Nexus 安全公告 - 2015 年 9 月

发布时间:2015 年 9 月 9 日

在发布本月 Android 安全公告的同时,我们通过无线下载 (OTA) 更新的方式发布了针对 Nexus 设备的安全更新(细分版本号为 LMY48M)。我们已将针对 Nexus 设备的更新以及针对这些问题的源代码补丁程序发布到 Android 开源项目 (AOSP) 源代码库中。这些问题中危险性最高的是一个严重程度为“严重”的安全漏洞,攻击者可以利用该漏洞在受影响的设备上远程执行代码。

我们还在 Google Developers 网站上发布了 Nexus 固件映像。 LMY48M 或更高版本的 build 都已解决本公告中所述的问题。合作伙伴在 2015 年 8 月 13 日或之前就已收到关于这些问题的通知。

我们尚未检测到有用户利用这些新报告的问题。不过,现有问题 CVE-2015-3636 属于例外情况。请参阅缓解措施部分,详细了解 Android 安全平台防护功能和服务防护功能(如 SafetyNet),这些功能有助于降低 Android 上的安全漏洞被成功利用的可能性。

请注意,针对 CVE-2015-3864 和 CVE-2015-3686 这两个“严重”漏洞的安全更新可解决所披露的漏洞。此次更新中没有新披露的“严重”安全漏洞。严重程度评估的依据是漏洞被利用后可能会对受影响的设备造成的影响(假设相关平台和服务缓解措施被成功规避或出于开发目的而被停用)。

我们建议所有用户都在自己的设备上接受这些更新。

缓解措施

这一部分总结了 Android 安全平台和服务防护功能(如 SafetyNet)提供的缓解措施。这些功能有助于降低 Android 上的安全漏洞被成功利用的可能性。

  • 较高版本的 Android 平台中提供的增强功能让攻击者更加难以利用 Android 上存在的许多问题。我们建议所有用户都尽可能更新到最新版 Android。
  • Android 安全团队会积极利用“验证应用”功能和 SafetyNet 监控滥用行为,这些功能会在用户要安装潜在有害应用时发出警告。Google Play 中禁止提供会获取设备 Root 权限的工具。为了保护从 Google Play 以外的来源安装应用的用户,“验证应用”功能会默认处于启用状态,并会在用户要安装能够获取 root 权限的已知应用时警告用户。“验证应用”功能会尝试识别并阻止用户安装会利用提权漏洞的已知恶意应用。如果用户已安装此类应用,那么“验证应用”功能将会通知用户并尝试移除所有此类应用。
  • 由于已做了适当更新,因此 Google Hangouts 和 Messenger 应用不会自动将媒体内容传递给 Mediaserver 之类的进程。

致谢

非常感谢以下研究人员做出的贡献:

  • Exodus Intelligence 的 Jordan Gruskovnjak (@jgrusko):CVE-2015-3864
  • Michał Bednarski:CVE-2015-3845
  • 奇虎 360 科技有限公司的龚广:CVE-2015-1528、CVE-2015-3849
  • Brennan Lautner:CVE-2015-3863
  • jgor (@indiecom):CVE-2015-3860
  • 趋势科技 (Trend Micro Inc.) 的吴潍浠 (@wish_wu):CVE-2015-3861

安全漏洞详情

我们在下面提供了本公告中列出的每个安全漏洞的详细信息,其中包括问题描述、严重程度阐述以及一个包含 CVE、相关 bug、严重程度、受影响版本及报告日期的表格。 如果有解决相应问题的 AOSP 代码更改记录,我们会将 bug ID 链接到该记录。如果某个 bug 有多条相关的代码更改记录,我们还通过 bug ID 后面的数字链接到了更多 AOSP 参考信息。

Mediaserver 中的远程代码执行漏洞

Mediaserver 中有一些漏洞,当系统对攻击者蓄意创建的媒体文件进行文件和数据处理时,攻击者可以利用这些漏洞破坏内存,并通过 Mediaserver 进程远程执行代码。

受影响的功能是操作系统的核心部分,有多个应用允许通过远程内容(最主要是彩信和浏览器媒体播放)使用该功能。

由于攻击者可以利用该漏洞通过 Mediaserver 服务远程执行代码,因此我们将该漏洞的严重程度评为“严重”。mediaserver 服务可以访问音频和视频流,还可以获取第三方应用通常无法获取的权限。

该漏洞与已报告的 CVE-2015-3824 (ANDROID-20923261) 相关。 原来的安全更新不足以解决最初报告的此问题的变体。

CVE Bug(附 AOSP 链接) 严重程度 受影响的版本
CVE-2015-3864 ANDROID-23034759 严重 5.1 及更低版本

内核中的提权漏洞

Linux 内核处理 ping Socket 的过程中有一个提权漏洞,恶意应用可以利用该漏洞通过内核执行任意代码。

由于攻击者可以利用该漏洞通过能够绕过设备防护功能的特权服务执行代码,从而有可能在某些设备上造成永久损坏(需要重写系统分区才能修复),因此我们将该漏洞的严重程度评为“严重”。

该漏洞在 2015 年 5 月 1 日首次得到公开认定。有许多会获取 Root 权限的工具都利用了这个漏洞,而设备所有者可使用这类工具来修改设备上的固件。

CVE Bug(附 AOSP 链接) 严重程度 受影响的版本
CVE-2015-3636 ANDROID-20770158 严重 5.1 及更低版本

Binder 中的提权漏洞

Binder 中有一个提权漏洞,恶意应用可以利用该漏洞通过其他应用的进程执行任意代码。

由于恶意应用可以利用该漏洞获取第三方应用无法获取的权限,因此我们将该漏洞的严重程度评为“高”。

CVE Bug(附 AOSP 链接) 严重程度 受影响的版本
CVE-2015-3845 ANDROID-17312693 5.1 及更低版本
CVE-2015-1528 ANDROID-19334482 [2] 5.1 及更低版本

Keystore 中的提权漏洞

Keystore 中有一个提权漏洞,恶意应用可以利用该漏洞通过 Keystore 服务执行任意代码。攻击者可以利用该漏洞在未经授权的情况下使用 Keystore 储存的密钥(包括硬件支持的密钥)。

由于攻击者可以利用该漏洞获取第三方应用无法获取的权限,因此我们将该漏洞的严重程度评为“高”。

CVE Bug(附 AOSP 链接) 严重程度 受影响的版本
CVE-2015-3863 ANDROID-22802399 5.1 及更低版本

Region 中的提权漏洞

Region 中有一个提权漏洞,恶意应用可以利用该漏洞创建针对某项服务的恶意信息,进而通过目标服务执行任意代码。

由于攻击者可以利用该漏洞获取第三方应用无法获取的权限,因此我们将该漏洞的严重程度评为“高”。

CVE Bug(附 AOSP 链接) 严重程度 受影响的版本
CVE-2015-3849 ANDROID-20883006 [2] 5.1 及更低版本

短信中的提权漏洞允许短信绕过通知

Android 处理短信的过程中有一个提权漏洞,恶意应用可以利用该漏洞发送可绕过付费短信警告通知的短信。

由于攻击者可以利用该漏洞获取第三方应用无法获取的权限,因此我们将该漏洞的严重程度评为“高”。

CVE Bug(附 AOSP 链接) 严重程度 受影响的版本
CVE-2015-3858 ANDROID-22314646 5.1 及更低版本

锁定屏幕中的提权漏洞

锁定屏幕中有一个提权漏洞,恶意用户可以利用该漏洞使锁定屏幕崩溃,从而绕过锁定屏幕。我们仅在 Android 5.0 和 5.1 中将该问题归类为“漏洞”。在 4.4 版本中,恶意用户可采取类似方式在锁定屏幕中使系统界面组件崩溃,从而导致用户无法使用主屏幕,且必须重新启动设备才能使设备恢复正常。

由于该漏洞可让实际接触到设备的人在未经机主许可的情况下安装第三方应用,因此我们将该漏洞的严重程度评为“中”。此外,该漏洞还可让攻击者查看机主的联系人数据、通话记录、短信以及通常由“危险”级别的权限保护的其他数据。

CVE Bug(附 AOSP 链接) 严重程度 受影响的版本
CVE-2015-3860 ANDROID-22214934 5.1 及 5.0

Mediaserver 中的拒绝服务漏洞

Mediaserver 中有一个拒绝服务漏洞,本地攻击者可以利用该漏洞暂时阻止用户使用受影响的设备。

由于用户可通过重新启动设备并进入安全模式来移除利用该漏洞的恶意应用,因此我们将该漏洞的严重程度评为“低”。该漏洞还可能导致 Mediaserver 通过网页或彩信远程处理恶意文件,在这种情况下,Mediaserver 进程将会崩溃,但设备仍可用。

CVE Bug(附 AOSP 链接) 严重程度 受影响的版本
CVE-2015-3861 ANDROID-21296336 5.1 及更低版本