2015 年 8 月 13 日公開
Android のセキュリティに関する月例情報公開の一環として、Nexus 端末に対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。また、Nexus ファームウェア イメージも Google デベロッパー サイト にリリースされています。LMY48I 以降のビルドで下記の問題に対処しています。パートナーには下記の問題について 2015 年 6 月 25 日までに通知済みです。
下記の問題のうち最も重大なのは、メール、ウェブの閲覧、MMS などの複数の方法を通じて、攻撃を受けた端末でメディア ファイルの処理中にリモートコード実行が可能になる重大なセキュリティの脆弱性です。
下記の表に、セキュリティの脆弱性、共通脆弱性識別子(CVE)、およびその重大度の評価の一覧を示します。 重大度の評価 は、攻撃を受けた端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が、開発目的や不正に回避されたために無効の場合を前提としています。
| 問題 | CVE | 重大度 |
|---|---|---|
| MP4 atom 処理中の整数オーバーフロー | CVE-2015-1538 | 重大 |
| ESDS 処理における整数アンダーフロー | CVE-2015-1539 | 重大 |
| libstagefright での MPEG4 tx3g atom 解析時の整数オーバーフロー | CVE-2015-3824 | 重大 |
| libstagefright での MPEG4 covr atom 処理時の整数アンダーフロー | CVE-2015-3827 | 重大 |
| libstagefright での 3GPP メタデータの処理中にサイズが 6 未満の場合に生じる整数アンダーフロー | CVE-2015-3828 | 重大 |
| libstagefright での MPEG4 covr atom の処理において chunk_data_size が SIZE_MAX の場合に生じる整数オーバーフロー | CVE-2015-3829 | 重大 |
| Sonivox の Parse_wave におけるバッファ オーバーフロー | CVE-2015-3836 | 重大 |
| libstagefright の MPEG4Extractor.cpp におけるバッファ オーバーフロー | CVE-2015-3832 | 重大 |
| メディアサーバーの BpMediaHTTPConnection におけるバッファ オーバーフロー | CVE-2015-3831 | 高 |
| libpng の脆弱性: png_Read_IDAT_data におけるオーバーフロー | CVE-2015-0973 | 高 |
| wpa_supplicant の p2p_add_device() におけるリモートから攻撃可能な memcpy() のオーバーフロー | CVE-2015-1863 | 高 |
| OpenSSLX509Certificate のシリアル化解除でのメモリ破損 | CVE-2015-3837 | 高 |
| メディアサーバーの BnHDCP でのバッファ オーバーフロー | CVE-2015-3834 | 高 |
| libstagefright の OMXNodeInstance::emptyBuffer でのバッファ オーバーフロー | CVE-2015-3835 | 高 |
| メディアサーバーの AudioPolicyManager::getInputForAttr() でのヒープ オーバーフロー | CVE-2015-3842 | 高 |
| 電話機能への SIM コマンドがアプリにより傍受またはエミュレートされる脆弱性 | CVE-2015-3843 | 高 |
| ビットマップの非整列化における脆弱性 | CVE-2015-1536 | 中 |
| AppWidgetServiceImpl によりシステム特権を持つ IntentSender が作成される脆弱性 | CVE-2015-1541 | 中 |
| getRecentTasks() の制限の迂回 | CVE-2015-3833 | 中 |
| ActivityManagerService.getProcessRecordLocked() によりシステム UID アプリが誤ったプロセスに読み込まれる脆弱性 | CVE-2015-3844 | 中 |
| libstagefright での 3GPP メタデータ解析中にアンバインドされたバッファが読み込まれる脆弱性 | CVE-2015-3826 | 低 |
ここでは、 Android セキュリティ プラットフォーム の保護と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。
調査に関与された下記の皆様のご協力に感謝いたします。
* Wish 氏は初の Android Security Rewards 受賞者でもあります。
libstagefright において、MP4 atom の処理中に整数オーバーフローが発生する可能性が複数存在します。発生した場合、メモリが破損し、メディアサーバーのプロセスとしてリモートでコードが実行されるおそれがあります。
影響を受ける機能はアプリの API として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。
特権を持つメディアサーバーのサービスとしてリモートでコードが実行される可能性があることから、この問題の重大度は「重大」と評価されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。この問題は、以前の Google の重大度評価ガイドラインで重大度「高」の脆弱性と評価され、パートナーにもそのように報告されました。2015 年 6 月に公開された新しいガイドラインでは、この問題の重大度は「重大」となります。
| CVE | バグと AOSP リンク | 重大度 | 影響のあるバージョン |
|---|---|---|---|
| CVE-2015-1538 | ANDROID-20139950 [ 2 ] | 重大 | 5.1 以下 |
libstagefright において、ESDS atom の処理中に整数アンダーフローが発生する可能性があります。発生した場合、メモリが破損し、メディアサーバーのプロセスとしてリモートでコードが実行されるおそれがあります。
影響を受ける機能はアプリの API として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。
特権を持つメディアサーバーのサービスとしてリモートでコードが実行される可能性があることから、この問題の重大度は「重大」と評価されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。この問題は、以前の Google の重大度評価ガイドラインで重大度「高」の脆弱性と評価され、パートナーにもそのように報告されました。2015 年 6 月に公開された新しいガイドラインでは、この問題の重大度は「重大」となります。
| CVE | バグと AOSP リンク | 重大度 | 影響のあるバージョン |
|---|---|---|---|
| CVE-2015-1539 | ANDROID-20139950 | 重大 | 5.1 以下 |
libstagefright において、MPEG4 tx3g データの処理中に整数オーバーフローが発生する可能性があります。発生した場合、メモリが破損し、メディアサーバーのプロセスとしてリモートでコードが実行されるおそれがあります。
影響を受ける機能はアプリの API として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。
特権を持つメディアサーバーのサービスとしてリモートでコードが実行される可能性があることから、この問題の重大度は「重大」と評価されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。
この問題は、以前の Google の重大度評価ガイドラインで重大度「高」の脆弱性と評価され、パートナーにもそのように報告されました。2015 年 6 月に公開された新しいガイドラインでは、この問題の重大度は「重大」となります。
| CVE | バグと AOSP リンク | 重大度 | 影響のあるバージョン |
|---|---|---|---|
| CVE-2015-3824 | ANDROID-20923261 | 重大 | 5.1 以下 |
libstagefright において、MPEG4 データの処理中に整数アンダーフローが発生する可能性があります。発生した場合、メモリが破損し、メディアサーバーのプロセスとしてリモートでコードが実行されるおそれがあります。
影響を受ける機能はアプリの API として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。
特権を持つメディアサーバーのサービスとしてリモートでコードが実行される可能性があることから、この問題の重大度は「重大」と評価されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。
この問題は、以前の Google の重大度評価ガイドラインで重大度「高」の脆弱性と評価され、パートナーにもそのように報告されました。2015 年 6 月に公開された新しいガイドラインでは、この問題の重大度は「重大」となります。
| CVE | バグと AOSP リンク | 重大度 | 影響のあるバージョン |
|---|---|---|---|
| CVE-2015-3827 | ANDROID-20923261 | 重大 | 5.1 以下 |
libstagefright において、3GPP データの処理中に整数アンダーフローが発生する可能性があります。発生した場合、メモリが破損し、メディアサーバーのプロセスとしてリモートでコードが実行されるおそれがあります。
影響を受ける機能はアプリの API として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。
特権を持つメディアサーバーのサービスとしてリモートでコードが実行される可能性があることから、この問題の重大度は「重大」と評価されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。この問題は、以前の Google の重大度評価ガイドラインで重大度「高」の脆弱性と評価され、パートナーにもそのように報告されました。2015 年 6 月に公開された新しいガイドラインでは、この問題の重大度は「重大」となります。
| CVE | バグと AOSP リンク | 重大度 | 影響のあるバージョン |
|---|---|---|---|
| CVE-2015-3828 | ANDROID-20923261 | 重大 | 5.0 以降 |
libstagefright において、MPEG4 covr データの処理中に整数オーバーフローが発生する可能性があります。発生した場合、メモリが破損し、メディアサーバーのプロセスとしてリモートでコードが実行されるおそれがあります。
影響を受ける機能はアプリの API として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。
特権を持つメディアサーバーのサービスとしてリモートでコードが実行される可能性があることから、この問題の重大度は「重大」と評価されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。この問題は、以前の Google の重大度評価ガイドラインで重大度「高」の脆弱性と評価され、パートナーにもそのように報告されました。2015 年 6 月に公開された新しいガイドラインでは、この問題の重大度は「重大」となります。
| CVE | バグと AOSP リンク | 重大度 | 影響のあるバージョン |
|---|---|---|---|
| CVE-2015-3829 | ANDROID-20923261 | 重大 | 5.0 以降 |
Sonivox において、XMF データの処理中にバッファ オーバーフローが発生する可能性があります。発生した場合、メモリが破損し、メディアサーバーのプロセスとしてリモートでコードが実行されるおそれがあります。
影響を受ける機能はアプリの API として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。
特権を持つメディアサーバーのサービスとしてリモートでコードが実行される可能性があることから、この問題の重大度は「重大」と評価されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。この問題は、以前の Google の重大度評価ガイドラインで重大度「高」の脆弱性と評価され、パートナーにもそのように報告されました。2015 年 6 月に公開された新しいガイドラインでは、この問題の重大度は「重大」となります。
| CVE | バグと AOSP リンク | 重大度 | 影響のあるバージョン |
|---|---|---|---|
| CVE-2015-3836 | ANDROID-21132860 | 重大 | 5.1 以下 |
libstagefright において、MP4 の処理中にバッファ オーバーフローが発生する可能性が複数存在します。発生した場合、メモリが破損し、メディアサーバーのプロセスとしてリモートでコードが実行されるおそれがあります。
影響を受ける機能はアプリの API として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。
特権を持つメディアサーバーのサービスとしてリモートでコードが実行される可能性があることから、この問題の重大度は「重大」と評価されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。
当初、この問題は(リモートではアクセスできない)ローカルからの攻撃として報告されました。この問題は、以前の Google の重大度評価ガイドラインで重大度「中」の脆弱性と評価され、パートナーにもそのように報告されました。2015 年 6 月に公開された新しいガイドラインでは、この問題の重大度は「重大」となります。
| CVE | バグと AOSP リンク | 重大度 | 影響のあるバージョン |
|---|---|---|---|
| CVE-2015-3832 | ANDROID-19641538 | 重大 | 5.1 以下 |
BpMediaHTTPConnection において、他のアプリから提供されたデータの処理中にバッファ オーバーフローが発生する可能性があります。発生した場合、メモリが破損し、メディアサーバーのプロセスとしてリモートでコードが実行されるおそれがあります。
影響を受ける機能はアプリの API として提供されています。Google では、この問題をリモートから悪用することはできないと考えています。
特権を持つメディアサーバーのサービスとしてローカルアプリからコードが実行される可能性があることから、この問題の重大度は「高」と評価されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。
| CVE | バグと AOSP リンク | 重大度 | 影響のあるバージョン |
|---|---|---|---|
| CVE-2015-3831 | ANDROID-19400722 | 高 | 5.0 および 5.1 |
libpng において、png_read_IDAT_data() 関数内で IDAT データの読み取り中にバッファ オーバーフローが発生する可能性があります。発生した場合、メモリが破損し、このメソッドを使用するアプリにおいてリモートでコードが実行されるおそれがあります。
影響を受ける機能はアプリの API として提供されています。複数のアプリにおいて、リモート コンテンツによって(特に SMS アプリやブラウザを介して)この脆弱性が攻撃されるおそれがあります。
特権のないアプリとしてリモートでコードが実行される可能性があることから、この問題の重大度は「高」と評価されています。
| CVE | バグと AOSP リンク | 重大度 | 影響のあるバージョン |
|---|---|---|---|
| CVE-2015-0973 | ANDROID-19499430 | 高 | 5.1 以下 |
wpa_supplicant が WLAN Direct モードで動作している場合、p2p_add_device() メソッドでのオーバーフローによってリモートでコードが実行可能になる脆弱性が存在します。この脆弱性が悪用されると、Android で「wifi」ユーザーとしてコードが実行されるおそれがあります。
この問題の悪用に対して効果のあるリスク回避策には、以下のものがあります。
- 多くの Android 端末では、デフォルトで WLAN Direct が有効化されていません
- この脆弱性を悪用するには、攻撃者が Wi-Fi 通信の届く範囲まで近づく必要があります
- wpa_supplicant プロセスは、システムへのアクセスに制限のある「wifi」ユーザーとして実行されます
- Android 4.1 以降を搭載した端末では、ASLR によってリモートからの攻撃のリスクが軽減されています
- Android 5.0 以降では、SELinux のポリシーによって wpa_supplicant プロセスに厳しい制約が課されています
リモートでコードが実行される可能性があることから、この問題の重大度は「高」と評価されています。通常、「wifi」サービスの機能にはサードパーティ製アプリからはアクセスできないため、この問題は「重大」と評価される可能性がありますが、Google では、機能が限られることとリスク軽減策のレベルを根拠に、重大度を「高」に引き下げられると判断しています。
| CVE | バグと AOSP リンク | 重大度 | 影響のあるバージョン |
|---|---|---|---|
| CVE-2015-1863 | ANDROID-20076874 | 高 | 5.1 以下 |
悪意のあるローカルアプリから送信されたインテントを受信側のアプリでシリアル化解除する際に、任意のメモリアドレスで値がデクリメントされる可能性があります。これにより、メモリが破損し、受信側アプリ内でコードが実行されるおそれがあります。
サードパーティのアプリがアクセスできない権限を取得できるため、この問題の重大度は「高」と判断されています。
| CVE | バグと AOSP リンク | 重大度 | 影響のあるバージョン |
|---|---|---|---|
| CVE-2015-3837 | ANDROID-21437603 | 高 | 5.1 以下 |
libstagefright において、別のアプリから提供されたデータの処理中に整数オーバーフローが発生する可能性があります。発生した場合、メモリ(ヒープ)が破損し、メディアサーバーのプロセスとしてコードが実行されるおそれがあります。
サードパーティのアプリがアクセスできない権限を取得できるため、この問題の重大度は「高」と判断されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。
この問題は、以前の Google の重大度評価ガイドラインで重大度「中」の脆弱性と評価され、パートナーにもそのように報告されました。2015 年 6 月に公開された新しいガイドラインでは、この問題は重大度「高」の脆弱性となります。
| CVE | バグと AOSP リンク | 重大度 | 影響のあるバージョン |
|---|---|---|---|
| CVE-2015-3834 | ANDROID-20222489 | 高 | 5.1 以下 |
libstagefright において、別のアプリから提供されたデータの処理中にバッファ オーバーフローが発生する可能性があります。発生した場合、メモリが破損し、メディアサーバーのプロセスとしてコードが実行されるおそれがあります。
サードパーティのアプリがアクセスできない権限を取得できるため、この問題の重大度は「高」と判断されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。
この問題は、以前の Google の重大度評価ガイドラインで重大度「中」の脆弱性と評価され、パートナーにもそのように報告されました。2015 年 6 月に公開された新しいガイドラインでは、この問題は重大度「高」の脆弱性となります。
| CVE | バグと AOSP リンク | 重大度 | 影響のあるバージョン |
|---|---|---|---|
| CVE-2015-3835 | ANDROID-20634516 [ 2 ] | 高 | 5.1 以下 |
メディアサーバーの Audio Policy Service でのヒープ オーバーフローによって、ローカルアプリからメディアサーバーのプロセス内で任意のコードが実行されるおそれがあります。
影響を受ける機能はアプリの API として提供されています。Google では、この問題をリモートから悪用することはできないと考えています。
特権を持つメディアサーバーのサービスとしてローカルアプリからコードが実行される可能性があることから、この問題の重大度は「高」と評価されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。
| CVE | バグと AOSP リンク | 重大度 | 影響のあるバージョン |
|---|---|---|---|
| CVE-2015-3842 | ANDROID-21953516 | 高 | 5.1 以下 |
SIM ツールキット(STK)フレームワークに脆弱性が存在し、Android の電話機能サブシステムへの STK SIM コマンドの一部がアプリによって傍受またはエミュレートされるおそれがあります。
通常は「signature」または「system」レベルの権限で保護されている機能やデータに、権限のないアプリからアクセス可能になるおそれがあるため、この問題の重大度は「高」と評価されています。
| CVE | バグと AOSP リンク | 重大度 | 影響のあるバージョン |
|---|---|---|---|
| CVE-2015-3843 | ANDROID-21697171 [ 2 、 3 、 4 ] | 高 | 5.1 以下 |
Bitmap_createFromParcel() の整数オーバーフローにより、アプリによる system_server プロセスのクラッシュや、system_server からのメモリデータの読み取りが可能になるおそれがあります。
機密データが system_server プロセスから権限のないローカル プロセスに漏えいするおそれがあることから、この問題の重大度は「中」と評価されています。通常、このタイプの脆弱性の重大度は「高」と評価されますが、攻撃側のプロセスは攻撃の成功時に漏えいするデータを制御できないほか、攻撃が失敗すると端末が一時的に利用できなくなる(再起動が必要となる)ため、本件では重大度が引き下げられています。
| CVE | バグと AOSP リンク | 重大度 | 影響のあるバージョン |
|---|---|---|---|
| CVE-2015-1536 | ANDROID-19666945 | 中 | 5.1 以下 |
設定アプリの AppWidgetServiceImpl に脆弱性があり、任意のアプリで自身に FLAG_GRANT_READ_URI_PERMISSION または FLAG_GRANT_WRITE_URI_PERMISSION を設定することで URI 権限が取得される可能性があります。この脆弱性を悪用して、たとえば READ_CONTACTS 権限なしで連絡先データが読み取られるおそれがあります。
通常は「dangerous」の保護レベルを持つ権限で保護されているデータに、ローカルアプリからアクセス可能になるおそれがあるため、この問題は重大度「中」の脆弱性と評価されています。
| CVE | バグと AOSP リンク | 重大度 | 影響のあるバージョン |
|---|---|---|---|
| CVE-2015-1541 | ANDROID-19618745 | 中 | 5.1 |
ローカルアプリにおいて、Android 5.0 で導入された getRecentTasks() の制限が迂回され、フォアグラウンドのアプリが正確に判別される可能性があります。
通常は「dangerous」の保護レベルを持つ権限で保護されているデータに、ローカルアプリからアクセス可能になるおそれがあるため、この問題は重大度「中」の脆弱性と評価されています。
この脆弱性は、 http://stackoverflow.com/questions/24625936/getrunningtasks-doesnt-work-in-android-l において初めて公開されたと考えられます。
| CVE | バグと AOSP リンク | 重大度 | 影響のあるバージョン |
|---|---|---|---|
| CVE-2015-3833 | ANDROID-20034603 | 中 | 5.0 および 5.1 |
ActivityManager の getProcessRecordLocked() メソッドにおいて、アプリのプロセス名が対応するパッケージ名と一致するかどうかが正しく検証されません。そのため、ActivityManager で一部のタスクについて誤ったプロセスが読み込まれる可能性があります。
その結果、任意のアプリによって設定アプリの読み込みが妨げられたり、設定のフラグメントにパラメータが注入される可能性があります。Google では、この脆弱性を悪用して任意のコードを「system」ユーザーとして実行することは不可能と判断しています。
通常、「system」ユーザーのみがアクセスできる機能へのアクセスが可能となる場合は重大度が「高」と評価されますが、この脆弱性で付与されるアクセスのレベルは限られることから、重大度が「中」と評価されています。
| CVE | バグと AOSP リンク | 重大度 | 影響のあるバージョン |
|---|---|---|---|
| CVE-2015-3844 | ANDROID-21669445 | 中 | 5.1 以下 |
3GPP データの解析中の整数アンダーフローにより、読み取り処理でバッファ オーバーランが発生し、メディアサーバーがクラッシュする可能性があります。
当初、この問題の重大度は「高」と評価され、パートナーにもそのように報告されましたが、詳しい調査の結果、影響がメディアサーバーのクラッシュに限られることから、重大度が「低」に引き下げられました。
| CVE | バグと AOSP リンク | 重大度 | 影響のあるバージョン |
|---|---|---|---|
| CVE-2015-3826 | ANDROID-20923261 | 低 | 5.0 および 5.1 |