Bollettino sulla sicurezza di Nexus: gennaio 2016

Pubblicato il 4 gennaio 2016 | Aggiornato il 28 aprile 2016

Abbiamo rilasciato un aggiornamento di sicurezza per i dispositivi Nexus tramite un aggiornamento over-the-air (OTA) come parte del nostro processo di rilascio mensile del bollettino sulla sicurezza di Android. Le immagini del firmware del Nexus sono state rilasciate anche sul sito degli sviluppatori di Google . Le build LMY49F o successive e Android 6.0 con livello di patch di sicurezza del 1 gennaio 2016 o successivo risolvono questi problemi. Fare riferimento alla sezione Domande e risposte comuni per maggiori dettagli.

I partner sono stati informati e hanno fornito aggiornamenti per i problemi descritti in questo bollettino il 7 dicembre 2015 o prima. Ove applicabile, le patch del codice sorgente per questi problemi sono state rilasciate nel repository Android Open Source Project (AOSP).

Il più grave di questi problemi è una vulnerabilità critica della sicurezza che potrebbe consentire l'esecuzione di codice remoto su un dispositivo interessato attraverso più metodi come e-mail, navigazione Web e MMS durante l'elaborazione di file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, presupponendo che le mitigazioni della piattaforma e del servizio siano disabilitate per scopi di sviluppo o se aggirate con successo.

Non abbiamo ricevuto segnalazioni di sfruttamento attivo da parte dei clienti di questi problemi appena segnalati. Fare riferimento alla sezione Mitigazioni per dettagli sulle protezioni della piattaforma di sicurezza Android e sulle protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android. Incoraggiamo tutti i clienti ad accettare questi aggiornamenti sui propri dispositivi.

Mitigazioni

Questo è un riepilogo delle mitigazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni dei servizi come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità della sicurezza possano essere sfruttate con successo su Android.

  • Lo sfruttamento di molti problemi su Android è reso più difficile dai miglioramenti apportati alle versioni più recenti della piattaforma Android. Incoraggiamo tutti gli utenti ad aggiornare all'ultima versione di Android, ove possibile.
  • Il team di sicurezza Android sta monitorando attivamente eventuali abusi con Verify Apps e SafetyNet che avviseranno delle applicazioni potenzialmente dannose che stanno per essere installate. Gli strumenti di rooting del dispositivo sono vietati in Google Play. Per proteggere gli utenti che installano applicazioni dall'esterno di Google Play, Verifica app è abilitato per impostazione predefinita e avviserà gli utenti delle applicazioni di rooting note. Verify Apps tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di escalation dei privilegi. Se tale applicazione è già stata installata, Verify Apps avviserà l'utente e tenterà di rimuovere tali applicazioni.
  • A seconda dei casi, le applicazioni Google Hangouts e Messenger non trasmettono automaticamente i contenuti multimediali a processi come mediaserver.

Ringraziamenti

Desideriamo ringraziare questi ricercatori per il loro contributo:

  • Abhishek Arya, Oliver Chang e Martin Barbella del team di sicurezza di Google Chrome: CVE-2015-6636
  • Sen Nie ( @nforest_ ) e jfang del laboratorio KEEN, Tencent ( @K33nTeam ): CVE-2015-6637
  • Yabin Cui dell'Android Bionic Team: CVE-2015-6640
  • Tom Craig di Google X: CVE-2015-6641
  • Jann Horn ( https://thejh.net ): CVE-2015-6642
  • Jouni Malinen PGP id EFC895FA: CVE-2015-5310
  • Quan Nguyen del team di ingegneri della sicurezza informatica di Google: CVE-2015-6644
  • Gal Beniamini ( @laginimaineb , http://bits-please.blogspot.com ): CVE-2015-6639

Dettagli sulla vulnerabilità della sicurezza

Nelle sezioni seguenti, forniamo dettagli per ciascuna delle vulnerabilità della sicurezza che si applicano al livello di patch 2016-01-01. È presente una descrizione del problema, una motivazione di gravità e una tabella con il CVE, il bug associato, la gravità, le versioni aggiornate e la data segnalata. Quando disponibile, collegheremo la modifica AOSP che ha risolto il problema all'ID del bug. Quando più modifiche riguardano un singolo bug, ulteriori riferimenti AOSP sono collegati a numeri che seguono l'ID del bug.

Vulnerabilità legata all'esecuzione di codice in modalità remota nel Mediaserver

Durante l'elaborazione di file multimediali e dati di un file appositamente predisposto, le vulnerabilità nel mediaserver potrebbero consentire a un utente malintenzionato di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota come processo del mediaserver.

La funzionalità interessata viene fornita come parte fondamentale del sistema operativo ed esistono diverse applicazioni che consentono di raggiungerla con contenuti remoti, in particolare MMS e riproduzione di contenuti multimediali tramite browser.

Questo problema è classificato come grave a causa della possibilità di esecuzione di codice remoto nel contesto del servizio mediaserver. Il servizio mediaserver ha accesso a flussi audio e video, nonché accesso a privilegi a cui normalmente le app di terze parti non possono accedere.

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6636 ANDROID-25070493 Critico 5.0, 5.1.1, 6.0, 6.0.1 Interno di Google
ANDROID-24686670 Critico 5.0, 5.1.1, 6.0, 6.0.1 Interno di Google

Elevazione della vulnerabilità dei privilegi nel driver misc-sd

Una vulnerabilità che aumenta i privilegi nel driver misc-sd di MediaTek potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario all'interno del kernel. Questo problema è classificato come grave a causa della possibilità di una compromissione permanente del dispositivo locale, nel qual caso potrebbe essere necessario riparare il dispositivo eseguendo nuovamente il flashing del sistema operativo.

CVE Bug(i) Gravità Versioni aggiornate Data riportata
CVE-2015-6637 ANDROID-25307013* Critico 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26 ottobre 2015

* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito degli sviluppatori di Google .

Elevazione della vulnerabilità dei privilegi nel driver Imagination Technologies

Una vulnerabilità che aumenta i privilegi in un driver del kernel di Imagination Technologies potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario all'interno del kernel. Questo problema è classificato come grave a causa della possibilità di una compromissione permanente del dispositivo locale, nel qual caso potrebbe essere necessario riparare il dispositivo eseguendo nuovamente il flashing del sistema operativo.

CVE Bug(i) Gravità Versioni aggiornate Data riportata
CVE-2015-6638 ANDROID-24673908* Critico 5.0, 5.1.1, 6.0, 6.0.1 Interno di Google

* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito degli sviluppatori di Google .

Elevazione delle vulnerabilità dei privilegi in Trustzone

L'aumento delle vulnerabilità dei privilegi nell'applicazione Widevine QSEE TrustZone potrebbe consentire a un'applicazione compromessa e privilegiata con accesso a QSEECOM di eseguire codice arbitrario nel contesto Trustzone. Questo problema è classificato come grave a causa della possibilità di una compromissione permanente del dispositivo locale, nel qual caso potrebbe essere necessario riparare il dispositivo eseguendo nuovamente il flashing del sistema operativo.

CVE Bug(i) Gravità Versioni aggiornate Data riportata
CVE-2015-6639 ANDROID-24446875* Critico 5.0, 5.1.1, 6.0, 6.0.1 23 settembre 2015
CVE-2015-6647 ANDROID-24441554* Critico 5.0, 5.1.1, 6.0, 6.0.1 27 settembre 2015

* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito degli sviluppatori di Google .

Elevazione della vulnerabilità dei privilegi nel kernel

Una vulnerabilità legata all'elevazione dei privilegi nel kernel potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel kernel. Questo problema è classificato come grave a causa della possibilità di una compromissione permanente del dispositivo locale, nel qual caso potrebbe essere necessario riparare il dispositivo eseguendo nuovamente il flashing del sistema operativo.

CVE Bug(i) con il collegamento AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6640 ANDROID-20017123 Critico 4.4.4, 5.0, 5.1.1, 6.0 Interno di Google

Elevazione della vulnerabilità dei privilegi in Bluetooth

Una vulnerabilità che aumenta i privilegi nel componente Bluetooth potrebbe consentire a un dispositivo remoto accoppiato tramite Bluetooth di accedere alle informazioni private dell'utente (Contatti). Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere funzionalità " pericolose " da remoto; queste autorizzazioni sono accessibili solo alle applicazioni di terze parti installate localmente.

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6641 ANDROID-23607427 [ 2 ] Alto 6.0, 6.0.1 Interno di Google

Vulnerabilità nella divulgazione di informazioni nel kernel

Una vulnerabilità nella divulgazione di informazioni nel kernel potrebbe consentire di aggirare le misure di sicurezza in atto per aumentare la difficoltà degli aggressori nello sfruttamento della piattaforma. Questi problemi sono classificati come di gravità elevata perché potrebbero essere utilizzati anche per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili ad applicazioni di terze parti.

CVE Bug(i) Gravità Versioni aggiornate Data riportata
CVE-2015-6642 ANDROID-24157888* Alto 4.4.4, 5.0, 5.1.1, 6.0 12 settembre 2015

* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito degli sviluppatori di Google .

Elevazione della vulnerabilità dei privilegi nella configurazione guidata

Una vulnerabilità legata all'elevazione dei privilegi nella configurazione guidata potrebbe consentire a un utente malintenzionato con accesso fisico al dispositivo di accedere alle impostazioni del dispositivo ed eseguire un ripristino manuale del dispositivo. Questo problema è classificato come di gravità moderata perché potrebbe essere utilizzato per aggirare in modo improprio la protezione del ripristino delle impostazioni di fabbrica.

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6643 ANDROID-25290269 [ 2 ] Moderare 5.1.1, 6.0, 6.0.1 Interno di Google

Elevazione della vulnerabilità dei privilegi nel Wi-Fi

Una vulnerabilità che aumenta i privilegi nel componente Wi-Fi potrebbe consentire a un utente malintenzionato nelle vicinanze di ottenere l'accesso alle informazioni relative al servizio Wi-Fi. Un dispositivo è vulnerabile a questo problema solo quando si trova in prossimità locale. Questo problema è classificato come di gravità moderata perché potrebbe essere utilizzato per acquisire funzionalità " normali " da remoto; queste autorizzazioni sono accessibili solo alle applicazioni di terze parti installate localmente.

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-5310 ANDROID-25266660 Moderare 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 ottobre 2015

Vulnerabilità nella divulgazione di informazioni nel castello gonfiabile

Una vulnerabilità legata alla divulgazione di informazioni in Bouncy Castle potrebbe consentire a un'applicazione dannosa locale di ottenere l'accesso alle informazioni private dell'utente. Questo problema è classificato con gravità moderata perché potrebbe essere utilizzato per ottenere in modo improprio autorizzazioni " pericolose ".

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6644 ANDROID-24106146 Moderare 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 Interno di Google

Vulnerabilità di tipo Denial of Service in SyncManager

Una vulnerabilità di tipo Denial of Service in SyncManager potrebbe consentire a un'applicazione dannosa locale di causare un ciclo di riavvio. Questo problema è classificato come di gravità moderata perché potrebbe essere utilizzato per causare una negazione del servizio temporanea a livello locale che potrebbe dover essere risolta tramite un ripristino delle impostazioni di fabbrica.

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2015-6645 ANDROID-23591205 Moderare 4.4.4, 5.0, 5.1.1, 6.0 Interno di Google

Riduzione della superficie di attacco per i kernel Nexus

SysV IPC non è supportato in nessun kernel Android. Lo abbiamo rimosso dal sistema operativo poiché espone un'ulteriore superficie di attacco che non aggiunge funzionalità al sistema che potrebbero essere sfruttate da applicazioni dannose. Inoltre, gli IPC System V non sono conformi al ciclo di vita delle applicazioni Android perché le risorse allocate non possono essere liberate dal gestore della memoria, con conseguente perdita globale di risorse del kernel. Questa modifica risolve problemi come CVE-2015-7613.

CVE Bug(i) Gravità Versioni aggiornate Data riportata
CVE-2015-6646 ANDROID-22300191* Moderare 6.0 Interno di Google

* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito degli sviluppatori di Google .

Domande e risposte comuni

In questa sezione vengono esaminate le risposte alle domande più comuni che potrebbero sorgere dopo aver letto questo bollettino.

1. Come posso determinare se il mio dispositivo è aggiornato per risolvere questi problemi?

Le build LMY49F o successive e Android 6.0 con livello di patch di sicurezza del 1 gennaio 2016 o successivo risolvono questi problemi. Fare riferimento alla documentazione del Nexus per istruzioni su come verificare il livello della patch di sicurezza. I produttori di dispositivi che includono questi aggiornamenti dovrebbero impostare il livello della stringa di patch su: [ro.build.version.security_patch]:[2016-01-01]

Revisioni

  • 4 gennaio 2016: pubblicato il bollettino.
  • 6 gennaio 2016: bollettino rivisto per includere collegamenti AOSP.
  • 28 aprile 2016: rimosso CVE-2015-6617 dai Ringraziamenti e aggiunto CVE-2015-6647 alla tabella di riepilogo