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, bug associado, gravidade, versões afetadas e data relatada. Quando disponível, vinculamos a alteração do AOSP que abordou o problema ao ID do bug. Quando várias alterações estão relacionadas a um único bug, as referências AOSP adicionais são vinculadas a números após o ID do bug.
Vulnerabilidades de execução remota de código em libstagefright
Existem vulnerabilidades no libstagefright que podem permitir que um invasor, durante o processamento de arquivos de mídia e de dados de um arquivo especialmente criado, cause corrupção de memória e execução remota de código no serviço mediaserver.
Esses problemas são classificados como de gravidade Crítica devido à possibilidade de execução remota de código como um serviço privilegiado. Os componentes afetados têm acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não podem acessar.
| CVE | Bug(s) com links AOSP | Gravidade | Versões afetadas | Data do relatório |
|---|---|---|---|---|
| CVE-2015-3873 | ANDROID-20674086 [ 2 , 3 , 4 ] | Crítico | 5.1 e abaixo | Interno do Google |
| ANDROID-20674674 [ 2 , 3 , 4 ] | ||||
| ANDROID-20718524 | ||||
| ANDROID-21048776 | ||||
| ANDROID-21443020 | ||||
| ANDROID-21814993 | ||||
| ANDROID-22008959 | ||||
| ANDROID-22077698 | ||||
| ANDROID-22388975 | ||||
| ANDROID-22845824 | ||||
| ANDROID-23016072 | ||||
| ANDROID-23247055 | ||||
| ANDROID-23248776 | ||||
| ANDROID-20721050 | Crítico | 5,0 e 5,1 | Interno do Google | |
| CVE-2015-3823 | ANDROID-21335999 | Crítico | 5.1 e abaixo | 20 de maio de 2015 |
| CVE-2015-6600 | ANDROID-22882938 | Crítico | 5.1 e abaixo | 31 de julho de 2015 |
| CVE-2015-6601 | ANDROID-22935234 | Crítico | 5.1 e abaixo | 3 de agosto de 2015 |
| CVE-2015-3869 | ANDROID-23036083 | Crítico | 5.1 e abaixo | 4 de agosto de 2015 |
| CVE-2015-3870 | ANDROID-22771132 | Crítico | 5.1 e abaixo | 5 de agosto de 2015 |
| CVE-2015-3871 | ANDROID-23031033 | Crítico | 5.1 e abaixo | 6 de agosto de 2015 |
| CVE-2015-3868 | ANDROID-23270724 | Crítico | 5.1 e abaixo | 6 de agosto de 2015 |
| CVE-2015-6604 | ANDROID-23129786 | Crítico | 5.1 e abaixo | 11 de agosto de 2015 |
| CVE-2015-3867 | ANDROID-23213430 | Crítico | 5.1 e abaixo | 14 de agosto de 2015 |
| CVE-2015-6603 | ANDROID-23227354 | Crítico | 5.1 e abaixo | 15 de agosto de 2015 |
| CVE-2015-3876 | ANDROID-23285192 | Crítico | 5.1 e abaixo | 15 de agosto de 2015 |
| CVE-2015-6598 | ANDROID-23306638 | Crítico | 5.1 e abaixo | 18 de agosto de 2015 |
| CVE-2015-3872 | ANDROID-23346388 | Crítico | 5.1 e abaixo | 19 de agosto de 2015 |
| CVE-2015-6599 | ANDROID-23416608 | Crítico | 5.1 e abaixo | 21 de agosto de 2015 |
Vulnerabilidades de execução remota de código no Sonivox
Existem vulnerabilidades no Sonivox que podem permitir que um invasor, durante o processamento de arquivos de mídia de um arquivo especialmente criado, cause corrupção de memória e execução remota de código no serviço mediaserver. Esse problema é classificado como de gravidade Crítica devido à possibilidade de execução remota de código como um serviço privilegiado. O componente afetado tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não podem acessar.
| CVE | Bug(s) com links AOSP | Gravidade | Versões afetadas | Data do relatório |
|---|---|---|---|---|
| CVE-2015-3874 | ANDROID-23335715 | Crítico | 5.1 e abaixo | Múltiplo |
| ANDROID-23307276 [ 2 ] | ||||
| ANDROID-23286323 |
Vulnerabilidades de execução remota de código em libutils
Vulnerabilidades no libutils, uma biblioteca genérica, existem no processamento de arquivos de áudio. Essas vulnerabilidades podem permitir que um invasor, durante o processamento de um arquivo especialmente criado, cause corrupção de memória e execução remota de código em um serviço que usa essa biblioteca, como o mediaserver.
A funcionalidade afetada é fornecida como uma API de aplicativo e existem vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia do navegador. Esse problema é classificado como de gravidade Crítica devido à possibilidade de execução remota de código em um serviço privilegiado. O componente afetado tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não podem acessar.
| CVE | Bug(s) com links AOSP | Gravidade | Versões afetadas | Data do relatório |
|---|---|---|---|---|
| CVE-2015-3875 | ANDROID-22952485 | Crítico | 5.1 e abaixo | 15 de agosto de 2015 |
| CVE-2015-6602 | ANDROID-23290056 [ 2 ] | Crítico | 5.1 e abaixo | 15 de agosto de 2015 |
Vulnerabilidade de execução remota de código no Skia
Uma vulnerabilidade no componente Skia pode ser aproveitada ao processar um arquivo de mídia especialmente criado, o que pode causar corrupção de memória e execução remota de código em um processo privilegiado. Esse problema é classificado como de gravidade Crítica devido à possibilidade de execução remota de código por meio de vários métodos de ataque, como e-mail, navegação na Web e MMS ao processar arquivos de mídia.
| CVE | Bug(s) com links AOSP | Gravidade | Versões afetadas | Data do relatório |
|---|---|---|---|---|
| CVE-2015-3877 | ANDROID-20723696 | Crítico | 5.1 e abaixo | 30 de julho de 2015 |
Vulnerabilidades de execução remota de código no libFLAC
Existe uma vulnerabilidade no libFLAC no processamento de arquivos de mídia. Essas vulnerabilidades podem permitir que um invasor, durante o processamento de um arquivo especialmente criado, cause corrupção de memória e execução remota de código.
A funcionalidade afetada é fornecida como uma API de aplicativo e existem vários aplicativos que permitem que ela seja acessada com conteúdo remoto, como reprodução de mídia do navegador. Esse problema é classificado como de gravidade Crítica devido à possibilidade de execução remota de código em um serviço privilegiado. O componente afetado tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não podem acessar.
| CVE | Bug(s) com links AOSP | Gravidade | Versões afetadas | Data do relatório |
|---|---|---|---|---|
| CVE-2014-9028 | ANDROID-18872897 [ 2 ] | Crítico | 5.1 e abaixo | 14 de novembro de 2014 |
Vulnerabilidade de Elevação de Privilégios no KeyStore
Uma vulnerabilidade de elevação de privilégio no componente KeyStore pode ser aproveitada por um aplicativo mal-intencionado ao chamar as APIs do KeyStore. Este aplicativo pode causar corrupção de memória e execução arbitrária de código no contexto do KeyStore. Esse problema é classificado como de alta gravidade porque pode ser usado para acessar privilégios que não são diretamente acessíveis a um aplicativo de terceiros.
| CVE | Bug(s) com links AOSP | Gravidade | Versões afetadas | Data do relatório |
|---|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | Alto | 5.1 e abaixo | 28 de julho de 2015 |
Vulnerabilidade de elevação de privilégios no Media Player Framework
Uma vulnerabilidade de elevação de privilégio no componente da estrutura do media player pode permitir que um aplicativo mal-intencionado execute código arbitrário no contexto do mediaserver. Esse problema é classificado como de alta gravidade porque permite que um aplicativo mal-intencionado acesse privilégios não acessíveis a um aplicativo de terceiros.
| CVE | Bug(s) com links AOSP | Gravidade | Versões afetadas | Data do relatório |
|---|---|---|---|---|
| CVE-2015-3879 | ANDROID-23223325 [2]* | Alto | 5.1 e abaixo | 14 de agosto de 2015 |
* Uma segunda alteração para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .
Vulnerabilidade de elevação de privilégios no Android Runtime
Uma vulnerabilidade de elevação de privilégio no Android Runtime pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.
| CVE | Bug(s) com links AOSP | Gravidade | Versões afetadas | Data do relatório |
|---|---|---|---|---|
| CVE-2015-3865 | ANDROID-23050463 [ 2 ] | Alto | 5.1 e abaixo | 8 de agosto de 2015 |
Elevação de vulnerabilidades de privilégios no Mediaserver
Existem várias vulnerabilidades no mediaserver que podem permitir que um aplicativo malicioso local execute código arbitrário no contexto de um serviço nativo privilegiado. Esse problema é classificado como de alta gravidade porque pode ser usado para acessar privilégios que não podem ser acessados diretamente por um aplicativo de terceiros.
| CVE | Bug(s) com links AOSP | Gravidade | Versões afetadas | Data do relatório |
|---|---|---|---|---|
| CVE-2015-6596 | ANDROID-20731946 | Alto | 5.1 e abaixo | Múltiplo |
| ANDROID-20719651* | ||||
| ANDROID-19573085 | Alto | 5,0 - 6,0 | Interno do Google |
* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .
Vulnerabilidade de Elevação de Privilégios no Kit de Avaliação de Elemento Seguro
Uma vulnerabilidade no plug-in SEEK (Secure Element Evaluation Kit, também conhecido como SmartCard API) pode permitir que um aplicativo obtenha permissões elevadas sem solicitá-las. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a aplicativos de terceiros.
| CVE | Bug(s) com links AOSP | Gravidade | Versões afetadas | Data do relatório |
|---|---|---|---|---|
| CVE-2015-6606 | ANDROID-22301786* | Alto | 5.1 e abaixo | 30 de junho de 2015 |
* A atualização que resolve esse problema está localizada no site SEEK for Android .
Elevação da Vulnerabilidade de Privilégios na Projeção de Mídia
Uma vulnerabilidade no componente de projeção de mídia pode permitir que os dados do usuário sejam divulgados na forma de instantâneos de tela. O problema é resultado do sistema operacional permitir nomes de aplicativos muito longos. O uso desses nomes longos por um aplicativo mal-intencionado local pode impedir que um aviso sobre a gravação de tela seja visível pelo usuário. Esse problema é classificado como gravidade moderada porque pode ser usado para obter permissões elevadas indevidamente.
| CVE | Bug(s) com links AOSP | Gravidade | Versões afetadas | Data do relatório |
|---|---|---|---|---|
| CVE-2015-3878 | ANDROID-23345192 | Moderado | 5,0 - 6,0 | 18 de agosto de 2015 |
Elevação da vulnerabilidade de privilégio no Bluetooth
Uma vulnerabilidade no componente Bluetooth do Android pode permitir que um aplicativo exclua mensagens SMS armazenadas. Esse problema é classificado como gravidade moderada porque pode ser usado para obter permissões elevadas indevidamente.
| CVE | Bug(s) com links AOSP | Gravidade | Versões afetadas | Data do relatório |
|---|---|---|---|---|
| CVE-2015-3847 | ANDROID-22343270 | Moderado | 5.1 e abaixo | 8 de julho de 2015 |
Elevação de vulnerabilidades de privilégios no SQLite
Várias vulnerabilidades foram descobertas no mecanismo de análise SQLite. Essas vulnerabilidades podem ser exploradas por um aplicativo local que pode fazer com que outro aplicativo ou serviço execute consultas SQL arbitrárias. A exploração bem-sucedida pode resultar na execução de código arbitrário no contexto do aplicativo de destino.
Uma correção foi carregada no mestre AOSP em 8 de abril de 2015, atualizando a versão SQLite para 3.8.9: https://android-review.googlesource.com/#/c/145961/
Este boletim contém patches para as versões do SQLite no Android 4.4 (SQLite 3.7.11) e Android 5.0 e 5.1 (SQLite 3.8.6).
| CVE | Bug(s) com links AOSP | Gravidade | Versões afetadas | Data do relatório |
|---|---|---|---|---|
| CVE-2015-6607 | ANDROID-20099586 | Moderado | 5.1 e abaixo | 7 de abril de 2015 Conhecido publicamente |
Vulnerabilidades de negação de serviço no Mediaserver
Existem várias vulnerabilidades no mediaserver que podem causar uma negação de serviço ao travar o processo do mediaserver. Esses problemas são classificados como de gravidade baixa porque o efeito é experimentado por uma falha do servidor de mídia, resultando em uma negação de serviço local temporária.
| CVE | Bug(s) com links AOSP | Gravidade | Versões afetadas | Data do relatório |
|---|---|---|---|---|
| CVE-2015-6605 | ANDROID-20915134 | Baixo | 5.1 e abaixo | Interno do Google |
| ANDROID-23142203 | ||||
| ANDROID-22278703 | Baixo | 5,0 - 6,0 | Interno do Google | |
| CVE-2015-3862 | ANDROID-22954006 | Baixo | 5.1 e abaixo | 2 de agosto de 2015 |
Revisões
- 05 de outubro de 2015: Boletim publicado.
- 07 de outubro de 2015: Boletim atualizado com referências AOSP. Esclarecidas as referências de bug para CVE-2014-9028.
- 12 de outubro de 2015: Reconhecimentos atualizados para CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
- 22 de janeiro de 2016: Agradecimentos atualizados para CVE-2015-6606.
- 28 de abril de 2016: Adicionado CVE-2015-6603 e erro de digitação corrigido com CVE-2014-9028.