Опубликовано 4 января 2016 г. | Обновлено 28 апреля 2016 г.
Мы выпустили обновление безопасности для устройств Nexus посредством беспроводного обновления (OTA) в рамках ежемесячного выпуска бюллетеня по безопасности Android. Образы прошивки Nexus также были размещены на сайте разработчиков Google . Сборки LMY49F или более поздней версии и Android 6.0 с уровнем исправления безопасности от 1 января 2016 г. или более поздней версии устраняют эти проблемы. Более подробную информацию можно найти в разделе «Общие вопросы и ответы» .
Партнеры были уведомлены и предоставили обновленную информацию о проблемах, описанных в этом бюллетене, 7 декабря 2015 г. или ранее. Там, где это применимо, исправления исходного кода для этих проблем были выпущены в репозиторий Android Open Source Project (AOSP).
Наиболее серьезной из этих проблем является критическая уязвимость безопасности, которая может сделать возможным удаленное выполнение кода на уязвимом устройстве с помощью нескольких методов, таких как электронная почта, просмотр веб-страниц и MMS при обработке мультимедийных файлов. Оценка серьезности основана на влиянии, которое эксплуатация уязвимости может оказать на затронутое устройство, при условии, что средства защиты платформы и службы отключены в целях разработки или в случае успешного обхода.
У нас не было сообщений об активном использовании клиентами этих новых проблем. Подробную информацию о средствах защиты платформы безопасности Android и службах защиты, таких как SafetyNet, которые повышают безопасность платформы Android, можно найти в разделе «Средства снижения риска». Мы рекомендуем всем клиентам принять эти обновления на свои устройства.
Смягчения
Это краткий обзор мер, обеспечиваемых платформой безопасности Android и средствами защиты служб, такими как SafetyNet. Эти возможности снижают вероятность успешного использования уязвимостей безопасности на Android.
- Использование многих проблем на Android усложняется из-за усовершенствований в новых версиях платформы Android. Мы рекомендуем всем пользователям по возможности обновиться до последней версии Android.
- Команда безопасности Android активно отслеживает злоупотребления с помощью Verify Apps и SafetyNet, которые предупреждают о потенциально вредоносных приложениях, которые могут быть установлены. Инструменты рутирования устройств запрещены в Google Play. Чтобы защитить пользователей, которые устанавливают приложения из-за пределов Google Play, функция Verify Apps включена по умолчанию и предупреждает пользователей об известных приложениях с root-доступом. Verify Apps пытается идентифицировать и заблокировать установку известных вредоносных приложений, использующих уязвимость повышения привилегий. Если такое приложение уже установлено, Verify Apps уведомит пользователя и попытается удалить все такие приложения.
- При необходимости приложения Google Hangouts и Messenger не передают мультимедиа автоматически в такие процессы, как медиасервер.
Благодарности
Мы хотели бы поблагодарить этих исследователей за их вклад:
- Абхишек Арья, Оливер Чанг и Мартин Барбелла из группы безопасности Google Chrome: CVE-2015-6636.
- Сен Не ( @nforest_ ) и Чан из лаборатории KEEN, Tencent ( @K33nTeam ): CVE-2015-6637
- Ябин Цуй из команды Android Bionic: CVE-2015-6640.
- Том Крейг из Google X: CVE-2015-6641.
- Янн Хорн ( https://thejh.net ): CVE-2015-6642.
- Йоуни Малинен PGP с идентификатором EFC895FA: CVE-2015-5310
- Куан Нгуен из группы инженеров по информационной безопасности Google: CVE-2015-6644.
- Галь Бениамини ( @laginimaineb , http://bits-please.blogspot.com ): CVE-2015-6639
Подробности об уязвимостях безопасности
В разделах ниже мы приводим подробную информацию о каждой уязвимости безопасности, применимой к уровню исправления 2016-01-01. Приведено описание проблемы, обоснование серьезности и таблица с CVE, связанной ошибкой, серьезностью, обновленными версиями и датой сообщения. Когда оно станет доступным, мы свяжем изменение AOSP, устраняющее проблему, с идентификатором ошибки. Если несколько изменений относятся к одной ошибке, дополнительные ссылки AOSP связаны с номерами, следующими за идентификатором ошибки.
Уязвимость удаленного выполнения кода на медиасервере
Во время обработки медиафайла и данных специально созданного файла уязвимости в медиасервере могут позволить злоумышленнику вызвать повреждение памяти и удаленное выполнение кода в качестве процесса медиасервера.
Затронутая функциональность предоставляется как основная часть операционной системы, и существует множество приложений, которые позволяют получить доступ к ней с помощью удаленного контента, в первую очередь MMS и воспроизведения мультимедиа в браузере.
Этой проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте службы медиасервера. Служба медиасервера имеет доступ к аудио- и видеопотокам, а также доступ к привилегиям, к которым сторонние приложения обычно не имеют доступа.
| CVE | Ошибки со ссылками AOSP | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-6636 | АНДРОИД-25070493 | Критический | 5.0, 5.1.1, 6.0, 6.0.1 | Внутренний Google |
| АНДРОИД-24686670 | Критический | 5.0, 5.1.1, 6.0, 6.0.1 | Внутренний Google |
Повышение привилегий через драйвер misc-sd
Уязвимость, связанная с повышением привилегий в драйвере misc-sd от MediaTek, может позволить локальному вредоносному приложению выполнить произвольный код внутри ядра. Этой проблеме присвоен критический уровень серьезности из-за возможности локальной постоянной компрометации устройства, и в этом случае устройство, возможно, потребуется отремонтировать путем перепрошивки операционной системы.
| CVE | Ошибка(и) | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-6637 | АНДРОИД-25307013* | Критический | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 26 октября 2015 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость повышения привилегий в драйвере Imagination Technologies
Уязвимость, связанная с повышением привилегий в драйвере ядра от Imagination Technologies, может позволить локальному вредоносному приложению выполнить произвольный код внутри ядра. Этой проблеме присвоен критический уровень серьезности из-за возможности локального постоянного компрометации устройства, и в этом случае устройство, возможно, потребуется отремонтировать путем перепрошивки операционной системы.
| CVE | Ошибка(и) | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-6638 | АНДРОИД-24673908* | Критический | 5.0, 5.1.1, 6.0, 6.0.1 | Внутренний Google |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Повышение привилегий через уязвимости в Trustzone
Уязвимости, связанные с повышением привилегий в приложении Widevine QSEE TrustZone, могут позволить скомпрометированному привилегированному приложению с доступом к QSEECOM выполнить произвольный код в контексте Trustzone. Этой проблеме присвоен критический уровень серьезности из-за возможности локальной постоянной компрометации устройства, и в этом случае устройство, возможно, потребуется отремонтировать путем перепрошивки операционной системы.
| CVE | Ошибка(и) | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-6639 | АНДРОИД-24446875* | Критический | 5.0, 5.1.1, 6.0, 6.0.1 | 23 сентября 2015 г. |
| CVE-2015-6647 | АНДРОИД-24441554* | Критический | 5.0, 5.1.1, 6.0, 6.0.1 | 27 сентября 2015 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость повышения привилегий в ядре
Уязвимость, связанная с несанкционированным повышением привилегий в ядре, может позволить локальному вредоносному приложению выполнить произвольный код в ядре. Этой проблеме присвоен критический уровень серьезности из-за возможности локальной постоянной компрометации устройства, и в этом случае устройство, возможно, потребуется отремонтировать путем перепрошивки операционной системы.
| CVE | Ошибки с AOSP Link | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-6640 | АНДРОИД-20017123 | Критический | 4.4.4, 5.0, 5.1.1, 6.0 | Внутренний Google |
Уязвимость повышения привилегий в Bluetooth
Уязвимость, связанная с повышением привилегий в компоненте Bluetooth, может позволить удаленному устройству, подключенному через Bluetooth, получить доступ к личной информации пользователя (контактам). Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для удаленного получения « опасных » возможностей. Эти разрешения доступны только сторонним приложениям, установленным локально.
| CVE | Ошибки со ссылками AOSP | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-6641 | АНДРОИД-23607427 [ 2 ] | Высокий | 6.0, 6.0.1 | Внутренний Google |
Уязвимость раскрытия информации в ядре
Уязвимость раскрытия информации в ядре может позволить обойти существующие меры безопасности, чтобы усложнить злоумышленникам эксплуатацию платформы. Этим проблемам присвоен высокий уровень серьезности, поскольку они также могут использоваться для получения расширенных возможностей, таких как привилегии разрешений Signature или SignatureOrSystem , которые недоступны сторонним приложениям.
| CVE | Ошибка(и) | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-6642 | АНДРОИД-24157888* | Высокий | 4.4.4, 5.0, 5.1.1, 6.0 | 12 сентября 2015 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость, связанная с повышением привилегий в мастере установки
Уязвимость, связанная с несанкционированным повышением привилегий в мастере установки, может позволить злоумышленнику, имеющему физический доступ к устройству, получить доступ к настройкам устройства и выполнить его сброс вручную. Этой проблеме присвоен средний уровень серьезности, поскольку она может быть использована для неправильного обхода защиты от сброса настроек.
| CVE | Ошибки со ссылками AOSP | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-6643 | АНДРОИД-25290269 [ 2 ] | Умеренный | 5.1.1, 6.0, 6.0.1 | Внутренний Google |
Уязвимость повышения привилегий в Wi-Fi
Уязвимость, связанная с повышением привилегий в компоненте Wi-Fi, может позволить злоумышленнику, находящемуся поблизости, получить доступ к информации, связанной с услугами Wi-Fi. Устройство уязвимо к этой проблеме только в том случае, если оно находится поблизости. Этой проблеме присвоен средний уровень серьезности, поскольку ее можно использовать для удаленного получения « обычных » возможностей. Эти разрешения доступны только сторонним приложениям, установленным локально.
| CVE | Ошибки со ссылками AOSP | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-5310 | АНДРОИД-25266660 | Умеренный | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 25 октября 2015 г. |
Уязвимость раскрытия информации в Bouncy Castle
Уязвимость раскрытия информации в Bouncy Castle может позволить локальному вредоносному приложению получить доступ к личной информации пользователя. Этой проблеме присвоен средний уровень серьезности, поскольку она может быть использована для неправомерного получения « опасных » разрешений.
| CVE | Ошибки со ссылками AOSP | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-6644 | АНДРОИД-24106146 | Умеренный | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | Внутренний Google |
Уязвимость отказа в обслуживании в SyncManager
Уязвимость отказа в обслуживании в SyncManager может позволить локальному вредоносному приложению вызвать цикл перезагрузки. Этой проблеме присвоен средний уровень серьезности, поскольку она может быть использована для вызова локального временного отказа в обслуживании, который, возможно, придется устранить путем сброса настроек до заводских.
| CVE | Ошибки со ссылками AOSP | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-6645 | АНДРОИД-23591205 | Умеренный | 4.4.4, 5.0, 5.1.1, 6.0 | Внутренний Google |
Сокращение поверхности атаки для ядер Nexus
SysV IPC не поддерживается ни в одном ядре Android. Мы удалили это из ОС, поскольку оно открывает дополнительную поверхность атаки, которая не добавляет системе функциональности, которая могла бы быть использована вредоносными приложениями. Кроме того, IPC System V не соответствуют жизненному циклу приложений Android, поскольку выделенные ресурсы не могут быть освобождены диспетчером памяти, что приводит к глобальной утечке ресурсов ядра. Это изменение устраняет такую проблему, как CVE-2015-7613.
| CVE | Ошибка(и) | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-6646 | АНДРОИД-22300191* | Умеренный | 6.0 | Внутренний Google |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Общие вопросы и ответы
В этом разделе рассматриваются ответы на распространенные вопросы, которые могут возникнуть после прочтения этого бюллетеня.
1. Как определить, обновлено ли мое устройство для устранения этих проблем?
Сборки LMY49F или более поздней версии и Android 6.0 с уровнем исправления безопасности от 1 января 2016 г. или более поздней версии устраняют эти проблемы. Инструкции по проверке уровня исправлений безопасности см. в документации Nexus . Производители устройств, включающие эти обновления, должны установить уровень строки исправления следующим образом: [ro.build.version.security_patch]:[2016-01-01]
Редакции
- 4 января 2016 г.: Бюллетень опубликован.
- 6 января 2016 г.: в бюллетень добавлены ссылки на AOSP.
- 28 апреля 2016 г.: CVE-2015-6617 удален из раздела «Благодарности» и добавлен CVE-2015-6647 в сводную таблицу.