Бюллетень по безопасности Nexus – ноябрь 2015 г.

Опубликовано 2 ноября 2015 г.

К выходу ежемесячного бюллетеня по безопасности Android мы выпустили беспроводное обновление системы безопасности для устройств Nexus и опубликовали образы встроенного ПО Nexus на сайте Google Developers. Уязвимости устранены в сборке LMY48X и более поздних версиях, а также в Android 6.0 (Marshmallow) с исправлением от 1 ноября 2015 года или более поздним. С подробной информацией можно ознакомиться в разделе Часто задаваемые вопросы.

Мы сообщили партнерам об этих проблемах 5 октября 2015 года или ранее. Исправления уязвимостей будут добавлены в хранилище Android Open Source Project (AOSP) в течение 48 часов. Ссылки на AOSP появятся в этом бюллетене позже.

Самая серьезная из проблем – критическая уязвимость, которая позволяет удаленно выполнять код на затронутом устройстве во время обработки медиафайлов (например, при просмотре сайтов в интернете и работе с электронной почтой или MMS). Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

У нас нет информации об активном использовании обнаруженных уязвимостей. Информацию о том, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность применения уязвимостей Android, можно найти в разделе Предотвращение атак. Мы рекомендуем всем клиентам одобрить установку перечисленных в бюллетене обновлений.

Предотвращение атак

Здесь описано, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность успешного использования уязвимостей Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг-приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
  • Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

  • Абхишек Арья, Оливер Чан и Мартин Барбелла из команды безопасности Google Chrome: CVE-2015-6608.
  • Дэниел Микей (daniel.micay@copperhead.co) из Copperhead Security: CVE-2015-6609.
  • Донкван Ким (dkay@kaist.ac.kr) из System Security Lab, KAIST: CVE-2015-6614.
  • Хонгиль Ким (hongilk@kaist.ac.kr) из System Security Lab, KAIST: CVE-2015-6614.
  • Джек Тан (@jacktang310) из Trend Micro: CVE-2015-6611.
  • Питер Пи из Trend Micro: CVE-2015-6611.
  • Натали Сильванович из Google Project Zero: CVE-2015-6608.
  • Цидань Хэ (flanker_hqd) и Вэнь Сюй (@antlr7) из KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612.
  • Гуан Гун (龚广) (@oldfresher, higongguang@gmail.com) из Qihoo 360 Technology Co.Ltd.: CVE-2015-6612.
  • Севен Шэнь из Trend Micro: CVE-2015-6610.

Описание уязвимостей

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2015-11-01: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми версиями и датой сообщения об ошибке. Где возможно, мы приводим основную ссылку на изменение в AOSP, связанное с идентификатором ошибки. и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода в mediaserver

При обработке медиафайлов и данных в специально созданном файле злоумышленник может воспользоваться уязвимостью mediaserver, нарушить целостность информации в памяти и удаленно выполнить код как процесс mediaserver.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У этого сервиса есть доступ к аудио- и видеопотокам, а также права, которыми обычно не могут обладать сторонние приложения.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6608 ANDROID-19779574 Критический 5.0, 5.1, 6.0 Доступно только сотрудникам Google
ANDROID-23680780
ANDROID-23876444
ANDROID-23881715 Критический 4.4, 5.0, 5.1, 6.0 Доступно только сотрудникам Google
ANDROID-14388161 Критический 4.4 и 5.1 Доступно только сотрудникам Google
ANDROID-23658148 Критический 5.0, 5.1, 6.0 Доступно только сотрудникам Google

Удаленное выполнение кода в libutils

Уязвимость универсальной библиотеки libutils можно использовать при обработке аудиофайлов. Она позволяет злоумышленнику во время обработки специально созданного файла нарушить целостность информации в памяти и удаленно выполнить код.

Уязвимая функция является частью API. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней. Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в привилегированном сервисе. У уязвимого компонента есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6609 ANDROID-22953624 [2] Критический 6.0 и ниже 3 августа 2015 г.

Раскрытие информации через mediaserver

Уязвимости позволяют обойти защиту, предотвращающую атаки на платформу.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6611 ANDROID-23905951 [2] [3] Высокий 6.0 и ниже 7 сентября 2015 г.
ANDROID-23912202*
ANDROID-23953967*
ANDROID-23696300 Высокий 6.0 и ниже 31 августа 2015 г.
ANDROID-23600291 Высокий 6.0 и ниже 26 августа 2015 г.
ANDROID-23756261 [2] Высокий 6.0 и ниже 26 августа 2015 г.
ANDROID-23540907 [2] Высокий 5.1 и ниже 25 августа 2015 г.
ANDROID-23541506 Высокий 6.0 и ниже 25 августа 2015 г.
ANDROID-23284974*
ANDROID-23542351*
ANDROID-23542352*
ANDROID-23515142 Высокий 5.1 и ниже 19 августа 2015 г.

*Исправление можно скачать по другим ссылкам на AOSP.

Повышение привилегий через libstagefright

Уязвимость позволяет локальному вредоносному ПО нарушать целостность информации в памяти и выполнять произвольный код в контексте сервиса mediaserver. Как правило, подобным уязвимостям присваивают критический уровень серьезности, однако мы указали высокий уровень из-за низкой вероятности удаленной атаки.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6610 ANDROID-23707088 [2] Высокий 6.0 и ниже 19 августа 2015 г.

Повышение привилегий через libmedia

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте сервиса mediaserver. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6612 ANDROID-23540426 Высокий 6.0 и ниже 23 августа 2015 г.

Повышение привилегий через Bluetooth

Уязвимость позволяет локальному ПО отправлять команды принимающему порту отладки на устройстве. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6613 ANDROID-24371736 Высокий 6.0 Доступно только сотрудникам Google

Повышение привилегий через телефонную связь

Уязвимость позволяет локальному вредоносному приложению несанкционированно передавать данные в сетевые интерфейсы с ограниченным доступом. Это может привести к увеличению платы за передачу данных. Кроме того, злоумышленник сможет блокировать входящие вызовы, а также контролировать отключение звука при звонках. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно получить разрешения уровня dangerous (опасные).

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6614 ANDROID-21900139 [2] [3] Средний 5.0, 5.1 8 июня 2015 г.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?

Перечисленные проблемы устранены в сборке LMY48X и более новых версиях, а также в Android 6.0 (Marshmallow) с исправлением от 1 ноября 2015 года. Информацию о том, как проверить уровень исправления системы безопасности, можно найти в документации Nexus. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2015-11-01].

Версии

  • 2 ноября 2015 года. Бюллетень опубликован.