Biuletyn Bezpieczeństwa Nexusa – wrzesień 2015 r

Opublikowano 9 września 2015 r

Wydaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA) w ramach naszego comiesięcznego procesu wydawania biuletynu zabezpieczeń systemu Android (kompilacja LMY48M). Aktualizacje dla urządzeń Nexus i poprawki kodu źródłowego rozwiązujące te problemy zostały również udostępnione w repozytorium źródłowym Android Open Source Project (AOSP). Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwić zdalne wykonanie kodu na zagrożonym urządzeniu.

Obrazy oprogramowania sprzętowego Nexusa zostały także udostępnione w witrynie Google Developer . Kompilacje LMY48M lub nowsze rozwiązują te problemy. Partnerzy zostali powiadomieni o tych problemach 13 sierpnia 2015 r. lub wcześniej.

Nie wykryliśmy wykorzystywania przez klientów nowo zgłoszonych problemów. Wyjątkiem jest istniejący problem (CVE-2015-3636). Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń systemu Android oraz zabezpieczeń usług, takich jak SafetyNet, zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android w sekcji Środki zaradcze.

Należy pamiętać, że obie krytyczne aktualizacje zabezpieczeń (CVE-2015-3864 i CVE-2015-3686) usuwają już ujawnione luki. W tej aktualizacji nie ujawniono żadnych nowo ujawnionych krytycznych luk w zabezpieczeniach. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług są wyłączone na potrzeby programowania lub jeśli pomyślnie je ominiesz.

Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Łagodzenia

To jest podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.

  • Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
  • Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia za pomocą funkcji Verify Apps i SafetyNet, które ostrzegają o potencjalnie szkodliwych aplikacjach, które mają zostać zainstalowane. Narzędzia do rootowania urządzeń są zabronione w Google Play. Aby chronić użytkowników instalujących aplikacje spoza Google Play, opcja Weryfikuj aplikacje jest domyślnie włączona i ostrzega użytkowników o znanych aplikacjach powodujących rootowanie. Funkcja Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji wykorzystujących lukę umożliwiającą eskalację uprawnień. Jeśli taka aplikacja została już zainstalowana, funkcja Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wszelkich takich aplikacji.
  • W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak serwer multimediów.

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

  • Jordan Gruskovnjak z Exodus Intelligence (@jgrusko): CVE-2015-3864
  • Michał Bednarski: CVE-2015-3845
  • Guang Gong z Qihoo 360 Technology Co. Ltd (@oldfresher): CVE-2015-1528, CVE-2015-3849
  • Brennan Lautner: CVE-2015-3863
  • jgor (@indiecom): CVE-2015-3860
  • Wish Wu z Trend Micro Inc. (@wish_wu): CVE-2015-3861

Szczegóły luki w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach niniejszego biuletynu. Znajduje się tam opis problemu, uzasadnienie wagi oraz tabela zawierająca CVE, powiązany błąd, wagę, wersje, których dotyczy problem, oraz datę zgłoszenia. Jeśli to możliwe, powiązaliśmy zmianę AOSP, która rozwiązała problem, z identyfikatorem błędu. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia AOSP są powiązane z liczbami następującymi po identyfikatorze błędu.

Luka w zabezpieczeniach serwera multimediów umożliwiająca zdalne wykonanie kodu

Podczas przetwarzania pliku multimedialnego i danych specjalnie spreparowanego pliku luki w zabezpieczeniach serwera multimediów mogą pozwolić osobie atakującej na spowodowanie uszkodzenia pamięci i zdalnego wykonania kodu w procesie serwera multimediów.

Funkcja, której to dotyczy, jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności wiadomości MMS i odtwarzania multimediów w przeglądarce.

Ten problem ma wagę krytyczną ze względu na możliwość zdalnego wykonania kodu w kontekście usługi serwera multimediów. Usługa serwera multimediów ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.

Ten problem jest związany z już zgłoszonym CVE-2015-3824 (ANDROID-20923261). Oryginalna aktualizacja zabezpieczeń nie była wystarczająca, aby rozwiązać wariant pierwotnie zgłoszonego problemu.

CVE Błąd z linkami AOSP Powaga Wersje, których to dotyczy
CVE-2015-3864 ANDROID-23034759 Krytyczny 5.1 i poniżej

Luka w zabezpieczeniach jądra umożliwiająca podniesienie uprawnień

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w jądrze Linuksa w obsłudze gniazd ping może pozwolić złośliwej aplikacji na wykonanie dowolnego kodu w kontekście jądra.

Ten problem ma stopień ważności krytyczny ze względu na możliwość wykonania kodu w uprzywilejowanej usłudze, która może ominąć zabezpieczenia urządzeń, co może prowadzić do trwałego naruszenia bezpieczeństwa (tj. konieczności ponownego flashowania partycji systemowej) na niektórych urządzeniach.

Problem ten został po raz pierwszy publicznie zidentyfikowany 1 maja 2015 r. Exploit wykorzystujący tę lukę został zastosowany w wielu narzędziach do „rootowania”, których właściciel urządzenia może używać do modyfikowania oprogramowania sprzętowego swojego urządzenia.

CVE Błąd(y) z łączami AOSP Powaga Wersje, których to dotyczy
CVE-2015-3636 ANDROID-20770158 Krytyczny 5.1 i poniżej

Luka w zabezpieczeniach powodująca podniesienie uprawnień w programie Binder

Luka w zabezpieczeniach programu Binder umożliwiająca podniesienie uprawnień może pozwolić złośliwej aplikacji na wykonanie dowolnego kodu w kontekście procesu innej aplikacji.

Ten problem ma stopień ważności wysoki, ponieważ umożliwia złośliwej aplikacji uzyskanie uprawnień niedostępnych dla aplikacji innych firm.

CVE Błąd(y) z łączami AOSP Powaga Wersje, których to dotyczy
CVE-2015-3845 ANDROID-17312693 Wysoki 5.1 i poniżej
CVE-2015-1528 ANDROID-19334482 [ 2 ] Wysoki 5.1 i poniżej

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w magazynie kluczy

Luka w zabezpieczeniach magazynu kluczy umożliwiająca podniesienie uprawnień może pozwolić złośliwej aplikacji na wykonanie dowolnego kodu w kontekście usługi magazynu kluczy. Może to umożliwić nieautoryzowane użycie kluczy przechowywanych w magazynie kluczy, w tym kluczy sprzętowych.

Ten problem został sklasyfikowany jako wysoki, ponieważ można go wykorzystać do uzyskania uprawnień niedostępnych dla aplikacji innych firm.

CVE Błąd(y) z łączami AOSP Powaga Wersje, których to dotyczy
CVE-2015-3863 ANDROID-22802399 Wysoki 5.1 i poniżej

Podniesienie poziomu luki w zabezpieczeniach w regionie

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w regionie może, poprzez utworzenie złośliwej wiadomości kierowanej do usługi, pozwolić złośliwej aplikacji na wykonanie dowolnego kodu w kontekście docelowej usługi.

Ten problem został sklasyfikowany jako wysoki, ponieważ można go wykorzystać do uzyskania uprawnień niedostępnych dla aplikacji innych firm.

CVE Błąd(y) z łączami AOSP Powaga Wersje, których to dotyczy
CVE-2015-3849 ANDROID-20883006 [ 2 ] Wysoki 5.1 i poniżej

Luka w zabezpieczeniach wiadomości SMS umożliwiająca podniesienie uprawnień umożliwia ominięcie powiadomień

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sposobie przetwarzania wiadomości SMS przez system Android może umożliwić złośliwej aplikacji wysłanie wiadomości SMS z pominięciem powiadomienia SMS z ostrzeżeniem o podwyższonej opłacie.

Ten problem został sklasyfikowany jako wysoki, ponieważ można go wykorzystać do uzyskania uprawnień niedostępnych dla aplikacji innych firm.

CVE Błąd(y) z łączami AOSP Powaga Wersje, których to dotyczy
CVE-2015-3858 ANDROID-22314646 Wysoki 5.1 i poniżej

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień na ekranie blokady

Luka w zabezpieczeniach ekranu blokady umożliwiająca podniesienie uprawnień może umożliwić złośliwemu użytkownikowi ominięcie ekranu blokady i spowodowanie jego awarii. Ten problem jest klasyfikowany jako luka tylko w Androidzie 5.0 i 5.1. Chociaż istnieje możliwość spowodowania awarii interfejsu systemowego na ekranie blokady w podobny sposób w wersji 4.4, dostęp do ekranu głównego jest niemożliwy i aby przywrócić działanie, należy ponownie uruchomić urządzenie.

Ten problem ma wagę umiarkowaną, ponieważ potencjalnie umożliwia osobie z fizycznym dostępem do urządzenia instalowanie aplikacji innych firm bez zatwierdzania uprawnień przez właściciela urządzenia. Może także pozwolić atakującemu na przeglądanie danych kontaktowych, rejestrów rozmów telefonicznych, wiadomości SMS i innych danych, które zwykle są chronione uprawnieniami na poziomie „niebezpiecznym”.

CVE Błąd(y) z łączami AOSP Powaga Wersje, których to dotyczy
CVE-2015-3860 ANDROID-22214934 Umiarkowany 5.1 i 5.0

Luka w zabezpieczeniach serwera multimediów związana z odmową usługi

Luka w zabezpieczeniach serwera multimediów umożliwiająca odmowę usługi może pozwolić lokalnemu atakującemu na tymczasowe zablokowanie dostępu do urządzenia, którego dotyczy luka.

Ten problem ma niską wagę, ponieważ użytkownik może uruchomić komputer w trybie awaryjnym, aby usunąć złośliwą aplikację wykorzystującą ten problem. Możliwe jest również spowodowanie, że serwer multimediów przetworzy złośliwy plik zdalnie za pośrednictwem Internetu lub wiadomości MMS, w takim przypadku proces serwera multimediów ulegnie awarii, a urządzenie pozostanie zdatne do użytku.

CVE Błąd(y) z łączami AOSP Powaga Wersje, których to dotyczy
CVE-2015-3861 ANDROID-21296336 Niski 5.1 i poniżej