Nexus-Sicherheitsbulletin – Dezember 2015

Veröffentlicht am 07. Dezember 2015 | Aktualisiert am 7. März 2016

Im Rahmen unseres monatlichen Veröffentlichungsprozesses für Android Security Bulletin haben wir ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht. Builds LMY48Z oder höher und Android 6.0 mit Sicherheitspatch-Level vom 1. Dezember 2015 oder höher beheben diese Probleme. Weitere Einzelheiten finden Sie im Abschnitt „Häufige Fragen und Antworten“ .

Die Partner wurden am 2. November 2015 oder früher über diese Probleme informiert und haben entsprechende Updates bereitgestellt. Gegebenenfalls wurden Quellcode-Patches für diese Probleme im Android Open Source Project (AOSP)-Repository veröffentlicht.

Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die bei der Verarbeitung von Mediendateien die Remote-Codeausführung auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Webbrowsing und MMS ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät hätte, vorausgesetzt, dass die Plattform- und Service-Abhilfemaßnahmen für Entwicklungszwecke deaktiviert oder erfolgreich umgangen werden.

Uns liegen keine Berichte über eine aktive Ausnutzung dieser neu gemeldeten Probleme durch Kunden vor. Einzelheiten zu den Schutzmaßnahmen der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt „ Abhilfemaßnahmen “. Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.

Abhilfemaßnahmen

Dies ist eine Zusammenfassung der Abhilfemaßnahmen, die die Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bieten. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden können.

  • Die Ausnutzung vieler Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht aktiv Missbrauch mit Verify Apps und SafetyNet, das vor der Installation potenziell schädlicher Anwendungen warnt. Geräte-Rooting-Tools sind bei Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist Verify Apps standardmäßig aktiviert und warnt Benutzer vor bekannten Root-Anwendungen. Verify Apps versucht, die Installation bekannter schädlicher Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitslücke bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
  • Gegebenenfalls leiten Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie Mediaserver weiter.

Danksagungen

Wir möchten diesen Forschern für ihre Beiträge danken:

  • Abhishek Arya, Oliver Chang und Martin Barbella vom Google Chrome-Sicherheitsteam: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , CVE-2015-6634
  • Flanker ( @flanker_hqd ) von KeenTeam ( @K33nTeam ): CVE-2015-6620
  • Guang Gong (龚广) ( @oldfresher , higongguang@gmail.com) von Qihoo 360 Technology Co.Ltd : CVE-2015-6626
  • Mark Carter ( @hanpingchinese ) von EmberMitre Ltd: CVE-2015-6630
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2015-6621
  • Natalie Silvanovich von Google Project Zero: CVE-2015-6616
  • Peter Pi von Trend Micro: CVE-2015-6616, CVE-2015-6628
  • Qidan He ( @flanker_hqd ) und Marco Grassi ( @marcograss ) von KeenTeam ( @K33nTeam ): CVE-2015-6622
  • Tzu-Yin (Nina) Tai: CVE-2015-6627
  • Joaquín Rinaudo ( @xeroxnir ) von Programa STIC bei Fundación Dr. Manuel Sadosky, Buenos Aires, Argentinien: CVE-2015-6631
  • Wangtao (Neobyte) von Baidu X-Team: CVE-2015-6626

Details zur Sicherheitslücke

In den folgenden Abschnitten stellen wir Einzelheiten zu den einzelnen Sicherheitslücken bereit, die für den Patch-Level 2015-12-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den aktualisierten Versionen und dem gemeldeten Datum. Sobald verfügbar, verknüpfen wir die AOSP-Änderung, die das Problem behoben hat, mit der Fehler-ID. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern verknüpft, die der Fehler-ID folgen.

Sicherheitslücken bei der Remotecodeausführung in Mediaserver

Während der Mediendatei und der Datenverarbeitung einer speziell gestalteten Datei könnten Schwachstellen im Medienserver einem Angreifer ermöglichen, Speicherbeschädigungen und Remotecodeausführung als Medienserverprozess zu verursachen.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt und es gibt mehrere Anwendungen, die den Zugriff auf Remote-Inhalte ermöglichen, insbesondere MMS und Browser-Wiedergabe von Medien.

Dieses Problem wird aufgrund der Möglichkeit einer Remotecodeausführung im Kontext des Mediaserver-Dienstes als „Kritisch“ eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6616 ANDROID-24630158 Kritisch 6,0 und darunter Google-intern
ANDROID-23882800 Kritisch 6,0 und darunter Google-intern
ANDROID-17769851 Kritisch 5.1 und darunter Google-intern
ANDROID-24441553 Kritisch 6,0 und darunter 22. September 2015
ANDROID-24157524 Kritisch 6,0 08.09.2015

Sicherheitslücke bezüglich Remotecodeausführung in Skia

Bei der Verarbeitung einer speziell gestalteten Mediendatei kann eine Sicherheitslücke in der Skia-Komponente ausgenutzt werden, die zu Speicherbeschädigung und Remotecodeausführung in einem privilegierten Prozess führen kann. Dieses Problem wird als „Kritisch“ eingestuft, da bei der Verarbeitung von Mediendateien die Möglichkeit einer Remotecodeausführung durch mehrere Angriffsmethoden wie E-Mail, Webbrowsing und MMS besteht.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6617 ANDROID-23648740 Kritisch 6,0 und darunter Google-intern

Erhöhung der Berechtigungen im Kernel

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Systemkernel könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Root-Kontext des Geräts auszuführen. Dieses Problem wird als kritisch eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht und das Gerät nur durch ein erneutes Flashen des Betriebssystems repariert werden konnte.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6619 ANDROID-23520714 Kritisch 6,0 und darunter 7. Juni 2015

Sicherheitslücken bei der Remotecodeausführung im Anzeigetreiber

Es gibt Schwachstellen in den Anzeigetreibern, die bei der Verarbeitung einer Mediendatei zu Speicherbeschädigungen und möglicherweise zur Ausführung willkürlichen Codes im Kontext des vom Medienserver geladenen Benutzermodustreibers führen können. Dieses Problem wird als „Kritisch“ eingestuft, da bei der Verarbeitung von Mediendateien die Möglichkeit einer Remotecodeausführung durch mehrere Angriffsmethoden wie E-Mail, Webbrowsing und MMS besteht.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6633 ANDROID-23987307* Kritisch 6,0 und darunter Google-intern
CVE-2015-6634 ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] Kritisch 5.1 und darunter Google-intern

*Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bezüglich Remotecodeausführung in Bluetooth

Eine Sicherheitslücke in der Bluetooth-Komponente von Android könnte die Remote-Codeausführung ermöglichen. Bevor dies geschehen kann, sind jedoch mehrere manuelle Schritte erforderlich. Dazu ist ein erfolgreich gekoppeltes Gerät erforderlich, nachdem das PAN-Profil (Personal Area Network) aktiviert wurde (z. B. mithilfe von Bluetooth-Tethering) und das Gerät gekoppelt wurde. Die Remote-Codeausführung wäre dem Bluetooth-Dienst vorbehalten. Ein Gerät ist für dieses Problem nur durch ein erfolgreich gekoppeltes Gerät anfällig, wenn es sich in lokaler Nähe befindet.

Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da ein Angreifer aus der Ferne beliebigen Code nur dann ausführen kann, wenn mehrere manuelle Schritte ausgeführt werden, und zwar von einem lokal in der Nähe befindlichen Angreifer, dem es zuvor erlaubt war, ein Gerät zu koppeln.

CVE Fehler Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6618 ANDROID-24595992* Hoch 4.4, 5.0 und 5.1 28. September 2015

*Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücken bezüglich der Erhöhung von Berechtigungen in libstagefright

Es gibt mehrere Schwachstellen in libstagefright, die es einer lokalen Schadanwendung ermöglichen könnten, beliebigen Code im Kontext des Mediaserver-Dienstes auszuführen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es dazu genutzt werden könnte, erweiterte Funktionen zu erlangen, wie z. B. Signature- oder SignatureOrSystem -Berechtigungen, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6620 ANDROID-24123723 Hoch 6,0 und darunter 10. September 2015
ANDROID-24445127 Hoch 6,0 und darunter 2. September 2015

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in SystemUI

Beim Einstellen eines Alarms mithilfe der Uhranwendung kann eine Sicherheitslücke in der SystemUI-Komponente dazu führen, dass eine Anwendung eine Aufgabe mit einer erhöhten Berechtigungsstufe ausführt. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es dazu genutzt werden könnte, erweiterte Funktionen zu erlangen, wie z. B. Signature- oder SignatureOrSystem -Berechtigungen, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6621 ANDROID-23909438 Hoch 5.0, 5.1 und 6.0 7. September 2015

Sicherheitslücke bezüglich der Offenlegung von Informationen in der Native Frameworks-Bibliothek

Eine Sicherheitslücke bezüglich der Offenlegung von Informationen in der Android Native Frameworks Library könnte eine Umgehung bestehender Sicherheitsmaßnahmen ermöglichen, um die Schwierigkeit für Angreifer zu erhöhen, die Plattform auszunutzen. Diese Probleme werden als „Hoher Schweregrad“ eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen wie Signature- oder SignatureOrSystem -Berechtigungen zu erlangen, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6622 ANDROID-23905002 Hoch 6,0 und darunter 7. September 2015

Sicherheitslücke bezüglich der Erhöhung von Privilegien in Wi-Fi

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Wi-Fi könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext eines erhöhten Systemdienstes auszuführen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es dazu verwendet werden könnte, erweiterte Funktionen zu erlangen, wie z. B. Signature- oder SignatureOrSystem -Berechtigungen, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6623 ANDROID-24872703 Hoch 6,0 Google-intern

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Systemserver

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Systemserver-Komponente könnte es einer lokalen Schadanwendung ermöglichen, Zugriff auf dienstbezogene Informationen zu erhalten. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es dazu genutzt werden könnte, erweiterte Funktionen zu erlangen, wie z. B. Signature- oder SignatureOrSystem -Berechtigungen, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6624 ANDROID-23999740 Hoch 6,0 Google-intern

Sicherheitslücken bei der Offenlegung von Informationen in libstagefright

In libstagefright gibt es Sicherheitslücken bei der Offenlegung von Informationen, die während der Kommunikation mit Mediaserver eine Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen könnten, um es Angreifern zu erschweren, die Plattform auszunutzen. Diese Probleme werden als „Hoher Schweregrad“ eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen wie Signature- oder SignatureOrSystem -Berechtigungen zu erlangen, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6632 ANDROID-24346430 Hoch 6,0 und darunter Google-intern
CVE-2015-6626 ANDROID-24310423 Hoch 6,0 und darunter 2. September 2015
CVE-2015-6631 ANDROID-24623447 Hoch 6,0 und darunter 21. August 2015

Sicherheitslücke bei der Offenlegung von Informationen in Audio

Bei der Verarbeitung von Audiodateien könnte eine Schwachstelle in der Audiokomponente ausgenutzt werden. Diese Sicherheitslücke könnte es einer lokalen Schadanwendung ermöglichen, während der Verarbeitung einer speziell gestalteten Datei die Offenlegung von Informationen zu bewirken. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es dazu genutzt werden könnte, erweiterte Funktionen zu erlangen, wie z. B. Signature- oder SignatureOrSystem -Berechtigungen, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6627 ANDROID-24211743 Hoch 6,0 und darunter Google-intern

Sicherheitslücke bei der Offenlegung von Informationen im Media Framework

Im Media Framework gibt es eine Sicherheitslücke bezüglich der Offenlegung von Informationen, die während der Kommunikation mit dem Medienserver eine Umgehung bestehender Sicherheitsmaßnahmen ermöglichen könnte, um es Angreifern zu erschweren, die Plattform auszunutzen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es auch dazu verwendet werden könnte, erweiterte Funktionen zu erlangen, wie z. B. Signature- oder SignatureOrSystem -Berechtigungen, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6628 ANDROID-24074485 Hoch 6,0 und darunter 8. September 2015

Sicherheitslücke bei der Offenlegung von Informationen im WLAN

Eine Schwachstelle in der Wi-Fi-Komponente könnte es einem Angreifer ermöglichen, den Wi-Fi-Dienst zur Offenlegung von Informationen zu veranlassen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es dazu genutzt werden könnte, erweiterte Funktionen zu erlangen, wie z. B. Signature- oder SignatureOrSystem -Berechtigungen, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6629 ANDROID-22667667 Hoch 5.1 und 5.0 Google-intern

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Systemserver

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Systemserver könnte es einer lokalen Schadanwendung ermöglichen, Zugriff auf Informationen zu Wi-Fi-Diensten zu erhalten. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es dazu genutzt werden könnte, auf unrechtmäßige Weise „ gefährliche “ Berechtigungen zu erlangen.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6625 ANDROID-23936840 Mäßig 6,0 Google-intern

Sicherheitslücke bezüglich der Offenlegung von Informationen in SystemUI

Eine Sicherheitslücke zur Offenlegung von Informationen in der SystemUI könnte es einer lokalen Schadanwendung ermöglichen, Zugriff auf Screenshots zu erhalten. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es dazu genutzt werden könnte, auf unrechtmäßige Weise „ gefährliche “ Berechtigungen zu erlangen.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2015-6630 ANDROID-19121797 Mäßig 5.0, 5.1 und 6.0 22. Januar 2015

Häufige Fragen und Antworten

In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Bulletins auftreten können.

1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?

Builds LMY48Z oder höher und Android 6.0 mit Sicherheitspatch-Level vom 1. Dezember 2015 oder höher beheben diese Probleme. Anweisungen zum Überprüfen des Sicherheitspatch-Levels finden Sie in der Nexus-Dokumentation . Gerätehersteller, die diese Updates enthalten, sollten die Patch-String-Ebene auf Folgendes festlegen: [ro.build.version.security_patch]:[2015-12-01]

Überarbeitungen

  • 7. Dezember 2015: Ursprünglich veröffentlicht
  • 9. Dezember 2015: Bulletin überarbeitet, um AOSP-Links aufzunehmen.
  • 22. Dezember 2015: Fehlende Quellenangabe zum Danksagungsabschnitt hinzugefügt.
  • 7. März 2016: Fehlende Quellenangabe zum Abschnitt Danksagungen hinzugefügt.