Boletim de segurança do Nexus - março de 2016

Publicado em 07 de março de 2016 | Atualizado em 08 de março de 2016

Lançamos uma atualização de segurança para dispositivos Nexus por meio de uma atualização over-the-air (OTA) como parte de nosso processo de lançamento mensal do Boletim de segurança do Android. As imagens de firmware do Nexus também foram lançadas no site do Google Developer . Compilações LMY49H ou posterior e Android M com nível de patch de segurança de 01 de março de 2016 ou posterior resolvem esses problemas. Consulte a documentação do Nexus para obter instruções sobre como verificar o nível do patch de segurança.

Os parceiros foram notificados sobre os problemas descritos no boletim em 1º de fevereiro de 2016 ou antes. Quando aplicável, os patches de código-fonte para esses problemas foram lançados no repositório do Android Open Source Project (AOSP).

O mais grave desses problemas é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como email, navegação na Web e MMS ao processar arquivos de mídia. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, supondo que as atenuações da plataforma e do serviço estejam desabilitadas para fins de desenvolvimento ou se forem ignoradas com êxito.

Não tivemos relatos de exploração ativa de clientes desses problemas recém-relatados. Consulte a seção Mitigações para obter detalhes sobre as proteções da plataforma de segurança Android e as proteções de serviço, como SafetyNet, que melhoram a segurança da plataforma Android. Incentivamos todos os clientes a aceitar essas atualizações em seus dispositivos.

Mitigações

Este é um resumo das mitigações fornecidas pela plataforma de segurança Android e proteções de serviço, como SafetyNet. Esses recursos reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.

  • A exploração de muitos problemas no Android é dificultada pelos aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
  • A equipe de segurança do Android está monitorando ativamente o abuso com o Verify Apps e o SafetyNet, que avisará sobre aplicativos potencialmente prejudiciais prestes a serem instalados. As ferramentas de root do dispositivo são proibidas no Google Play. Para proteger os usuários que instalam aplicativos de fora do Google Play, o Verify Apps é ativado por padrão e avisará os usuários sobre aplicativos de root conhecidos. O Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará removê-lo.
  • Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam mídia automaticamente para processos como servidor de mídia.

Reconhecimentos

Gostaríamos de agradecer a esses pesquisadores por suas contribuições:

  • Abhishek Arya, Oliver Chang e Martin Barbella da equipe de segurança do Google Chrome: CVE-2016-0815
  • Anestis Bechtsoudis ( @anestisb ) do CENSUS SA: CVE-2016-0816, CVE-2016-0824
  • Chad Brubaker do Android Security: CVE-2016-0818
  • Marca Marca do Google Project Zero: CVE-2016-0820
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) e Xuxian Jiang da equipe C0RE da Qihoo 360 : CVE-2016-0826
  • Peter Pi ( @heisecode ) da Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
  • Scott Bauer ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
  • Wish Wu ( @wish_wu ) da Trend Micro Inc.: CVE-2016-0819
  • Yongzheng Wu e Tieyan Li da Huawei: CVE-2016-0831
  • Su Mon Kywe e Yingjiu Li da Singapore Management University: CVE-2016-0831
  • Zach Riggle ( @ebeip90 ) da equipe de segurança do Android: CVE-2016-0821

Detalhes da vulnerabilidade de segurança

Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2016-03-01. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, bug associado, gravidade, versões afetadas e data relatada. Quando disponível, vincularemos a alteração do AOSP que abordou o problema ao ID do bug. Quando várias alterações estão relacionadas a um único bug, as referências AOSP adicionais são vinculadas a números após o ID do bug.

Vulnerabilidade de execução remota de código no Mediaserver

Durante o processamento de arquivos de mídia e dados de um arquivo especialmente criado, as vulnerabilidades no servidor de mídia podem permitir que um invasor cause corrupção de memória e execução remota de código como o processo do servidor de mídia.

A funcionalidade afetada é fornecida como parte central do sistema operacional, e existem vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia do navegador.

Este problema é classificado como de gravidade Crítica devido à possibilidade de execução remota de código no contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não podem acessar.

CVE Bugs com links AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-0815 ANDROID-26365349 Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Interno do Google
CVE-2016-0816 ANDROID-25928803 Crítico 6.0, 6.0.1 Interno do Google

Vulnerabilidades de execução remota de código no libvpx

Durante o processamento de arquivos de mídia e dados de um arquivo especialmente criado, as vulnerabilidades no servidor de mídia podem permitir que um invasor cause corrupção de memória e execução remota de código como o processo do servidor de mídia.

A funcionalidade afetada é fornecida como parte central do sistema operacional e existem vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia do navegador.

Os problemas são classificados como gravidade crítica porque podem ser usados ​​para execução remota de código no contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não podem acessar.

CVE Bug com links AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-1621 ANDROID-23452792 [2] [3] Crítico 4.4.4, 5.0.2, 5.1.1, 6.0 Interno do Google

Elevação de privilégio no Conscrypt

Uma vulnerabilidade no Conscrypt pode permitir que um tipo específico de certificado inválido, emitido por uma Autoridade de Certificação (CA) intermediária, seja incorretamente confiável. Isso pode habilitar um ataque man-in-the-middle. Esse problema é classificado como de gravidade Crítica devido à possibilidade de elevação de privilégio e execução remota de código arbitrário.

CVE Bug com links AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-0818 ANDROID-26232830 [2] Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Interno do Google

Vulnerabilidade de elevação de privilégios no componente de desempenho da Qualcomm

Uma vulnerabilidade de elevação de privilégio no componente de desempenho da Qualcomm pode permitir que um aplicativo malicioso local execute código arbitrário no kernel. Esse problema é classificado como de gravidade Crítica devido à possibilidade de um comprometimento local permanente do dispositivo, e o dispositivo só pode ser reparado com a atualização do sistema operacional.

CVE Incomodar Gravidade Versões atualizadas Data do relatório
CVE-2016-0819 ANDROID-25364034* Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 de outubro de 2015

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios no driver do kernel Wi-Fi MediaTek

Há uma vulnerabilidade no driver do kernel MediaTek Wi-Fi que pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Este problema é classificado como de gravidade Crítica devido à possibilidade de elevação de privilégio e execução de código arbitrário no contexto do kernel.

CVE Incomodar Gravidade Versões atualizadas Data do relatório
CVE-2016-0820 ANDROID-26267358* Crítico 6.0.1 18 de dezembro de 2015

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de Elevação de Privilégios no Componente de Conjunto de Chaves do Kernel

Uma vulnerabilidade de elevação de privilégio no Kernel Keyring Component pode permitir que um aplicativo mal-intencionado local execute código arbitrário no kernel. Esse problema é classificado como de gravidade Crítica devido à possibilidade de um comprometimento local permanente do dispositivo e o dispositivo só poderia ser reparado com a atualização do sistema operacional. No entanto, nas versões do Android 5.0 e superiores, as regras do SELinux impedem que aplicativos de terceiros alcancem o código afetado.

Observação: para referência, o patch no AOSP está disponível para versões específicas do kernel: 4.1 , 3.18 , 3.14 e 3.10 .

CVE Incomodar Gravidade Versões atualizadas Data do relatório
CVE-2016-0728 ANDROID-26636379 Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 de janeiro de 2016

Vulnerabilidade de bypass de mitigação no kernel

Uma vulnerabilidade de desvio de mitigação no kernel pode permitir um desvio de medidas de segurança em vigor para aumentar a dificuldade de invasores explorarem a plataforma. Esse problema é classificado como de alta gravidade porque pode permitir que as medidas de segurança sejam ignoradas para aumentar a dificuldade dos invasores explorarem a plataforma.

Observação: a atualização para esse problema está localizada no arquivo upstream do Linux .

CVE Incomodar Gravidade Versões atualizadas Data do relatório
CVE-2016-0821 ANDROID-26186802 Alto 6.0.1 Interno do Google

Elevação de privilégio no driver do kernel de conectividade MediaTek

Há uma vulnerabilidade de elevação de privilégio em um driver de kernel de conectividade MediaTek que pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Normalmente, um bug de execução de código do kernel como esse seria classificado como crítico, mas como exige primeiro o comprometimento do serviço conn_launcher, justifica um downgrade para classificação de gravidade alta.

CVE Incomodar Gravidade Versões atualizadas Data do relatório
CVE-2016-0822 ANDROID-25873324* Alto 6.0.1 24 de novembro de 2015

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de divulgação de informações no kernel

Uma vulnerabilidade de divulgação de informações no kernel pode permitir um desvio das medidas de segurança em vigor para aumentar a dificuldade dos invasores explorarem a plataforma. Esses problemas são classificados como de alta gravidade porque podem permitir um desvio local de tecnologias de mitigação de exploração, como ASLR, em um processo privilegiado.

Observação: a correção para esse problema está localizada no Linux upstream .

CVE Incomodar Gravidade Versões atualizadas Data do relatório
CVE-2016-0823 ANDROID-25739721* Alto 6.0.1 Interno do Google

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de divulgação de informações em libstagefright

Uma vulnerabilidade de divulgação de informações no libstagefright pode permitir um desvio das medidas de segurança em vigor para aumentar a dificuldade dos invasores explorarem a plataforma. Esses problemas são classificados como de alta gravidade porque também podem ser usados ​​para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a aplicativos de terceiros.

CVE Bug com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-0824 ANDROID-25765591 Alto 6.0, 6.0.1 18 de novembro de 2015

Vulnerabilidade de divulgação de informações no Widevine

Uma vulnerabilidade de divulgação de informações no Widevine Trusted Application pode permitir que o código executado no contexto do kernel acesse informações no armazenamento seguro TrustZone. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem .

CVE Insetos) Gravidade Versões atualizadas Data do relatório
CVE-2016-0825 ANDROID-20860039* Alto 6.0.1 Interno do Google

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios no Mediaserver

Uma vulnerabilidade de elevação de privilégio no mediaserver pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.

CVE Bugs com links AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-0826 ANDROID-26265403 [2] Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 de dezembro de 2015
CVE-2016-0827 ANDROID-26347509 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 de dezembro de 2015

Vulnerabilidade de divulgação de informações no Mediaserver

Uma vulnerabilidade de divulgação de informações no mediaserver pode permitir um desvio das medidas de segurança em vigor para aumentar a dificuldade dos invasores explorarem a plataforma. Esses problemas são classificados como de alta gravidade porque também podem ser usados ​​para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a aplicativos de terceiros.

CVE Bugs com links AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-0828 ANDROID-26338113 Alto 5.0.2, 5.1.1, 6.0, 6.0.1 27 de dezembro de 2015
CVE-2016-0829 ANDROID-26338109 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 de dezembro de 2015

Vulnerabilidade de negação de serviço remota no Bluetooth

Uma vulnerabilidade de negação de serviço remota no componente Bluetooth pode permitir que um invasor próximo bloqueie o acesso a um dispositivo afetado. Um invasor pode causar um estouro de dispositivos Bluetooth identificados no componente Bluetooth, o que leva à corrupção da memória e à interrupção do serviço. Isso é classificado como severidade alta porque leva a uma negação de serviço para o serviço Bluetooth, que pode ser corrigida apenas com um flash do dispositivo.

CVE Bug com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-0830 ANDROID-26071376 Alto 6.0, 6.0.1 Interno do Google

Vulnerabilidade de divulgação de informações em telefonia

Uma vulnerabilidade de divulgação de informações no componente Telefonia pode permitir que um aplicativo acesse informações confidenciais. Esse problema é classificado como gravidade moderada porque pode ser usado para acessar dados de forma inadequada sem permissão.

CVE Bug com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-0831 ANDROID-25778215 Moderado 5.0.2, 5.1.1, 6.0, 6.0.1 16 de novembro de 2015

Vulnerabilidade de Elevação de Privilégios no Assistente de Configuração

Uma vulnerabilidade no Assistente de Configuração pode permitir que um invasor que tenha acesso físico ao dispositivo obtenha acesso às configurações do dispositivo e execute uma redefinição manual do dispositivo. Esse problema é classificado como gravidade Moderada porque pode ser usado para contornar incorretamente a proteção de redefinição de fábrica.

CVE Insetos) Gravidade Versões atualizadas Data do relatório
CVE-2016-0832 ANDROID-25955042* Moderado 5.1.1, 6.0, 6.0.1 Interno do Google

* Não há patch de código-fonte fornecido para esta atualização.

Perguntas e respostas comuns

Esta seção revisa as respostas para perguntas comuns que podem ocorrer após a leitura deste boletim.

1. Como determino se meu dispositivo está atualizado para resolver esses problemas?

Compilações LMY49H ou posterior e Android 6.0 com nível de patch de segurança de 1º de março de 2016 ou posterior resolvem esses problemas. Consulte a documentação do Nexus para obter instruções sobre como verificar o nível do patch de segurança. Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da string de patch como: [ro.build.version.security_patch]:[2016-03-01]

Revisões

  • 07 de março de 2016: Boletim publicado.
  • 08 de março de 2016: Boletim revisado para incluir links AOSP.