Nexus-Sicherheitsbulletin – Februar 2016

Veröffentlicht am 1. Februar 2016 | Aktualisiert am 7. März 2016

Im Rahmen unseres monatlichen Veröffentlichungsprozesses für Android Security Bulletin haben wir ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht. Builds LMY49G oder höher und Android M mit Sicherheitspatch-Level vom 1. Februar 2016 oder höher beheben diese Probleme. Anweisungen zum Überprüfen des Sicherheitspatch-Levels finden Sie in der Nexus-Dokumentation .

Die Partner wurden am 4. Januar 2016 oder früher über die im Bulletin beschriebenen Probleme informiert. Gegebenenfalls wurden Quellcode-Patches für diese Probleme im Android Open Source Project (AOSP)-Repository veröffentlicht.

Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die bei der Verarbeitung von Mediendateien die Remote-Codeausführung auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Webbrowsing und MMS ermöglichen könnte. Die Schwachstelle bezüglich Remotecodeausführung im Wi-Fi-Treiber von Broadcom weist ebenfalls den Schweregrad „Kritisch“ auf, da sie die Remotecodeausführung auf einem betroffenen Gerät ermöglichen könnte, während es mit demselben Netzwerk wie der Angreifer verbunden ist. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät hätte, vorausgesetzt, dass die Plattform- und Service-Abhilfemaßnahmen für Entwicklungszwecke deaktiviert oder erfolgreich umgangen werden.

Uns liegen keine Berichte über eine aktive Ausnutzung dieser neu gemeldeten Probleme durch Kunden vor. Einzelheiten zu den Schutzmaßnahmen der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt „Abhilfemaßnahmen“. Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.

Abhilfemaßnahmen

Dies ist eine Zusammenfassung der Abhilfemaßnahmen, die die Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bieten. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden können.

  • Die Ausnutzung vieler Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht aktiv Missbrauch mit Verify Apps und SafetyNet, das vor der Installation potenziell schädlicher Anwendungen warnt. Geräte-Rooting-Tools sind bei Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist Verify Apps standardmäßig aktiviert und warnt Benutzer vor bekannten Root-Anwendungen. Verify Apps versucht, die Installation bekannter schädlicher Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitslücke bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
  • Gegebenenfalls leiten Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie Mediaserver weiter.

Danksagungen

Wir möchten diesen Forschern für ihre Beiträge danken:

  • Android- und Chrome-Sicherheitsteam: CVE-2016-0809, CVE-2016-0810
  • Broadgate-Team: CVE-2016-0801, CVE-2015-0802
  • Chiachih Wu ( @chiachih_wu ), Mingjian Zhou ( @Mingjian_Zhou ) und Xuxian Jiang vom C0RE-Team , Qihoo 360 : CVE-2016-0804
  • David Riley vom Google Pixel C-Team: CVE-2016-0812
  • Gengjia Chen ( @chengjia4574 ) von Lab IceSword, Qihoo 360: CVE-2016-0805
  • Qidan He ( @Flanker_hqd ) von KeenLab ( @keen_lab ), Tencent: CVE-2016-0811
  • Seven Shen ( @lingtongshen ) von Trend Micro ( www.trendmicro.com ): CVE-2016-0803
  • Weichao Sun ( @sunblate ) von Alibaba Inc: CVE-2016-0808
  • Zach Riggle ( *ebeip90 ) vom Android-Sicherheitsteam: CVE-2016-0807

Details zur Sicherheitslücke

In den folgenden Abschnitten stellen wir Einzelheiten zu den einzelnen Sicherheitslücken bereit, die für den Patch-Level 2016-02-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den betroffenen Versionen und dem gemeldeten Datum. Sofern verfügbar, verknüpfen wir den AOSP-Commit, der das Problem behoben hat, mit der Fehler-ID. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern verknüpft, die der Fehler-ID folgen.

Sicherheitslücke bezüglich Remotecodeausführung im Broadcom Wi-Fi-Treiber

Mehrere Sicherheitslücken bei der Remote-Ausführung im Wi-Fi-Treiber von Broadcom könnten es einem Remote-Angreifer ermöglichen, speziell gestaltete Wireless-Control-Nachrichtenpakete zu verwenden, um den Kernel-Speicher auf eine Weise zu beschädigen, die zu einer Remote-Codeausführung im Kontext des Kernels führt. Diese Schwachstellen können ausgelöst werden, wenn der Angreifer und das Opfer mit demselben Netzwerk verbunden sind. Dieses Problem wird als kritisch eingestuft, da die Möglichkeit einer Remotecodeausführung im Kontext des Kernels besteht, ohne dass eine Benutzerinteraktion erforderlich ist.

CVE Käfer Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0801 ANDROID-25662029
ANDROID-25662233
Kritisch 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25. Okt. 2015
CVE-2016-0802 ANDROID-25306181 Kritisch 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26. Okt. 2015

Sicherheitslücke bezüglich Remotecodeausführung in Mediaserver

Während der Mediendatei und der Datenverarbeitung einer speziell gestalteten Datei könnten Schwachstellen im Medienserver einem Angreifer ermöglichen, Speicherbeschädigungen und Remotecodeausführung als Medienserverprozess zu verursachen.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt und es gibt mehrere Anwendungen, die den Zugriff auf Remote-Inhalte ermöglichen, insbesondere MMS und Browser-Wiedergabe von Medien.

Dieses Problem wird aufgrund der Möglichkeit einer Remotecodeausführung im Kontext des Mediaserver-Dienstes als „Kritisch“ eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0803 ANDROID-25812794 Kritisch 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 19. November 2015
CVE-2016-0804 ANDROID-25070434 Kritisch 5.0, 5.1.1, 6.0, 6.0.1 12. Okt. 2015

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm-Leistungsmodul

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Performance-Event-Manager-Komponente für ARM-Prozessoren von Qualcomm könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code innerhalb des Kernels auszuführen. Dieses Problem wird als „Kritisch“ eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht und das Gerät möglicherweise durch ein erneutes Flashen des Betriebssystems repariert werden muss.

CVE Insekt Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0805 ANDROID-25773204* Kritisch 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 15. November 2015

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm Wi-Fi-Treiber

Im Qualcomm Wi-Fi-Treiber besteht eine Sicherheitslücke, die es einer lokalen Schadanwendung ermöglichen könnte, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Kritisch“ eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht und das Gerät möglicherweise durch ein erneutes Flashen des Betriebssystems repariert werden muss.

CVE Insekt Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0806 ANDROID-25344453* Kritisch 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 15. November 2015

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Debuggerd

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Debuggerd-Komponente könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Root-Kontext des Geräts auszuführen. Dieses Problem wird als „Kritisch“ eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht und das Gerät möglicherweise durch ein erneutes Flashen des Betriebssystems repariert werden muss.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0807 ANDROID-25187394 Kritisch 6.0 und 6.0.1 Google-intern

Denial-of-Service-Sicherheitslücke in Minikin

Eine Denial-of-Service-Schwachstelle in der Minikin-Bibliothek könnte es einem lokalen Angreifer ermöglichen, den Zugriff auf ein betroffenes Gerät vorübergehend zu blockieren. Ein Angreifer könnte das Laden einer nicht vertrauenswürdigen Schriftart verursachen und einen Überlauf in der Minikin-Komponente verursachen, der zu einem Absturz führt. Dies wird als hoher Schweregrad eingestuft, da Denial of Service zu einer kontinuierlichen Neustartschleife führt.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0808 ANDROID-25645298 Hoch 5.0, 5.1.1, 6.0, 6.0.1 3. November 2015

Sicherheitslücke bezüglich der Erhöhung von Privilegien in Wi-Fi

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Wi-Fi-Komponente könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Systemkontext auszuführen. Ein Gerät ist für dieses Problem nur dann anfällig, wenn es sich in lokaler Nähe befindet. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es dazu genutzt werden könnte, „ normale “ Funktionen aus der Ferne zu erlangen. Im Allgemeinen sind diese Berechtigungen nur für lokal installierte Drittanbieteranwendungen zugänglich.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0809 ANDROID-25753768 Hoch 6.0, 6.0.1 Google-intern

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Mediaserver

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Medienserver könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext einer erhöhten Systemanwendung auszuführen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es dazu verwendet werden könnte, erweiterte Funktionen zu erlangen, wie z. B. Signature- oder SignatureOrSystem -Berechtigungen, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0810 ANDROID-25781119 Hoch 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 Google-intern

Sicherheitslücke bezüglich Offenlegung von Informationen in libmediaplayerservice

Eine Sicherheitslücke bei der Offenlegung von Informationen im libmediaplayerservice könnte eine Umgehung bestehender Sicherheitsmaßnahmen ermöglichen, um die Schwierigkeit für Angreifer zu erhöhen, die Plattform auszunutzen. Diese Probleme werden als „Hoher Schweregrad“ eingestuft, da sie auch dazu verwendet werden könnten, erweiterte Funktionen wie Signature- oder SignatureOrSystem -Berechtigungen zu erlangen, auf die Anwendungen von Drittanbietern nicht zugreifen können.

CVE Fehler mit AOSP-Link Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0811 ANDROID-25800375 Hoch 6.0, 6.0.1 16. November 2015

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Setup-Assistenten

Eine Sicherheitslücke im Setup-Assistenten könnte es einem böswilligen Angreifer ermöglichen, den Werksreset-Schutz zu umgehen und Zugriff auf das Gerät zu erhalten. Dies wird als mittlerer Schweregrad eingestuft, da es möglicherweise jemandem mit physischem Zugriff auf ein Gerät ermöglicht, den Werksreset-Schutz zu umgehen, der es einem Angreifer ermöglicht, ein Gerät erfolgreich zurückzusetzen und alle Daten zu löschen.

CVE Fehler mit AOSP-Links Schwere Aktualisierte Versionen Datum gemeldet
CVE-2016-0812 ANDROID-25229538 Mäßig 5.1.1, 6.0 Google-intern
CVE-2016-0813 ANDROID-25476219 Mäßig 5.1.1, 6.0, 6.0.1 Google-intern

Häufige Fragen und Antworten

In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Bulletins auftreten können.

1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?

Builds LMY49G oder höher und Android 6.0 mit Sicherheitspatch-Level vom 1. Februar 2016 oder höher beheben diese Probleme. Anweisungen zum Überprüfen des Sicherheitspatch-Levels finden Sie in der Nexus-Dokumentation . Gerätehersteller, die diese Updates enthalten, sollten die Patch-String-Ebene auf Folgendes festlegen: [ro.build.version.security_patch]:[2016-02-01]

Überarbeitungen

  • 1. Februar 2016: Bulletin veröffentlicht.
  • 2. Februar 2016: Bulletin überarbeitet, um AOSP-Links aufzunehmen.
  • 7. März 2016: Bulletin überarbeitet, um zusätzliche AOSP-Links aufzunehmen.