| <html devsite><head> |
| <title>Nexus のセキュリティに関する公開情報 - 2015 年 8 月</title> |
| <meta name="project_path" value="/_project.yaml"/> |
| <meta name="book_path" value="/_book.yaml"/> |
| </head> |
| <body> |
| <!-- |
| Copyright 2017 The Android Open Source Project |
| |
| Licensed under the Apache License, Version 2.0 (the "License"); |
| you may not use this file except in compliance with the License. |
| You may obtain a copy of the License at |
| |
| http://www.apache.org/licenses/LICENSE-2.0 |
| |
| Unless required by applicable law or agreed to in writing, software |
| distributed under the License is distributed on an "AS IS" BASIS, |
| WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. |
| See the License for the specific language governing permissions and |
| limitations under the License. |
| --> |
| |
| <p><em>2015 年 8 月 13 日公開</em></p> |
| |
| <p>Android のセキュリティに関する月例情報公開の一環として、Nexus 端末に対するセキュリティ アップデートを無線(OTA)による更新で配信しました。Nexus ファームウェア イメージも <a href="https://developers.google.com/android/nexus/images">Google デベロッパー サイト</a>にリリースされています。LMY48I 以降のビルドで下記の問題に対処しています。パートナーには下記の問題について 2015 年 6 月 25 日までに通知済みです。</p> |
| |
| <p>下記の問題のうち最も重大度の高いものは、多様な方法(メール、ウェブの閲覧、MMS など)により、攻撃対象の端末でメディア ファイルを処理する際にリモートでのコード実行が可能になるおそれのある重大なセキュリティの脆弱性です。<a href="/security/overview/updates-resources.html#severity">重大度の評価</a>は、攻撃対象の端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により無効となっていることを前提としています。</p> |
| |
| <h2 id="mitigations">リスクの軽減</h2> |
| |
| <p>ここでは、<a href="/security/enhancements/index.html">Android セキュリティ プラットフォーム</a>の保護と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。</p> |
| |
| <ul> |
| <li>Android プラットフォームの最新版での機能強化により、Android 上の多くの問題の悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新版の Android に更新することをおすすめしています。 |
| </li><li>Android セキュリティ チームは、「アプリの確認」や SafetyNet によって脆弱性の悪用を積極的に監視しています。こうした機能は、有害なおそれのあるアプリがインストールされる前に警告します。端末のルート権限を取得するツールは、Google Play で禁止されています。Google Play 以外からアプリをインストールするユーザーを保護するため、「アプリの確認」はデフォルトで有効になっており、ルート権限を取得する既知のアプリについてユーザーに警告します。「アプリの確認」では、悪意のある既知のアプリで権限昇格の脆弱性が悪用されないように、そのようなアプリのインストールを見つけて阻止します。こうしたアプリがすでにインストールされている場合は、ユーザーに通知して、そのアプリの削除を試みます。 |
| </li><li>Google では必要に応じて、脆弱性のあるプロセス(メディアサーバーなど)にメディアが自動的に渡されないよう、ハングアウト アプリとメッセンジャー アプリを更新しています。 |
| </li></ul> |
| |
| <h2 id="acknowledgements">謝辞</h2> |
| |
| <p>調査にご協力くださった下記の皆様方に感謝いたします(敬称略)。</p> |
| |
| <ul> |
| <li> Joshua Drake: CVE-2015-1538、CVE-2015-3826 |
| </li><li> Ben Hawkes: CVE-2015-3836 |
| </li><li> Alexandru Blanda: CVE-2015-3832 |
| </li><li> Michał Bednarski: CVE-2015-3831、CVE-2015-3844、CVE-2015-1541 |
| </li><li> Alex Copot: CVE-2015-1536 |
| </li><li> Alex Eubanks: CVE-2015-0973 |
| </li><li> Roee Hay および Or Peles: CVE-2015-3837 |
| </li><li> Guang Gong: CVE-2015-3834 |
| </li><li> Gal Beniamini: CVE-2015-3835 |
| </li><li> Wish Wu*: CVE-2015-3842 |
| </li><li> Artem Chaykin: CVE-2015-3843 |
| </li></ul> |
| |
| <p>* Wish 氏は初の <a href="https://www.google.com/about/appsecurity/android-rewards/">Android Security Rewards</a> 受賞者でもあります。</p> |
| |
| <h3 id="integer_overflows_during_mp4_atom_processing">MP4 atom 処理中の整数オーバーフロー</h3> |
| |
| <p>libstagefright において、MP4 atom の処理中に整数オーバーフローが複数発生する可能性があります。発生した場合、メモリが破損し、メディアサーバーのプロセスとしてリモートでコードが実行されるおそれがあります。</p> |
| |
| <p>影響を受ける機能はアプリの API として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。</p> |
| |
| <p>特権を持つメディアサーバーのサービスとしてリモートでコードが実行される可能性があることから、この問題の重大度は「重大」と評価されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。この問題は、以前の Google の重大度評価ガイドラインで重大度「高」の脆弱性と評価され、パートナーにもそのように報告されました。2015 年 6 月に公開された新しいガイドラインでは、この問題の重大度は「重大」となります。</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>バグと AOSP リンク</th> |
| <th>重大度</th> |
| <th>影響のあるバージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-1538</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/cf1581c66c2ad8c5b1aaca2e43e350cf5974f46d">ANDROID-20139950</a> [<a href="https://android.googlesource.com/platform/frameworks/av/+/2434839bbd168469f80dd9a22f1328bc81046398">2</a>]</td> |
| <td>重大</td> |
| <td>5.1 以下</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="an_integer_underflow_in_esds_processing">ESDS 処理における整数アンダーフロー</h3> |
| |
| <p>libstagefright において、ESDS atom の処理中に整数アンダーフローが発生する可能性があります。発生した場合、メモリが破損し、メディアサーバーのプロセスとしてリモートでコードが実行されるおそれがあります。</p> |
| |
| <p>影響を受ける機能はアプリの API として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。</p> |
| |
| <p>特権を持つメディアサーバーのサービスとしてリモートでコードが実行される可能性があることから、この問題の重大度は「重大」と評価されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。この問題は、以前の Google の重大度評価ガイドラインで重大度「高」の脆弱性と評価され、パートナーにもそのように報告されました。2015 年 6 月に公開された新しいガイドラインでは、この問題の重大度は「重大」となります。</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>バグと AOSP リンク</th> |
| <th>重大度</th> |
| <th>影響のあるバージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-1539</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/5e751957ba692658b7f67eb03ae5ddb2cd3d970c">ANDROID-20139950</a></td> |
| <td>重大</td> |
| <td>5.1 以下</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="integer_overflow_in_libstagefright_when_parsing_the_mpeg4_tx3g_atom">libstagefright での MPEG4 tx3g atom 解析時の整数オーバーフロー</h3> |
| |
| <p>libstagefright において、MPEG4 tx3g データの処理中に整数オーバーフローが発生する可能性があります。発生した場合、メモリが破損し、メディアサーバーのプロセスとしてリモートでコードが実行されるおそれがあります。</p> |
| |
| <p>影響を受ける機能はアプリの API として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。</p> |
| |
| <p>特権を持つメディアサーバーのサービスとしてリモートでコードが実行される可能性があることから、この問題の重大度は「重大」と評価されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。</p> |
| |
| <p>この問題は、以前の Google の重大度評価ガイドラインで重大度「高」の脆弱性と評価され、パートナーにもそのように報告されました。2015 年 6 月に公開された新しいガイドラインでは、この問題の重大度は「重大」となります。</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>バグと AOSP リンク</th> |
| <th>重大度</th> |
| <th>影響のあるバージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-3824</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/463a6f807e187828442949d1924e143cf07778c6">ANDROID-20923261</a> </td> |
| <td>重大</td> |
| <td>5.1 以下</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="integer_underflow_in_libstagefright_when_processing_mpeg4_covr_atoms">libstagefright での MPEG4 covr atom 処理時の整数アンダーフロー</h3> |
| |
| <p>libstagefright において、MPEG4 データの処理中に整数アンダーフローが発生する可能性があります。発生した場合、メモリが破損し、メディアサーバーのプロセスとしてリモートでコードが実行されるおそれがあります。</p> |
| |
| <p>影響を受ける機能はアプリの API として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。</p> |
| |
| <p>特権を持つメディアサーバーのサービスとしてリモートでコードが実行される可能性があることから、この問題の重大度は「重大」と評価されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。</p> |
| |
| <p>この問題は、以前の Google の重大度評価ガイドラインで重大度「高」の脆弱性と評価され、パートナーにもそのように報告されました。2015 年 6 月に公開された新しいガイドラインでは、この問題の重大度は「重大」となります。</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>バグと AOSP リンク</th> |
| <th>重大度</th> |
| <th>影響のあるバージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-3827</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/f4a88c8ed4f8186b3d6e2852993e063fc33ff231">ANDROID-20923261</a></td> |
| <td>重大</td> |
| <td>5.1 以下</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="integer_underflow_in_libstagefright_if_size_is_below_6_while_processing_3gpp_metadata">libstagefright での 3GPP メタデータの処理中にサイズが 6 未満の場合に生じる整数アンダーフロー</h3> |
| |
| <p>libstagefright において、3GPP データの処理中に整数アンダーフローが発生する可能性があります。発生した場合、メモリが破損し、メディアサーバーのプロセスとしてリモートでコードが実行されるおそれがあります。</p> |
| |
| <p>影響を受ける機能はアプリの API として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。</p> |
| |
| <p>特権を持つメディアサーバーのサービスとしてリモートでコードが実行される可能性があることから、この問題の重大度は「重大」と評価されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。この問題は、以前の Google の重大度評価ガイドラインで重大度「高」の脆弱性と評価され、パートナーにもそのように報告されました。2015 年 6 月に公開された新しいガイドラインでは、この問題の重大度は「重大」となります。</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>バグと AOSP リンク</th> |
| <th>重大度</th> |
| <th>影響のあるバージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-3828</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/f4f7e0c102819f039ebb1972b3dba1d3186bc1d1">ANDROID-20923261</a></td> |
| <td>重大</td> |
| <td>5.0 以降</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="integer_overflow_in_libstagefright_processing_mpeg4_covr_atoms_when_chunk_data_size_is_size_max">libstagefright での MPEG4 covr atom の処理において chunk_data_size が SIZE_MAX の場合に生じる整数オーバーフロー</h3> |
| |
| <p>libstagefright において、MPEG4 covr データの処理中に整数オーバーフローが発生する可能性があります。発生した場合、メモリが破損し、メディアサーバーのプロセスとしてリモートでコードが実行されるおそれがあります。</p> |
| |
| <p>影響を受ける機能はアプリの API として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。</p> |
| |
| <p>特権を持つメディアサーバーのサービスとしてリモートでコードが実行される可能性があることから、この問題の重大度は「重大」と評価されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。この問題は、以前の Google の重大度評価ガイドラインで重大度「高」の脆弱性と評価され、パートナーにもそのように報告されました。2015 年 6 月に公開された新しいガイドラインでは、この問題の重大度は「重大」となります。</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>バグと AOSP リンク</th> |
| <th>重大度</th> |
| <th>影響のあるバージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-3829</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/2674a7218eaa3c87f2ee26d26da5b9170e10f859">ANDROID-20923261</a></td> |
| <td>重大</td> |
| <td>5.0 以降</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="buffer_overflow_in_sonivox_parse_wave">Sonivox の Parse_wave におけるバッファ オーバーフロー</h3> |
| |
| <p>Sonivox において、XMF データの処理中にバッファ オーバーフローが発生する可能性があります。発生した場合、メモリが破損し、メディアサーバーのプロセスとしてリモートでコードが実行されるおそれがあります。</p> |
| |
| <p>影響を受ける機能はアプリの API として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。</p> |
| |
| <p>特権を持つメディアサーバーのサービスとしてリモートでコードが実行される可能性があることから、この問題の重大度は「重大」と評価されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。この問題は、以前の Google の重大度評価ガイドラインで重大度「高」の脆弱性と評価され、パートナーにもそのように報告されました。2015 年 6 月に公開された新しいガイドラインでは、この問題の重大度は「重大」となります。</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>バグと AOSP リンク</th> |
| <th>重大度</th> |
| <th>影響のあるバージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-3836</td> |
| <td><a href="https://android.googlesource.com/platform/external/sonivox/+/e999f077f6ef59d20282f1e04786816a31fb8be6">ANDROID-21132860</a></td> |
| <td>重大</td> |
| <td>5.1 以下</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="buffer_overflows_in_libstagefright_mpeg4extractor_cpp">libstagefright の MPEG4Extractor.cpp におけるバッファ オーバーフロー</h3> |
| |
| <p>libstagefright において、MP4 の処理中にバッファ オーバーフローが複数発生する可能性があります。発生した場合、メモリが破損し、メディアサーバーのプロセスとしてリモートでコードが実行されるおそれがあります。</p> |
| |
| <p>影響を受ける機能はアプリの API として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。</p> |
| |
| <p>特権を持つメディアサーバーのサービスとしてリモートでコードが実行される可能性があることから、この問題の重大度は「重大」と評価されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。</p> |
| |
| <p>当初、この問題は(リモートではアクセスできない)ローカルからの攻撃として報告されました。この問題は、以前の Google の重大度評価ガイドラインで重大度「中」の脆弱性と評価され、パートナーにもそのように報告されました。2015 年 6 月に公開された新しいガイドラインでは、この問題の重大度は「重大」となります。</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>バグと AOSP リンク</th> |
| <th>重大度</th> |
| <th>影響のあるバージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-3832</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/d48f0f145f8f0f4472bc0af668ac9a8bce44ba9b">ANDROID-19641538</a></td> |
| <td>重大</td> |
| <td>5.1 以下</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="buffer_overflow_in_mediaserver_bpmediahttpconnection">メディアサーバーの BpMediaHTTPConnection におけるバッファ オーバーフロー</h3> |
| |
| <p>BpMediaHTTPConnection において、他のアプリから提供されたデータの処理中にバッファ オーバーフローが発生する可能性があります。発生した場合、メモリが破損し、メディアサーバーのプロセスとしてコードが実行されるおそれがあります。</p> |
| |
| <p>影響を受ける機能はアプリの API として提供されています。Google では、この問題をリモートから悪用することはできないと考えています。</p> |
| |
| <p>特権を持つメディアサーバーのサービスとしてローカルアプリからコードが実行される可能性があることから、この問題の重大度は「高」と評価されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>バグと AOSP リンク</th> |
| <th>重大度</th> |
| <th>影響のあるバージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-3831</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/51504928746edff6c94a1c498cf99c0a83bedaed">ANDROID-19400722</a></td> |
| <td>高</td> |
| <td>5.0 および 5.1</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="vulnerability_in_libpng_overflow_in_png_read_idat_data">libpng の脆弱性: png_Read_IDAT_data におけるオーバーフロー</h3> |
| |
| <p>libpng において、png_read_IDAT_data() 関数内で IDAT データの読み取り中にバッファ オーバーフローが発生する可能性があります。発生した場合、メモリが破損し、このメソッドを使用するアプリにおいてリモートでコードが実行されるおそれがあります。</p> |
| |
| <p>影響を受ける機能はアプリの API として提供されています。複数のアプリにおいて、リモート コンテンツによって(特に SMS アプリやブラウザを介して)この脆弱性が攻撃されるおそれがあります。</p> |
| |
| <p>特権のないアプリとしてリモートでコードが実行されるおそれがあるため、この問題の重大度は「高」と判断されています。</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>バグと AOSP リンク</th> |
| <th>重大度</th> |
| <th>影響のあるバージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-0973</td> |
| <td><a href="https://android.googlesource.com/platform/external/libpng/+/dd0ed46397a05ae69dc8c401f5711f0db0a964fa">ANDROID-19499430</a></td> |
| <td>高</td> |
| <td>5.1 以下</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="remotely_exploitable_memcpy_overflow_in_p2p_add_device_in_wpa_supplicant">wpa_supplicant の p2p_add_device() におけるリモートから攻撃可能な memcpy() のオーバーフロー</h3> |
| |
| <p>wpa_supplicant が WLAN Direct モードで動作している場合、p2p_add_device() メソッドでのオーバーフローによってリモートでコードが実行可能になる脆弱性が存在します。この脆弱性が悪用されると、Android で「wifi」ユーザーとしてコードが実行されるおそれがあります。</p> |
| |
| <p>この問題の悪用に対して効果のあるリスク回避策には、以下のものがあります。</p> |
| |
| <p>- 多くの Android 端末では、デフォルトで WLAN Direct が有効化されていません</p> |
| |
| <p>- この脆弱性を悪用するには、攻撃者が Wi-Fi 通信の届く範囲まで近づく必要があります</p> |
| |
| <p>- wpa_supplicant プロセスは、システムへのアクセスに制限のある「wifi」ユーザーとして実行されます</p> |
| |
| <p>- Android 4.1 以降を搭載した端末では、ASLR によってリモートからの攻撃のリスクが軽減されています</p> |
| |
| <p>- Android 5.0 以降では、SELinux のポリシーによって wpa_supplicant プロセスに厳しい制約が課されています</p> |
| |
| <p>リモートでコードが実行される可能性があることから、この問題の重大度は「高」と評価されています。通常、「wifi」サービスの機能にはサードパーティ製アプリからはアクセスできないため、この問題は「重大」と評価される可能性がありますが、Google では、機能が限られることとリスク軽減策のレベルを根拠に、重大度を「高」に引き下げられると判断しています。</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>バグと AOSP リンク</th> |
| <th>重大度</th> |
| <th>影響のあるバージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-1863</td> |
| <td><a href="https://android.googlesource.com/platform/external/wpa_supplicant_8/+/4cf0f2d0d869c35a9ec4432861d5efa8ead4279c">ANDROID-20076874</a></td> |
| <td>高</td> |
| <td>5.1 以下</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="memory_corruption_in_opensslx509certificate_deserialization">OpenSSLX509Certificate のシリアル化解除でのメモリ破損</h3> |
| |
| <p>悪意のあるローカルアプリから送信されたインテントを受信側のアプリでシリアル化解除する際に、任意のメモリアドレスで値がデクリメントされる可能性があります。これにより、メモリが破損し、受信側アプリ内でコードが実行されるおそれがあります。</p> |
| |
| <p>サードパーティのアプリがアクセスできない権限を取得できるため、この問題の重大度は「高」と判断されています。</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>バグと AOSP リンク</th> |
| <th>重大度</th> |
| <th>影響のあるバージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-3837</td> |
| <td><a href="https://android.googlesource.com/platform/external/conscrypt/+/edf7055461e2d7fa18de5196dca80896a56e3540">ANDROID-21437603</a></td> |
| <td>高</td> |
| <td>5.1 以下</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="buffer_overflow_in_mediaserver_bnhdcp">メディアサーバーの BnHDCP でのバッファ オーバーフロー</h3> |
| |
| <p>libstagefright において、別のアプリから提供されたデータの処理中に整数オーバーフローが発生する可能性があります。発生した場合、メモリ(ヒープ)が破損し、メディアサーバーのプロセスとしてコードが実行されるおそれがあります。</p> |
| |
| <p>サードパーティのアプリがアクセスできない権限を取得できるため、この問題の重大度は「高」と判断されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。</p> |
| |
| <p>この問題は、以前の Google の重大度評価ガイドラインで重大度「中」の脆弱性と評価され、パートナーにもそのように報告されました。2015 年 6 月に公開された新しいガイドラインでは、この問題は重大度「高」の脆弱性となります。</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>バグと AOSP リンク</th> |
| <th>重大度</th> |
| <th>影響のあるバージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-3834</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/c82e31a7039a03dca7b37c65b7890ba5c1e18ced">ANDROID-20222489</a></td> |
| <td>高</td> |
| <td>5.1 以下</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="buffer_overflow_in_libstagefright_omxnodeinstance_emptybuffer">libstagefright の OMXNodeInstance::emptyBuffer でのバッファ オーバーフロー</h3> |
| |
| <p>libstagefright において、別のアプリから提供されたデータの処理中にバッファ オーバーフローが発生する可能性があります。発生した場合、メモリが破損し、メディアサーバーのプロセスとしてコードが実行されるおそれがあります。</p> |
| |
| <p>サードパーティのアプリがアクセスできない権限を取得できるため、この問題の重大度は「高」と判断されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。</p> |
| |
| <p>この問題は、以前の Google の重大度評価ガイドラインで重大度「中」の脆弱性と評価され、パートナーにもそのように報告されました。2015 年 6 月に公開された新しいガイドラインでは、この問題は重大度「高」の脆弱性となります。</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>バグと AOSP リンク</th> |
| <th>重大度</th> |
| <th>影響のあるバージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-3835</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/086d84f45ab7b64d1a7ed7ac8ba5833664a6a5ab">ANDROID-20634516</a> [<a href="https://android.googlesource.com/platform/frameworks/av/+/3cb1b6944e776863aea316e25fdc16d7f9962902">2</a>]</td> |
| <td>高</td> |
| <td>5.1 以下</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="heap_overflow_in_mediaserver_audiopolicymanager_getinputforattr">メディアサーバーの AudioPolicyManager::getInputForAttr() でのヒープ オーバーフロー</h3> |
| |
| <p>メディアサーバーの Audio Policy Service でのヒープ オーバーフローによって、ローカルアプリからメディアサーバーのプロセス内で任意のコードが実行されるおそれがあります。</p> |
| |
| <p>影響を受ける機能はアプリの API として提供されています。Google では、この問題をリモートから悪用することはできないと考えています。</p> |
| |
| <p>特権を持つメディアサーバーのサービスとしてローカルアプリからコードが実行される可能性があることから、この問題の重大度は「高」と評価されています。メディアサーバーは SELinux により保護されていますが、メディアサーバーは音声や動画ストリームへのアクセスのほか、多くの端末で通常はサードパーティ製アプリがアクセスできない、特権を持つカーネル ドライバのデバイスノードへのアクセスも有しています。</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>バグと AOSP リンク</th> |
| <th>重大度</th> |
| <th>影響のあるバージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-3842</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/aeea52da00d210587fb3ed895de3d5f2e0264c88">ANDROID-21953516</a></td> |
| <td>高</td> |
| <td>5.1 以下</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="applications_can_intercept_or_emulate_sim_commands_to_telephony">電話機能への SIM コマンドがアプリにより傍受またはエミュレートされる脆弱性</h3> |
| |
| <p>SIM ツールキット(STK)フレームワークに脆弱性が存在し、Android の電話機能サブシステムへの STK SIM コマンドの一部がアプリによって傍受またはエミュレートされるおそれがあります。</p> |
| |
| <p>通常は「signature」または「system」レベルの権限で保護されている機能やデータに、権限のないアプリからアクセス可能になるおそれがあるため、この問題の重大度は「高」と評価されています。</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>バグと AOSP リンク</th> |
| <th>重大度</th> |
| <th>影響のあるバージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-3843</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/opt/telephony/+/b48581401259439dc5ef6dcf8b0f303e4cbefbe9">ANDROID-21697171</a> [<a href="https://android.googlesource.com/platform/packages/apps/Stk/+/1d8e00160c07ae308e5b460214eb2a425b93ccf7">2</a>, <a href="https://android.googlesource.com/platform/frameworks/base/+/a5e904e7eb3aaec532de83ca52e24af18e0496b4">3</a>, <a href="https://android.googlesource.com/platform/packages/services/Telephony/+/fcb1d13c320dd1a6350bc7af3166929b4d54a456">4</a>]</td> |
| <td>高</td> |
| <td>5.1 以下</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="vulnerability_in_bitmap_unmarshalling">ビットマップの非整列化における脆弱性</h3> |
| |
| <p>Bitmap_createFromParcel() の整数オーバーフローにより、アプリによる system_server プロセスのクラッシュや、system_server からのメモリデータの読み取りが可能になるおそれがあります。</p> |
| |
| <p>機密データが system_server プロセスから権限のないローカル プロセスに漏えいするおそれがあることから、この問題の重大度は「中」と評価されています。通常、このタイプの脆弱性の重大度は「高」と評価されますが、攻撃側のプロセスは攻撃の成功時に漏えいするデータを制御できないほか、攻撃が失敗すると端末が一時的に利用できなくなる(再起動が必要となる)ため、本件では重大度が引き下げられています。</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>バグと AOSP リンク</th> |
| <th>重大度</th> |
| <th>影響のあるバージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-1536</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/d44e5bde18a41beda39d49189bef7f2ba7c8f3cb">ANDROID-19666945</a></td> |
| <td>中</td> |
| <td>5.1 以下</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="appwidgetserviceimpl_can_create_intentsender_with_system_privileges">AppWidgetServiceImpl によりシステム特権を持つ IntentSender が作成される脆弱性</h3> |
| |
| <p>設定アプリの AppWidgetServiceImpl に脆弱性があり、任意のアプリで自身に FLAG_GRANT_READ_URI_PERMISSION または FLAG_GRANT_WRITE_URI_PERMISSION を設定することで URI 権限が取得される可能性があります。この脆弱性を悪用して、たとえば READ_CONTACTS 権限なしで連絡先データが読み取られるおそれがあります。</p> |
| |
| <p>通常は「dangerous」の保護レベルを持つ権限で保護されているデータに、ローカルアプリからアクセス可能になるおそれがあるため、この問題は重大度「中」の脆弱性と評価されています。</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>バグと AOSP リンク</th> |
| <th>重大度</th> |
| <th>影響のあるバージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-1541 </td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/0b98d304c467184602b4c6bce76fda0b0274bc07">ANDROID-19618745</a></td> |
| <td>中</td> |
| <td>5.1</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="mitigation_bypass_of_restrictions_on_getrecenttasks">getRecentTasks() の制限の迂回</h3> |
| |
| <p>ローカルアプリにおいて、Android 5.0 で導入された getRecentTasks() の制限が迂回され、フォアグラウンドのアプリが正確に判別される可能性があります。</p> |
| |
| <p>通常は「dangerous」の保護レベルを持つ権限で保護されているデータに、ローカルアプリからアクセス可能になるおそれがあるため、この問題の重大度は「中」と判断されています。</p> |
| |
| <p>この脆弱性は、<a href="http://stackoverflow.com/questions/24625936/getrunningtasks-doesnt-work-in-android-l">スタック オーバーフロー</a>において初めて公開されたと考えられます。</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>バグと AOSP リンク</th> |
| <th>重大度</th> |
| <th>影響のあるバージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-3833 </td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/aaa0fee0d7a8da347a0c47cef5249c70efee209e">ANDROID-20034603</a></td> |
| <td>中</td> |
| <td>5.0 および 5.1</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="activitymanagerservice_getprocessrecordlocked_may_load_a_system_uid_application_into_the_wrong_process">ActivityManagerService.getProcessRecordLocked() によりシステム UID アプリが誤ったプロセスに読み込まれる脆弱性</h3> |
| |
| <p>ActivityManager の getProcessRecordLocked() メソッドにおいて、アプリのプロセス名が対応するパッケージ名と一致するかどうかが正しく検証されません。そのため、ActivityManager で一部のタスクについて誤ったプロセスが読み込まれる可能性があります。</p> |
| |
| <p>その結果、任意のアプリによって設定アプリの読み込みが妨げられたり、設定のフラグメントにパラメータが注入される可能性があります。Google では、この脆弱性を悪用して任意のコードを「system」ユーザーとして実行することは不可能と判断しています。</p> |
| |
| <p>通常、「system」ユーザーのみがアクセスできる機能へのアクセスが可能となる場合は重大度が「高」と評価されますが、この脆弱性で付与されるアクセスのレベルは限られることから、重大度が「中」と評価されています。</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>バグと AOSP リンク</th> |
| <th>重大度</th> |
| <th>影響のあるバージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-3844 </td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/e3cde784e3d99966f313fe00dcecf191f6a44a31">ANDROID-21669445</a></td> |
| <td>中</td> |
| <td>5.1 以下</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="unbounded_buffer_read_in_libstagefright_while_parsing_3gpp_metadata">libstagefright での 3GPP メタデータ解析中にアンバインドされたバッファが読み込まれる脆弱性</h3> |
| |
| <p>3GPP データの解析中の整数アンダーフローにより、読み取り処理でバッファ オーバーランが発生し、メディアサーバーがクラッシュする可能性があります。</p> |
| |
| <p>当初、この問題の重大度は「高」と評価され、パートナーにもそのように報告されましたが、詳しい調査の結果、影響がメディアサーバーのクラッシュに限られることから、重大度が「低」に引き下げられました。</p> |
| <table> |
| <tbody><tr> |
| <th>CVE</th> |
| <th>バグと AOSP リンク</th> |
| <th>重大度</th> |
| <th>影響のあるバージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-3826</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/f4f7e0c102819f039ebb1972b3dba1d3186bc1d1">ANDROID-20923261</a></td> |
| <td>低</td> |
| <td>5.0 および 5.1</td> |
| </tr> |
| </tbody></table> |
| |
| <h2 id="revisions">改訂</h2> |
| |
| <ul> |
| <li>2015 年 8 月 13 日: 初公開 |
| |
| </li></ul></body></html> |