Bollettino sulla sicurezza di Nexus - marzo 2016

Pubblicato il 7 marzo 2016 | Aggiornato l'8 marzo 2016

Abbiamo rilasciato un aggiornamento di sicurezza per i dispositivi Nexus tramite un aggiornamento over-the-air (OTA) come parte del nostro processo di rilascio mensile del bollettino sulla sicurezza di Android. Le immagini del firmware del Nexus sono state rilasciate anche sul sito degli sviluppatori di Google . Le build LMY49H o successive e Android M con livello di patch di sicurezza del 1° marzo 2016 o successivo risolvono questi problemi. Fare riferimento alla documentazione del Nexus per istruzioni su come verificare il livello della patch di sicurezza.

I partner sono stati informati dei problemi descritti nel bollettino il 1° febbraio 2016 o prima. Ove applicabile, le patch del codice sorgente per questi problemi sono state rilasciate nel repository Android Open Source Project (AOSP).

Il più grave di questi problemi è una vulnerabilità critica della sicurezza che potrebbe consentire l'esecuzione di codice remoto su un dispositivo interessato attraverso più metodi come e-mail, navigazione Web e MMS durante l'elaborazione di file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, presupponendo che le mitigazioni della piattaforma e del servizio siano disabilitate per scopi di sviluppo o se aggirate con successo.

Non abbiamo ricevuto segnalazioni di sfruttamento attivo da parte dei clienti di questi problemi appena segnalati. Fare riferimento alla sezione Mitigazioni per dettagli sulle protezioni della piattaforma di sicurezza Android e sulle protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android. Incoraggiamo tutti i clienti ad accettare questi aggiornamenti sui propri dispositivi.

Mitigazioni

Questo è un riepilogo delle mitigazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni dei servizi come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità della sicurezza possano essere sfruttate con successo su Android.

  • Lo sfruttamento di molti problemi su Android è reso più difficile dai miglioramenti apportati alle versioni più recenti della piattaforma Android. Incoraggiamo tutti gli utenti ad aggiornare all'ultima versione di Android, ove possibile.
  • Il team di sicurezza Android sta monitorando attivamente eventuali abusi con Verify Apps e SafetyNet che avviseranno delle applicazioni potenzialmente dannose che stanno per essere installate. Gli strumenti di rooting del dispositivo sono vietati in Google Play. Per proteggere gli utenti che installano applicazioni dall'esterno di Google Play, Verifica app è abilitato per impostazione predefinita e avviserà gli utenti delle applicazioni di rooting note. Verify Apps tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di escalation dei privilegi. Se tale applicazione è già stata installata, Verify Apps avviserà l'utente e tenterà di rimuovere tali applicazioni.
  • A seconda dei casi, le applicazioni Google Hangouts e Messenger non trasmettono automaticamente i contenuti multimediali a processi come mediaserver.

Ringraziamenti

Desideriamo ringraziare questi ricercatori per il loro contributo:

  • Abhishek Arya, Oliver Chang e Martin Barbella del team di sicurezza di Google Chrome: CVE-2016-0815
  • Anestis Bechtsoudis ( @anestisb ) di CENSUS SA: CVE-2016-0816, CVE-2016-0824
  • Chad Brubaker di Sicurezza Android: CVE-2016-0818
  • Contrassegna il marchio di Google Project Zero: CVE-2016-0820
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) e Xuxian Jiang del team C0RE di Qihoo 360 : CVE-2016-0826
  • Peter Pi ( @heisecode ) di Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
  • Scott Bauer ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
  • Wish Wu ( @wish_wu ) di Trend Micro Inc.: CVE-2016-0819
  • Yongzheng Wu e Tieyan Li di Huawei: CVE-2016-0831
  • Su Mon Kywe e Yingjiu Li della Singapore Management University: CVE-2016-0831
  • Zach Riggle ( @ebeip90 ) del team di sicurezza Android: CVE-2016-0821

Dettagli sulla vulnerabilità della sicurezza

Nelle sezioni seguenti, forniamo dettagli per ciascuna delle vulnerabilità della sicurezza che si applicano al livello di patch 2016-03-01. È presente una descrizione del problema, una motivazione relativa alla gravità e una tabella con il CVE, il bug associato, la gravità, le versioni interessate e la data segnalata. Quando disponibile, collegheremo la modifica AOSP che ha risolto il problema all'ID del bug. Quando più modifiche riguardano un singolo bug, ulteriori riferimenti AOSP sono collegati a numeri che seguono l'ID del bug.

Vulnerabilità legata all'esecuzione di codice in modalità remota nel Mediaserver

Durante l'elaborazione di file multimediali e dati di un file appositamente predisposto, le vulnerabilità nel mediaserver potrebbero consentire a un utente malintenzionato di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota come processo del mediaserver.

La funzionalità interessata viene fornita come parte fondamentale del sistema operativo ed esistono diverse applicazioni che consentono di raggiungerla con contenuti remoti, in particolare MMS e riproduzione di contenuti multimediali tramite browser.

Questo problema è classificato come grave a causa della possibilità di esecuzione di codice remoto nel contesto del servizio mediaserver. Il servizio mediaserver ha accesso a flussi audio e video, nonché accesso a privilegi a cui normalmente le app di terze parti non potrebbero accedere.

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2016-0815 ANDROID-26365349 Critico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Interno di Google
CVE-2016-0816 ANDROID-25928803 Critico 6.0, 6.0.1 Interno di Google

Vulnerabilità legate all'esecuzione di codice in modalità remota in libvpx

Durante l'elaborazione di file multimediali e dati di un file appositamente predisposto, le vulnerabilità nel mediaserver potrebbero consentire a un utente malintenzionato di causare il danneggiamento della memoria e l'esecuzione di codice in modalità remota come processo del mediaserver.

La funzionalità interessata viene fornita come parte fondamentale del sistema operativo ed esistono diverse applicazioni che consentono di raggiungerla con contenuti remoti, in particolare MMS e riproduzione di contenuti multimediali tramite browser.

I problemi sono classificati come di gravità critica perché potrebbero essere utilizzati per l'esecuzione di codice remoto nel contesto del servizio mediaserver. Il servizio mediaserver ha accesso a flussi audio e video, nonché accesso a privilegi a cui normalmente le app di terze parti non possono accedere.

CVE Bug con i collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2016-1621 ANDROID-23452792 [2] [3] Critico 4.4.4, 5.0.2, 5.1.1, 6.0 Interno di Google

Elevazione dei privilegi in Conscrypt

Una vulnerabilità in Conscrypt potrebbe consentire di considerare erroneamente attendibile un tipo specifico di certificato non valido, emesso da un'autorità di certificazione (CA) intermedia. Ciò potrebbe consentire un attacco man-in-the-middle. Questo problema è classificato come grave a causa della possibilità di un'elevazione dei privilegi e dell'esecuzione remota di codice arbitrario.

CVE Bug con i collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2016-0818 ANDROID-26232830 [2] Critico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Interno di Google

Elevazione della vulnerabilità dei privilegi nel componente Qualcomm Performance

Una vulnerabilità che aumenta i privilegi nel componente prestazioni di Qualcomm potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel kernel. Questo problema è classificato come grave a causa della possibilità di una compromissione permanente del dispositivo locale e il dispositivo può essere riparato solo eseguendo nuovamente il flashing del sistema operativo.

CVE Insetto Gravità Versioni aggiornate Data riportata
CVE-2016-0819 ANDROID-25364034* Critico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 ottobre 2015

* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito degli sviluppatori di Google .

Elevazione della vulnerabilità dei privilegi nel driver del kernel Wi-Fi MediaTek

Esiste una vulnerabilità nel driver del kernel Wi-Fi MediaTek che potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come di gravità critica a causa della possibilità di elevazione dei privilegi e di esecuzione di codice arbitrario nel contesto del kernel.

CVE Insetto Gravità Versioni aggiornate Data riportata
CVE-2016-0820 ANDROID-26267358* Critico 6.0.1 18 dicembre 2015

* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito degli sviluppatori di Google .

Elevazione della vulnerabilità dei privilegi nel componente Keyring del kernel

Una vulnerabilità che eleva i privilegi nel componente Kernel Keyring potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario all'interno del kernel. Questo problema è classificato come grave a causa della possibilità di una compromissione permanente del dispositivo locale e il dispositivo potrebbe essere riparato solo eseguendo nuovamente il flashing del sistema operativo. Tuttavia, nelle versioni Android 5.0 e successive, le regole SELinux impediscono alle applicazioni di terze parti di raggiungere il codice interessato.

Nota: come riferimento, la patch in AOSP è disponibile per versioni specifiche del kernel: 4.1 , 3.18 , 3.14 e 3.10 .

CVE Insetto Gravità Versioni aggiornate Data riportata
CVE-2016-0728 ANDROID-26636379 Critico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 gennaio 2016

Mitigazione della vulnerabilità di bypass nel kernel

Una vulnerabilità di mitigazione nel kernel potrebbe consentire di bypassare le misure di sicurezza in atto per aumentare la difficoltà degli aggressori nello sfruttamento della piattaforma. Questo problema è classificato come di gravità elevata perché potrebbe consentire di aggirare le misure di sicurezza in atto per aumentare la difficoltà degli aggressori nello sfruttamento della piattaforma.

Nota: l'aggiornamento per questo problema si trova nell'upstream di Linux .

CVE Insetto Gravità Versioni aggiornate Data riportata
CVE-2016-0821 ANDROID-26186802 Alto 6.0.1 Interno di Google

Elevazione dei privilegi nel driver del kernel di connettività MediaTek

Esiste una vulnerabilità che aumenta i privilegi in un driver del kernel di connettività MediaTek che potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto del kernel. Normalmente un bug di esecuzione del codice del kernel come questo verrebbe considerato critico, ma poiché richiede prima di compromettere il servizio conn_launcher, giustifica un downgrade al livello di gravità Alta.

CVE Insetto Gravità Versioni aggiornate Data riportata
CVE-2016-0822 ANDROID-25873324* Alto 6.0.1 24 novembre 2015

* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito degli sviluppatori di Google .

Vulnerabilità nella divulgazione di informazioni nel kernel

Una vulnerabilità nella divulgazione di informazioni nel kernel potrebbe consentire di aggirare le misure di sicurezza in atto per aumentare la difficoltà degli aggressori nello sfruttamento della piattaforma. Questi problemi sono classificati come di gravità elevata perché potrebbero consentire un bypass locale delle tecnologie di mitigazione degli exploit come ASLR in un processo privilegiato.

Nota: la correzione di questo problema si trova in Linux upstream .

CVE Insetto Gravità Versioni aggiornate Data riportata
CVE-2016-0823 ANDROID-25739721* Alto 6.0.1 Interno di Google

* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito degli sviluppatori di Google .

Vulnerabilità nella divulgazione di informazioni in libstagefright

Una vulnerabilità nella divulgazione di informazioni in libstagefright potrebbe consentire di aggirare le misure di sicurezza in atto per aumentare la difficoltà degli aggressori nello sfruttamento della piattaforma. Questi problemi sono classificati come di gravità elevata perché potrebbero essere utilizzati anche per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili ad applicazioni di terze parti.

CVE Bug con il collegamento AOSP Gravità Versioni aggiornate Data riportata
CVE-2016-0824 ANDROID-25765591 Alto 6.0, 6.0.1 18 novembre 2015

Vulnerabilità nella divulgazione di informazioni in Widevine

Una vulnerabilità legata alla divulgazione di informazioni nella Widevine Trusted Application potrebbe consentire al codice in esecuzione nel contesto del kernel di accedere alle informazioni nell'archivio sicuro TrustZone. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, ad esempio i privilegi di autorizzazione Signature o SignatureOrSystem .

CVE Bug(i) Gravità Versioni aggiornate Data riportata
CVE-2016-0825 ANDROID-20860039* Alto 6.0.1 Interno di Google

* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito degli sviluppatori di Google .

Elevazione della vulnerabilità dei privilegi nel Mediaserver

Una vulnerabilità legata all'elevazione dei privilegi nel mediaserver potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel contesto di un'applicazione di sistema con privilegi elevati. Questo problema è classificato come di gravità elevata perché potrebbe essere utilizzato per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili a un'applicazione di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2016-0826 ANDROID-26265403 [2] Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 dicembre 2015
CVE-2016-0827 ANDROID-26347509 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 dicembre 2015

Vulnerabilità nella divulgazione di informazioni in Mediaserver

Una vulnerabilità nella divulgazione di informazioni nel mediaserver potrebbe consentire di aggirare le misure di sicurezza in atto per aumentare la difficoltà degli aggressori nello sfruttamento della piattaforma. Questi problemi sono classificati come di gravità elevata perché potrebbero essere utilizzati anche per ottenere funzionalità elevate, come i privilegi di autorizzazione Signature o SignatureOrSystem , che non sono accessibili ad applicazioni di terze parti.

CVE Bug con collegamenti AOSP Gravità Versioni aggiornate Data riportata
CVE-2016-0828 ANDROID-26338113 Alto 5.0.2, 5.1.1, 6.0, 6.0.1 27 dicembre 2015
CVE-2016-0829 ANDROID-26338109 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 dicembre 2015

Vulnerabilità di tipo Denial of Service remoto in Bluetooth

Una vulnerabilità di tipo Denial of Service remoto nel componente Bluetooth potrebbe consentire a un utente malintenzionato prossimale di bloccare l'accesso a un dispositivo interessato. Un utente malintenzionato potrebbe causare un overflow dei dispositivi Bluetooth identificati nel componente Bluetooth, con conseguente danneggiamento della memoria e arresto del servizio. Questo problema è classificato come di gravità elevata perché porta a un rifiuto di servizio al servizio Bluetooth, che potrebbe essere risolto solo con un flash del dispositivo.

CVE Bug con il collegamento AOSP Gravità Versioni aggiornate Data riportata
CVE-2016-0830 ANDROID-26071376 Alto 6.0, 6.0.1 Interno di Google

Vulnerabilità nella divulgazione di informazioni nella telefonia

Una vulnerabilità legata alla divulgazione di informazioni nel componente Telefonia potrebbe consentire a un'applicazione di accedere a informazioni riservate. Questo problema è classificato con gravità moderata perché potrebbe essere utilizzato per accedere in modo improprio ai dati senza autorizzazione.

CVE Bug con il collegamento AOSP Gravità Versioni aggiornate Data riportata
CVE-2016-0831 ANDROID-25778215 Moderare 5.0.2, 5.1.1, 6.0, 6.0.1 16 novembre 2015

Elevazione della vulnerabilità dei privilegi nella configurazione guidata

Una vulnerabilità nell'installazione guidata potrebbe consentire a un utente malintenzionato che ha accesso fisico al dispositivo di accedere alle impostazioni del dispositivo ed eseguire un ripristino manuale del dispositivo. Questo problema è classificato come di gravità moderata perché potrebbe essere utilizzato per aggirare in modo improprio la protezione del ripristino delle impostazioni di fabbrica.

CVE Bug(i) Gravità Versioni aggiornate Data riportata
CVE-2016-0832 ANDROID-25955042* Moderare 5.1.1, 6.0, 6.0.1 Interno di Google

* Per questo aggiornamento non è fornita alcuna patch del codice sorgente.

Domande e risposte comuni

In questa sezione vengono esaminate le risposte alle domande più comuni che potrebbero sorgere dopo aver letto questo bollettino.

1. Come posso determinare se il mio dispositivo è aggiornato per risolvere questi problemi?

Le build LMY49H o successive e Android 6.0 con livello di patch di sicurezza del 1 marzo 2016 o successivo risolvono questi problemi. Fare riferimento alla documentazione del Nexus per istruzioni su come verificare il livello della patch di sicurezza. I produttori di dispositivi che includono questi aggiornamenti dovrebbero impostare il livello della stringa di patch su: [ro.build.version.security_patch]:[2016-03-01]

Revisioni

  • 7 marzo 2016: pubblicato il bollettino.
  • 8 marzo 2016: bollettino rivisto per includere collegamenti AOSP.