Дата публикации: 5 октября 2015 г. | Дата обновления: 28 апреля 2016 г.
К выходу ежемесячного бюллетеня по безопасности Android мы выпустили беспроводное обновление системы безопасности для устройств Nexus и опубликовали образы встроенного ПО Nexus на сайте Google Developers. Перечисленные проблемы устранены в сборке LMY48T и более поздних версиях (например, LMY48W), а также в Android 6.0 Marshmallow с исправлением от 1 октября 2015 года. Информацию о том, как проверить уровень исправления системы безопасности, можно найти в статье о сроках обновления ПО.
Мы сообщили партнерам об уязвимостях 10 сентября 2015 года или ранее. Исправления для устранения указанных уязвимостей в исходном коде доступны в хранилище Android Open Source Project (AOSP).
Самая серьезная из проблем – критическая уязвимость, которая позволяет удаленно выполнять код на затрагиваемом устройстве во время обработки медиафайлов (например, при просмотре сайтов в интернете и работе с электронной почтой и MMS). Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.
У нас нет информации об активном использовании обнаруженных уязвимостей. Информацию о том, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность применения уязвимостей Android, можно найти в разделе Предотвращение атак. Мы рекомендуем всем клиентам одобрить установку перечисленных в бюллетене обновлений.
Предотвращение атак
Здесь описано, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность успешного использования уязвимостей Android.
- В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем своевременно обновлять систему.
- Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг-приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже установлено, функция уведомит об этом пользователя и попытается удалить приложение.
- Компания Google обновила приложения Hangouts и Messenger. Теперь они не передают медиафайлы уязвимым процессам, таким как mediaserver, автоматически.
Благодарности
Благодарим всех, кто помог обнаружить уязвимости:
- Бреннан Лотнер: CVE-2015-3863.
- Чиачи У и Сюйсянь Цзян из C0RE Team, Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862.
- Яцзинь Чжоу, Лэй Ву и Сюйсянь Цзян из C0RE Team, Qihoo 360: CVE-2015-3865.
- Дэниел Микей (daniel.micay@copperhead.co) из Copperhead Security: CVE-2015-3875.
- dragonltx из Alibaba Mobile Security Team: CVE-2015-6599.
- Иан Бир и Стивен Виттито из Google Project Zero: CVE-2015-6604.
- Хоакин Ринаудо (@xeroxnir) и Иван Арсе (@4Dgifts), участники Программы безопасности ИКТ Фонда доктора Мануэля Садоски, Буэнос-Айрес, Аргентина: CVE-2015-3870.
- Джош Дрейк из Zimperium: CVE-2015-3876, CVE-2015-6602.
- Джордан Грусковняк (@jgrusko) из Exodus Intelligence: CVE-2015-3867.
- Питер Пи из Trend Micro: CVE-2015-3872, CVE-2015-3871.
- Пин Ли из Qihoo 360 Technology Co. Ltd: CVE-2015-3878.
- Севен Шэнь: CVE-2015-6600, CVE-2015-3847.
- Вантао (Neobyte) из Baidu X-Team: CVE-2015-6598.
- Виш Ву (@wish_wu) из Trend Micro Inc.: CVE-2015-3823.
- Майкл Роланд из JR-Center u'smile, Университет прикладных наук Верхней Австрии, Хагенберг: CVE-2015-6606.
Мы также благодарим команду безопасности Chrome, команду безопасности Google, Project Zero и других сотрудников Google, которые помогли обнаружить уязвимости, перечисленные в этом бюллетене.
Описание уязвимостей
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2015-10-01: описание и обоснование серьезности, таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми версиями и датой сообщения об ошибке. Где возможно, мы приводим основную ссылку на изменение в AOSP, связанное с идентификатором ошибки. Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.
Удаленное выполнение кода через libstagefright
Уязвимости позволяют злоумышленнику во время обработки специально созданного медиафайла и его данных нарушить целостность информации в памяти и удаленно выполнить код в привилегированном сервисе mediaserver.
Из-за этого проблеме присвоен критический уровень. У затронутых компонентов есть доступ к аудио- и видеопотокам, а также к разрешениям, недоступным сторонним приложениям.
CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Уязвимые версии | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2015-3873 | ANDROID-20674086 [2, 3, 4] | Критический | 5.1 и ниже | Доступно только сотрудникам Google |
ANDROID-20674674 [2, 3, 4] | ||||
ANDROID-20718524 | ||||
ANDROID-21048776 | ||||
ANDROID-21443020 | ||||
ANDROID-21814993 | ||||
ANDROID-22008959 | ||||
ANDROID-22077698 | ||||
ANDROID-22388975 | ||||
ANDROID-22845824 | ||||
ANDROID-23016072 | ||||
ANDROID-23247055 | ||||
ANDROID-23248776 | ||||
ANDROID-20721050 | Критический | 5.0 и 5.1 | Доступно только сотрудникам Google | |
CVE-2015-3823 | ANDROID-21335999 | Критический | 5.1 и ниже | 20 мая 2015 г. |
CVE-2015-6600 | ANDROID-22882938 | Критический | 5.1 и ниже | 31 июля 2015 г. |
CVE-2015-6601 | ANDROID-22935234 | Критический | 5.1 и ниже | 3 августа 2015 г. |
CVE-2015-3869 | ANDROID-23036083 | Критический | 5.1 и ниже | 4 августа 2015 г. |
CVE-2015-3870 | ANDROID-22771132 | Критический | 5.1 и ниже | 5 августа 2015 г. |
CVE-2015-3871 | ANDROID-23031033 | Критический | 5.1 и ниже | 6 августа 2015 г. |
CVE-2015-3868 | ANDROID-23270724 | Критический | 5.1 и ниже | 6 августа 2015 г. |
CVE-2015-6604 | ANDROID-23129786 | Критический | 5.1 и ниже | 11 августа 2015 г. |
CVE-2015-3867 | ANDROID-23213430 | Критический | 5.1 и ниже | 14 августа 2015 г. |
CVE-2015-6603 | ANDROID-23227354 | Критический | 5.1 и ниже | 15 августа 2015 г. |
CVE-2015-3876 | ANDROID-23285192 | Критический | 5.1 и ниже | 15 августа 2015 г. |
CVE-2015-6598 | ANDROID-23306638 | Критический | 5.1 и ниже | 18 августа 2015 г. |
CVE-2015-3872 | ANDROID-23346388 | Критический | 5.1 и ниже | 19 августа 2015 г |
CVE-2015-6599 | ANDROID-23416608 | Критический | 5.1 и ниже | 21 августа 2015 г. |
Удаленное выполнение кода через Sonivox
Уязвимости позволяют злоумышленнику во время обработки специально созданного медиафайла и его данных нарушить целостность информации в памяти и удаленно выполнить код в привилегированном сервисе mediaserver. Из-за этого проблеме присвоен критический уровень. У затронутого компонента есть доступ к аудио- и видеопотокам, а также к разрешениям, недоступным сторонним приложениям.
CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Уязвимые версии | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2015-3874 | ANDROID-23335715 | Критический | 5.1 и ниже | Разные |
ANDROID-23307276 [2] | ||||
ANDROID-23286323 |
Удаленное выполнение кода в libutils
В универсальной библиотеке libutils обнаружена уязвимость обработки аудиофайлов. При обработке специально созданного файла злоумышленник может нарушить целостность информации в памяти и удаленно выполнить код в сервисе, использующем эту библиотеку (например, mediaserver).
Уязвимая функция является частью API. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней. Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в привилегированном сервисе. У уязвимого компонента есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.
CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Уязвимые версии | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2015-3875 | ANDROID-22952485 | Критический | 5.1 и ниже | 15 августа 2015 г. |
CVE-2015-6602 | ANDROID-23290056 [2] | Критический | 5.1 и ниже | 15 августа 2015 г. |
Удаленное выполнение кода через Skia
Уязвимость позволяет во время обработки специально созданного медиафайла нарушить целостность информации в памяти и удаленно выполнить код в привилегированном процессе. Проблеме присвоен критический уровень, поскольку из-за нее можно удаленно выполнять код на пораженном устройстве (например, при просмотре сайтов в Интернете, обработке медиафайлов MMS и работе с электронной почтой).
CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Уязвимые версии | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2015-3877 | ANDROID-20723696 | Критический | 5.1 и ниже | 30 июля 2015 г. |
Удаленное выполнение кода через libFLAC
В libFLAC обнаружена уязвимость обработки медиафайлов. При обработке специально созданного файла злоумышленник может нарушить целостность информации в памяти и удаленно выполнить код.
Уязвимая функция является частью API. Многие приложения позволяют контенту, особенно воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней. Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в привилегированном сервисе. У затронутого компонента есть доступ к аудио- и видеопотокам, а также к разрешениям, недоступным сторонним приложениям.
CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Уязвимые версии | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2014-9028 | ANDROID-18872897 [2] | Критический | 5.1 и ниже | 14 ноября 2014 г. |
Повышение уровня прав доступа через хранилище ключей
Уязвимость позволяет вредоносному ПО нарушить целостность информации в памяти и выполнить произвольный код в контексте хранилища ключей при вызове KeyStore API. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.
CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Уязвимые версии | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2015-3863 | ANDROID-22802399 | Высокий | 5.1 и ниже | 28 июля 2015 г. |
Повышение привилегий через фреймворк медиапроигрывателя
Уязвимость фреймворка медиапроигрывателя позволяет вредоносному ПО выполнять произвольный код в контексте процесса mediaserver. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.
CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Уязвимые версии | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2015-3879 | ANDROID-23223325 [2]* | Высокий | 5.1 и ниже | 14 августа 2015 г. |
*Второе изменение не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать на сайте Google Developers.
Повышение уровня прав доступа через Android Runtime
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, Signature или SignatureOrSystem).
CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Уязвимые версии | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2015-3865 | ANDROID-23050463 [2] | Высокий | 5.1 и ниже | 8 августа 2015 г. |
Повышение привилегий через mediaserver
Уязвимости позволяют локальному вредоносному ПО выполнять произвольный код в контексте привилегированного оригинального сервиса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.
CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Уязвимые версии | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2015-6596 | ANDROID-20731946 | Высокий | 5.1 и ниже | Разные |
ANDROID-20719651* | ||||
ANDROID-19573085 | Высокий | 5.0–6.0 | Доступно только сотрудникам Google |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение уровня прав доступа через SEEK
Уязвимость, связанная с Secure Element Evaluation Kit (SmartCard API), позволяет приложению получить расширенные права, не запрашивая их. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, Signature или SignatureOrSystem).
CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Уязвимые версии | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2015-6606 | ANDROID-22301786* | Высокий | 5.1 и ниже | 30 июня 2015 г. |
*Эту проблему устраняет обновление, которое можно скачать на сайте.
Повышение привилегий через Media Projection
Уязвимость позволяет перехватывать пользовательские данные, делая скриншоты. Если пользователь установит вредоносное ПО со слишком длинным названием (они поддерживаются операционной системой), то предупреждение о записи данных может быть скрыто. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно получить расширенные права доступа.
CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Уязвимые версии | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2015-3878 | ANDROID-23345192 | Средний | 5.0–6.0 | 18 августа 2015 г. |
Повышение привилегий через Bluetooth
Уязвимость позволяет приложениям удалять сохраненные SMS. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно получить расширенные права доступа.
CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Уязвимые версии | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2015-3847 | ANDROID-22343270 | Средний | 5.1 и ниже | 8 июля 2015 г. |
Повышение привилегий через SQLite
В инструменте синтаксического анализа SQLite обнаружен ряд уязвимостей. Если локальное приложение использует их для атаки, то другое приложение или сервис смогут выполнять произвольные SQL-запросы. Это может привести к выполнению произвольного кода в контексте целевого приложения.
Исправление загружено на сайт AOSP 8 апреля 2015 года: https://android-review.googlesource.com/#/c/145961/. Оно позволяет обновить SQLite до версии 3.8.9.
В этом бюллетене содержатся исправления для SQLite в Android 4.4 (SQLite 3.7.11), а также в Android 5.0 и 5.1 (SQLite 3.8.6).
CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Уязвимые версии | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2015-6607 | ANDROID-20099586 | Средний | 5.1 и ниже | 7 апреля 2015 г. Общеизвестная |
Отказ в обслуживании в MediaServer
В mediaserver есть несколько уязвимостей, из-за которых можно вызвать сбой процесса mediaserver, что приведет к временному отказу в обслуживании на устройстве. Проблемам присвоен низкий уровень серьезности.
CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Уязвимые версии | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2015-6605 | ANDROID-20915134 | Низкий | 5.1 и ниже | Доступно только сотрудникам Google |
ANDROID-23142203 | ||||
ANDROID-22278703 | Низкий | 5.0–6.0 | Доступно только сотрудникам Google | |
CVE-2015-3862 | ANDROID-22954006 | Низкий | 5.1 и ниже | 2 августа 2015 г. |
Версии
- 5 октября 2015 года. Бюллетень опубликован.
- 7 октября 2015 года. Добавлены ссылки на AOSP и уточненные сведения об уязвимости CVE-2014-9028.
- 12 октября 2015 года. Добавлены благодарности обнаружившим уязвимости CVE-2015-3868, CVE-2015-3869, CVE-2015-3865 и CVE-2015-3862.
- 22 января 2016 года. Добавлена благодарность обнаружившим уязвимость CVE-2015-6606.
- 28 апреля 2016 года. Добавлена информация об уязвимости CVE-2015-6603, и исправлена опечатка в CVE-2014-9028.