Opublikowano 05 października 2015 | Zaktualizowano 28 kwietnia 2016 r
Wydaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA) w ramach naszego comiesięcznego procesu wydawania biuletynu zabezpieczeń Androida. Obrazy oprogramowania sprzętowego Nexusa zostały także udostępnione w witrynie Google Developer . Kompilacje LMY48T lub nowsze (takie jak LMY48W) i Android M z poprawką zabezpieczeń z dnia 1 października 2015 r. lub nowszą rozwiązują te problemy. Instrukcje dotyczące sprawdzania poziomu poprawki zabezpieczeń znajdziesz w dokumentacji Nexusa .
Partnerzy zostali powiadomieni o tych problemach 10 września 2015 r. lub wcześniej. Poprawki kodu źródłowego rozwiązujące te problemy zostały udostępnione w repozytorium Android Open Source Project (AOSP).
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwić zdalne wykonanie kodu na zagrożonym urządzeniu przy użyciu wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług są wyłączone na potrzeby programowania lub jeśli pomyślnie je ominiesz.
Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu przez klientów tych nowo zgłoszonych problemów. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Środki zaradcze . Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Łagodzenia
To jest podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.
- Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia za pomocą funkcji Verify Apps i SafetyNet, które ostrzegają o potencjalnie szkodliwych aplikacjach, które mają zostać zainstalowane. Narzędzia do rootowania urządzeń są zabronione w Google Play. Aby chronić użytkowników instalujących aplikacje spoza Google Play, opcja Weryfikuj aplikacje jest domyślnie włączona i ostrzega użytkowników o znanych aplikacjach powodujących rootowanie. Funkcja Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji wykorzystujących lukę umożliwiającą eskalację uprawnień. Jeśli taka aplikacja została już zainstalowana, funkcja Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wszelkich takich aplikacji.
- W razie potrzeby firma Google zaktualizowała aplikacje Hangouts i Messenger, aby multimedia nie były automatycznie przekazywane do procesów wrażliwych (takich jak serwer multimediów).
Podziękowanie
Chcielibyśmy podziękować tym badaczom za ich wkład:
- Brennan Lautner: CVE-2015-3863
- Chiachih Wu i Xuxian Jiang z zespołu C0RE z Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
- Yajin Zhou, Lei Wu i Xuxian Jiang z zespołu C0RE z Qihoo 360: CVE-2015-3865
- Daniel Micay (daniel.micay@copperhead.co) w Copperhead Security: CVE-2015-3875
- smokltx z zespołu Alibaba Mobile Security: CVE-2015-6599
- Ian Beer i Steven Vittitoe z Google Project Zero: CVE-2015-6604
- Joaquín Rinaudo (@xeroxnir) i Iván Arce (@4Dgifts) z Programa STIC w Fundación Dr. Manuel Sadosky, Buenos Aires, Argentyna: CVE-2015-3870
- Josh Drake z Zimperium: CVE-2015-3876, CVE-2015-6602
- Jordan Gruskovnjak z Exodus Intelligence (@jgrusko): CVE-2015-3867
- Peter Pi z Trend Micro: CVE-2015-3872, CVE-2015-3871
- Ping Li firmy Qihoo 360 Technology Co. Ltd: CVE-2015-3878
- Siedem Shen: CVE-2015-6600, CVE-2015-3847
- Wangtao (nebajt) z zespołu X Baidu: CVE-2015-6598
- Wish Wu z Trend Micro Inc. (@wish_wu): CVE-2015-3823
- Michael Roland z JR-Center u'smile na Uniwersytecie Nauk Stosowanych w Górnej Austrii/Hagenberg: CVE-2015-6606
Chcielibyśmy także podziękować zespołowi ds. bezpieczeństwa przeglądarki Chrome, zespołowi ds. bezpieczeństwa Google, projektowi Zero i innym osobom z Google za zgłoszenie kilku problemów rozwiązanych w tym biuletynie.
Szczegóły luki w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2015-10-01. Znajduje się tam opis problemu, uzasadnienie wagi oraz tabela zawierająca CVE, powiązany błąd, wagę, wersje, których dotyczy problem, oraz datę zgłoszenia. Jeśli to możliwe, powiązaliśmy zmianę AOSP, która rozwiązała problem, z identyfikatorem błędu. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia AOSP są powiązane z liczbami następującymi po identyfikatorze błędu.
Luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu w libstagefright
W libstagefright istnieją luki, które mogą pozwolić osobie atakującej, podczas przetwarzania pliku multimedialnego i danych specjalnie spreparowanego pliku, spowodować uszkodzenie pamięci i zdalne wykonanie kodu w usłudze serwera multimediów.
Problemy te mają wagę krytyczną ze względu na możliwość zdalnego wykonania kodu w ramach usługi uprzywilejowanej. Komponenty, których dotyczy problem, mają dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.
| CVE | Błąd(y) z linkami AOSP | Powaga | Wersje, których to dotyczy | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-3873 | ANDROID-20674086 [ 2 , 3 , 4 ] | Krytyczny | 5.1 i poniżej | Wewnętrzne Google |
| ANDROID-20674674 [ 2 , 3 , 4 ] | ||||
| ANDROID-20718524 | ||||
| ANDROID-21048776 | ||||
| ANDROID-21443020 | ||||
| ANDROID-21814993 | ||||
| ANDROID-22008959 | ||||
| ANDROID-22077698 | ||||
| ANDROID-22388975 | ||||
| ANDROID-22845824 | ||||
| ANDROID-23016072 | ||||
| ANDROID-23247055 | ||||
| ANDROID-23248776 | ||||
| ANDROID-20721050 | Krytyczny | 5.0 i 5.1 | Wewnętrzne Google | |
| CVE-2015-3823 | ANDROID-21335999 | Krytyczny | 5.1 i poniżej | 20 maja 2015 r |
| CVE-2015-6600 | ANDROID-22882938 | Krytyczny | 5.1 i poniżej | 31 lipca 2015 r |
| CVE-2015-6601 | ANDROID-22935234 | Krytyczny | 5.1 i poniżej | 3 sierpnia 2015 r |
| CVE-2015-3869 | ANDROID-23036083 | Krytyczny | 5.1 i poniżej | 4 sierpnia 2015 r |
| CVE-2015-3870 | ANDROID-22771132 | Krytyczny | 5.1 i poniżej | 5 sierpnia 2015 r |
| CVE-2015-3871 | ANDROID-23031033 | Krytyczny | 5.1 i poniżej | 6 sierpnia 2015 r |
| CVE-2015-3868 | ANDROID-23270724 | Krytyczny | 5.1 i poniżej | 6 sierpnia 2015 r |
| CVE-2015-6604 | ANDROID-23129786 | Krytyczny | 5.1 i poniżej | 11 sierpnia 2015 |
| CVE-2015-3867 | ANDROID-23213430 | Krytyczny | 5.1 i poniżej | 14 sierpnia 2015 |
| CVE-2015-6603 | ANDROID-23227354 | Krytyczny | 5.1 i poniżej | 15 sierpnia 2015 |
| CVE-2015-3876 | ANDROID-23285192 | Krytyczny | 5.1 i poniżej | 15 sierpnia 2015 |
| CVE-2015-6598 | ANDROID-23306638 | Krytyczny | 5.1 i poniżej | 18 sierpnia 2015 r |
| CVE-2015-3872 | ANDROID-23346388 | Krytyczny | 5.1 i poniżej | 19 sierpnia 2015 r |
| CVE-2015-6599 | ANDROID-23416608 | Krytyczny | 5.1 i poniżej | 21 sierpnia 2015 |
Luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu w Sonivox
W programie Sonivox istnieją luki, które mogą pozwolić osobie atakującej podczas przetwarzania specjalnie spreparowanego pliku multimedialnego spowodować uszkodzenie pamięci i zdalne wykonanie kodu w usłudze serwera multimediów. Ten problem ma wagę krytyczną ze względu na możliwość zdalnego wykonania kodu w ramach usługi uprzywilejowanej. Komponent, którego dotyczy problem, ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.
| CVE | Błąd(y) z linkami AOSP | Powaga | Wersje, których to dotyczy | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-3874 | ANDROID-23335715 | Krytyczny | 5.1 i poniżej | Wiele |
| ANDROID-23307276 [ 2 ] | ||||
| ANDROID-23286323 |
Luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu w libutils
W przetwarzaniu plików audio występują luki w zabezpieczeniach biblioteki ogólnej libutils. Luki te mogą pozwolić osobie atakującej podczas przetwarzania specjalnie spreparowanego pliku spowodować uszkodzenie pamięci i zdalne wykonanie kodu w usłudze korzystającej z tej biblioteki, takiej jak serwer multimediów.
Funkcja, której dotyczy problem, jest udostępniana w postaci interfejsu API aplikacji. Istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą treści zdalnych, w szczególności wiadomości MMS i odtwarzania multimediów w przeglądarce. Ten problem ma wagę krytyczną ze względu na możliwość zdalnego wykonania kodu w uprzywilejowanej usłudze. Komponent, którego dotyczy problem, ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.
| CVE | Błąd(y) z łączami AOSP | Powaga | Wersje, których to dotyczy | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-3875 | ANDROID-22952485 | Krytyczny | 5.1 i poniżej | 15 sierpnia 2015 |
| CVE-2015-6602 | ANDROID-23290056 [ 2 ] | Krytyczny | 5.1 i poniżej | 15 sierpnia 2015 |
Luka w zabezpieczeniach Skia umożliwiająca zdalne wykonanie kodu
Luka w komponencie Skia może zostać wykorzystana podczas przetwarzania specjalnie spreparowanego pliku multimedialnego, co może prowadzić do uszkodzenia pamięci i zdalnego wykonania kodu w uprzywilejowanym procesie. Ten problem ma stopień ważności krytyczny ze względu na możliwość zdalnego wykonania kodu przy użyciu wielu metod ataku, takich jak poczta e-mail, przeglądanie stron internetowych i wiadomości MMS podczas przetwarzania plików multimedialnych.
| CVE | Błąd(y) z łączami AOSP | Powaga | Wersje, których to dotyczy | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-3877 | ANDROID-20723696 | Krytyczny | 5.1 i poniżej | 30 lipca 2015 r |
Luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu w libFLAC
W bibliotece libFLAC występuje luka w przetwarzaniu plików multimedialnych. Luki te mogą pozwolić osobie atakującej podczas przetwarzania specjalnie spreparowanego pliku spowodować uszkodzenie pamięci i zdalne wykonanie kodu.
Funkcja, której dotyczy problem, jest udostępniana w postaci interfejsu API aplikacji. Istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą treści zdalnych, takich jak odtwarzanie multimediów w przeglądarce. Ten problem ma wagę krytyczną ze względu na możliwość zdalnego wykonania kodu w uprzywilejowanej usłudze. Komponent, którego dotyczy problem, ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.
| CVE | Błąd(y) z łączami AOSP | Powaga | Wersje, których to dotyczy | Data zgłoszona |
|---|---|---|---|---|
| CVE-2014-9028 | ANDROID-18872897 [ 2 ] | Krytyczny | 5.1 i poniżej | 14 listopada 2014 r |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w magazynie kluczy
Złośliwa aplikacja może wykorzystać lukę w zabezpieczeniach komponentu KeyStore umożliwiającą podniesienie uprawnień podczas wywoływania interfejsów API KeyStore. Ta aplikacja może spowodować uszkodzenie pamięci i wykonanie dowolnego kodu w kontekście magazynu kluczy. Ten problem ma stopień ważności wysoki, ponieważ można go wykorzystać do uzyskania dostępu do uprawnień, które nie są bezpośrednio dostępne dla aplikacji innej firmy.
| CVE | Błąd(y) z łączami AOSP | Powaga | Wersje, których to dotyczy | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | Wysoki | 5.1 i poniżej | 28 lipca 2015 r |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w programie Media Player Framework
Luka w zabezpieczeniach komponentu odtwarzacza multimediów umożliwiająca podniesienie uprawnień może pozwolić złośliwej aplikacji na wykonanie dowolnego kodu w kontekście serwera multimediów. Ten problem ma stopień ważności wysoki, ponieważ umożliwia złośliwej aplikacji dostęp do uprawnień niedostępnych dla aplikacji innych firm.
| CVE | Błąd(y) z łączami AOSP | Powaga | Wersje, których to dotyczy | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-3879 | ANDROID-23223325 [2]* | Wysoki | 5.1 i poniżej | 14 sierpnia 2015 |
* Druga zmiana dotycząca tego problemu nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w środowisku wykonawczym systemu Android
Luka w zabezpieczeniach środowiska wykonawczego Android umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem został sklasyfikowany jako wysoki, ponieważ można go wykorzystać do uzyskania zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.
| CVE | Błąd(y) z łączami AOSP | Powaga | Wersje, których to dotyczy | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-3865 | ANDROID-23050463 [ 2 ] | Wysoki | 5.1 i poniżej | 8 sierpnia 2015 |
Podniesienie poziomu luk w zabezpieczeniach serwera multimediów
Serwer multimediów zawiera wiele luk w zabezpieczeniach, które umożliwiają lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanej usługi natywnej. Ten problem został sklasyfikowany jako wysoki, ponieważ można go wykorzystać do uzyskania dostępu do uprawnień, które nie są bezpośrednio dostępne dla aplikacji innej firmy.
| CVE | Błąd(y) z łączami AOSP | Powaga | Wersje, których to dotyczy | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-6596 | ANDROID-20731946 | Wysoki | 5.1 i poniżej | Wiele |
| ANDROID-20719651* | ||||
| ANDROID-19573085 | Wysoki | 5,0 - 6,0 | Wewnętrzne Google |
* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach w zestawie do oceny elementu Secure Element
Luka we wtyczce SEEK (Secure Element Evaluation Kit, czyli SmartCard API) może pozwolić aplikacji na uzyskanie podwyższonych uprawnień bez żądania ich. Ten problem został sklasyfikowany jako wysoki, ponieważ można go wykorzystać do uzyskania zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.
| CVE | Błąd(y) z linkami AOSP | Powaga | Wersje, których to dotyczy | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-6606 | ANDROID-22301786* | Wysoki | 5.1 i poniżej | 30 czerwca 2015 r |
* Aktualizację rozwiązującą ten problem można znaleźć w witrynie SEEK dla systemu Android .
Luka w zabezpieczeniach dotycząca podniesienia uprawnień w projekcji multimediów
Luka w komponencie Media Projection może pozwolić na ujawnienie danych użytkownika w postaci zrzutów ekranu. Problem wynika z tego, że system operacyjny dopuszcza zbyt długie nazwy aplikacji. Użycie tych długich nazw przez lokalną złośliwą aplikację może uniemożliwić użytkownikowi wyświetlenie ostrzeżenia o nagraniu ekranu. Ten problem ma wagę umiarkowaną, ponieważ można go wykorzystać do nieprawidłowego uzyskania podwyższonych uprawnień.
| CVE | Błąd(y) z linkami AOSP | Powaga | Wersje, których to dotyczy | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-3878 | ANDROID-23345192 | Umiarkowany | 5,0 - 6,0 | 18 sierpnia 2015 r |
Luka w zabezpieczeniach Bluetooth umożliwiająca podniesienie uprawnień
Luka w komponencie Bluetooth systemu Android może pozwolić aplikacji na usunięcie zapisanych wiadomości SMS. Ten problem ma wagę umiarkowaną, ponieważ można go wykorzystać do nieprawidłowego uzyskania podwyższonych uprawnień.
| CVE | Błąd(y) z linkami AOSP | Powaga | Wersje, których to dotyczy | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-3847 | ANDROID-22343270 | Umiarkowany | 5.1 i poniżej | 8 lipca 2015 r |
Podniesienie poziomu luk w uprawnieniach w SQLite
W silniku analizującym SQLite wykryto wiele luk w zabezpieczeniach. Luki te mogą zostać wykorzystane przez aplikację lokalną, co może spowodować, że inna aplikacja lub usługa wykona dowolne zapytanie SQL. Pomyślna eksploatacja może skutkować wykonaniem dowolnego kodu w kontekście docelowej aplikacji.
Poprawka została przesłana do głównego AOSP 8 kwietnia 2015 r., aktualizując wersję SQLite do 3.8.9: https://android-review.googlesource.com/#/c/145961/
Niniejszy biuletyn zawiera poprawki do wersji SQLite na Androida 4.4 (SQLite 3.7.11) oraz Androida 5.0 i 5.1 (SQLite 3.8.6).
| CVE | Błąd(y) z linkami AOSP | Powaga | Wersje, których to dotyczy | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-6607 | ANDROID-20099586 | Umiarkowany | 5.1 i poniżej | 7 kwietnia 2015 r Publicznie znane |
Luki w zabezpieczeniach typu „odmowa usługi” w serwerze multimediów
Istnieje wiele luk w zabezpieczeniach serwera multimediów, które mogą spowodować odmowę usługi w wyniku zawieszenia procesu serwera multimediów. Problemy te mają niską wagę, ponieważ objawiają się awarią serwera multimediów skutkującą lokalną tymczasową odmową usługi.
| CVE | Błąd(y) z linkami AOSP | Powaga | Wersje, których to dotyczy | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-6605 | ANDROID-20915134 | Niski | 5.1 i poniżej | Wewnętrzne Google |
| ANDROID-23142203 | ||||
| ANDROID-22278703 | Niski | 5,0 - 6,0 | Wewnętrzne Google | |
| CVE-2015-3862 | ANDROID-22954006 | Niski | 5.1 i poniżej | 2 sierpnia 2015 r |
Wersje
- 05 października 2015: Biuletyn opublikowany.
- 07 października 2015: Biuletyn zaktualizowany o referencje AOSP. Wyjaśniono odniesienia do błędów w CVE-2014-9028.
- 12 października 2015 r.: Zaktualizowano podziękowania dla CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
- 22 stycznia 2016 r.: Zaktualizowano podziękowania dla CVE-2015-6606.
- 28 kwietnia 2016 r.: Dodano CVE-2015-6603 i poprawiono literówkę w CVE-2014-9028.