Бюллетень по безопасности Nexus – январь 2016 г.

Опубликован 4 января 2016 г. | Обновлен 28 апреля 2016 г.

К выходу ежемесячного бюллетеня по безопасности Android мы выпустили беспроводное обновление системы безопасности для устройств Nexus и опубликовали образы встроенного ПО Nexus на сайте Google Developers. Перечисленные проблемы устранены в сборке LMY49F и более поздних версиях, а также в Android 6.0 с исправлением от 1 января 2016 года или более новым. С более подробной информацией можно ознакомиться в разделе Часто задаваемые вопросы.

Мы сообщили партнерам об уязвимостях и предоставили им обновления 7 декабря 2015 года или ранее. По возможности исправления исходного кода были опубликованы в хранилище Android Open Source Project (AOSP).

Самая серьезная из проблем – критическая уязвимость, которая позволяет удаленно выполнять код на пораженном устройстве во время обработки медиафайлов (например, при просмотре сайтов в интернете и работе с электронной почтой и MMS). Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

У нас нет информации об активном использовании обнаруженных уязвимостей. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность успешной эксплуатации уязвимостей в Android. Мы рекомендуем всем пользователям установить перечисленные в бюллетене обновления.

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг-приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
  • Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

  • Абхишек Арья, Оливер Чан и Мартин Барбелла из команды безопасности Google Chrome: CVE-2015-6636.
  • Сэнь Не (@nforest_) и jfang из KEEN lab, Tencent (@K33nTeam): CVE-2015-6637.
  • Ябинь Цуй из Android Bionic Team: CVE-2015-6640.
  • Том Крейг из Google X: CVE-2015-6641.
  • Янн Хорн (https://thejh.net): CVE-2015-6642.
  • Йоуни Малинен (PGP ID – EFC895FA): CVE-2015-5310.
  • Куан Нгуен из команды Google по безопасности: CVE-2015-6644.
  • Гэл Беньямини (@laginimaineb, http://bits-please.blogspot.com): CVE-2015-6639.

Описание уязвимостей

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2016-01-01: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, датой сообщения об ошибке и номерами версий, получивших обновление системы безопасности. Где возможно, мы приводим ссылку на изменение в AOSP, связанное с идентификатором ошибки. Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Удаленное выполнение кода через mediaserver

При обработке медиафайлов и данных в специально созданном файле уязвимость в mediaserver позволяет злоумышленнику вызвать повреждение памяти и удаленно выполнить код как процесс mediaserver.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У этого сервиса есть доступ к аудио- и видеопотокам, а также права, которыми обычно не могут обладать сторонние приложения.

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6636 ANDROID-25070493 Критический 5.0, 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google
ANDROID-24686670 Критический 5.0, 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google

Повышение привилегий через драйвер misc-sd

Уязвимость обнаружена в драйвере misc-sd от MediaTek. Она позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Уязвимости присвоен критический уровень, поскольку из-за нее может быть нарушена работа системы безопасности и для устранения проблемы потребуется переустановить ОС.

CVE Ошибки Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6637 ANDROID-25307013* Критический 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26 октября 2015 г.

* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение привилегий через драйвер Imagination Technologies

Уязвимость обнаружена в драйвере ядра от Imagination Technologies. Она позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Уязвимости присвоен критический уровень, поскольку из-за нее может быть нарушена работа системы безопасности и для устранения проблемы потребуется переустановить ОС.

CVE Ошибки Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6638 ANDROID-24673908* Критический 5.0, 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google

* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение привилегий через Trustzone

Уязвимость обнаружена в приложении Widevine QSEE TrustZone. Она позволяет взломанному привилегированному приложению с доступом к QSEECOM выполнять произвольный код в контексте Trustzone. Уязвимости присвоен критический уровень, поскольку из-за нее может быть нарушена работа системы безопасности и для устранения проблемы потребуется переустановить ОС.

CVE Ошибки Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6639 ANDROID-24446875* Критический 5.0, 5.1.1, 6.0, 6.0.1 23 сентября 2015 г.
CVE-2015-6647 ANDROID-24441554* Критический 5.0, 5.1.1, 6.0, 6.0.1 27 сентября 2015 г.

* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение привилегий через ядро

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Уязвимости присвоен критический уровень, поскольку из-за нее может быть нарушена работа системы безопасности и для устранения проблемы потребуется переустановить ОС.

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6640 ANDROID-20017123 Критический 4.4.4, 5.0, 5.1.1, 6.0 Доступно только сотрудникам Google

Повышение привилегий через Bluetooth

Уязвимость обнаружена в компоненте Bluetooth. Она позволяет получить доступ к контактам пользователя через устройство, удаленно подключенное по Bluetooth. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения уровня dangerous (опасные). Обычно они доступны только сторонним приложениям, установленным на устройстве.

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6641 ANDROID-23607427 [2] Высокий 6.0, 6.0.1 Доступно только сотрудникам Google

Раскрытие информации через ядро

Уязвимость в ядре позволяет обойти меры защиты, которые затрудняют эксплуатацию уязвимостей при атаке на платформу, и раскрыть конфиденциальную информацию. Проблемам присвоен высокий уровень серьезности, поскольку из-за них можно также получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6642 ANDROID-24157888* Высокий 4.4.4, 5.0, 5.1.1, 6.0 12 сентября 2015 г.

* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение привилегий через мастер настройки

Уязвимость позволяет злоумышленнику, в руки которого попало устройство, получить доступ к настройкам и выполнить их сброс. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно обойти защиту от сброса.

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6643 ANDROID-25290269 [2] Средний 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google

Повышение привилегий через Wi-Fi

Уязвимость компонента Wi-Fi позволяет злоумышленнику, находящемуся рядом с устройством, получить доступ к данным службы Wi-Fi. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно удаленно получить разрешения категории normal (стандартные). Обычно они доступны только сторонним приложениям, установленным на устройстве.

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-5310 ANDROID-25266660 Средний 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 октября 2015 г.

Раскрытие информации через Bouncy Castle

Уязвимость позволяет локальному вредоносному приложению получать доступ к конфиденциальным данным пользователя. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно получить разрешения уровня dangerous (опасные).

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6644 ANDROID-24106146 Средний 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google

Отказ в обслуживании в SyncManager

Уязвимость в SyncManager позволяет локальному вредоносному ПО вызвать бесконечную цепочку перезагрузок устройства. Уязвимости присвоен средний уровень серьезности, поскольку она способна вызвать временный локальный отказ отказ в обслуживании, для устранения которого может потребоваться сбросить настройки устройства.

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6645 ANDROID-23591205 Средний 4.4.4, 5.0, 5.1.1, 6.0 Доступно только сотрудникам Google

Уменьшение числа направлений атак в ядрах устройств Nexus

SysV IPC не поддерживается в ядрах Android. Мы удалили этот компонент из операционной системы, поскольку он не добавляет в нее функций, но увеличивает количество направлений атак и может использоваться вредоносными приложениями. Кроме того, компонент несовместим с жизненным циклом приложений Android: диспетчер памяти не может высвобождать выделенные ресурсы, что приводит к глобальной утечке ресурсов ядра. Обновление устраняет такие уязвимости, как CVE-2015-7613.

CVE Ошибки Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6646 ANDROID-22300191* Средний 6.0 Доступно только сотрудникам Google

* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?

Указанные проблемы устранены в сборке LMY49F и более поздних, а также в Android 6.0 с исправлением от 1 января 2016 года или более новым. Информацию о том, как проверить уровень исправления системы безопасности, можно найти в документации Nexus. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2016-01-01].

Версии

  • 4 января 2016 года. Опубликовано впервые.
  • 6 января 2016 года. Добавлены ссылки на AOSP.
  • 28 апреля 2016 года. Из раздела "Благодарности" удалена информация об уязвимости CVE-2015-6617. В сводную таблицу добавлены сведения о CVE-2015-6647.