Опубликовано 1 февраля 2016 г. | Обновлено 7 марта 2016 г.
Мы выпустили обновление безопасности для устройств Nexus посредством беспроводного обновления (OTA) в рамках ежемесячного выпуска бюллетеня по безопасности Android. Образы прошивки Nexus также были размещены на сайте разработчиков Google . Сборки LMY49G или более поздней версии и Android M с уровнем исправления безопасности от 1 февраля 2016 г. или более поздней версии устраняют эти проблемы. Инструкции по проверке уровня исправлений безопасности см. в документации Nexus .
Партнеры были уведомлены о проблемах, описанных в бюллетене, 4 января 2016 г. или ранее. Там, где это применимо, исправления исходного кода для этих проблем были выпущены в репозиторий Android Open Source Project (AOSP).
Наиболее серьезной из этих проблем является критическая уязвимость безопасности, которая может сделать возможным удаленное выполнение кода на уязвимом устройстве с помощью нескольких методов, таких как электронная почта, просмотр веб-страниц и MMS при обработке мультимедийных файлов. Уязвимость удаленного выполнения кода в драйвере Wi-Fi Broadcom также имеет критическую степень серьезности, поскольку она может сделать возможным удаленное выполнение кода на уязвимом устройстве, подключенном к той же сети, что и злоумышленник. Оценка серьезности основана на влиянии, которое эксплуатация уязвимости может оказать на затронутое устройство, при условии, что средства защиты платформы и службы отключены в целях разработки или в случае успешного обхода.
У нас не было сообщений об активном использовании клиентами этих новых проблем. Подробную информацию о средствах защиты платформы безопасности Android и службах защиты, таких как SafetyNet, которые повышают безопасность платформы Android, можно найти в разделе «Средства снижения риска». Мы рекомендуем всем клиентам принять эти обновления на свои устройства.
Смягчения
Это краткий обзор мер, обеспечиваемых платформой безопасности Android и средствами защиты служб, такими как SafetyNet. Эти возможности снижают вероятность успешного использования уязвимостей безопасности на Android.
- Использование многих проблем на Android усложняется из-за усовершенствований в новых версиях платформы Android. Мы рекомендуем всем пользователям по возможности обновиться до последней версии Android.
- Команда безопасности Android активно отслеживает злоупотребления с помощью Verify Apps и SafetyNet, которые предупреждают о потенциально вредоносных приложениях, которые могут быть установлены. Инструменты рутирования устройств запрещены в Google Play. Чтобы защитить пользователей, которые устанавливают приложения из-за пределов Google Play, функция Verify Apps включена по умолчанию и предупреждает пользователей об известных приложениях с root-доступом. Verify Apps пытается идентифицировать и заблокировать установку известных вредоносных приложений, использующих уязвимость повышения привилегий. Если такое приложение уже установлено, Verify Apps уведомит пользователя и попытается удалить все такие приложения.
- При необходимости приложения Google Hangouts и Messenger не передают мультимедиа автоматически в такие процессы, как медиасервер.
Благодарности
Мы хотели бы поблагодарить этих исследователей за их вклад:
- Группа безопасности Android и Chrome: CVE-2016-0809, CVE-2016-0810.
- Команда Broadgate: CVE-2016-0801, CVE-2015-0802.
- Чиачих Ву ( @chiachih_wu ), Минцзянь Чжоу ( @Mingjian_Zhou ) и Сюсянь Цзян из команды C0RE , Qihoo 360 : CVE-2016-0804
- Дэвид Райли из команды Google Pixel C: CVE-2016-0812.
- Гэнцзя Чен ( @chengjia4574 ) из Lab IceSword, Qihoo 360: CVE-2016-0805
- Цидан Хэ ( @Flanker_hqd ) из KeenLab ( @keen_lab ), Tencent: CVE-2016-0811
- Семь Шен ( @lingtongshen ) из Trend Micro ( www.trendmicro.com ): CVE-2016-0803.
- Вейчао Сан ( @sunblate ) из Alibaba Inc: CVE-2016-0808.
- Зак Риггл ( @ebeip90 ) из группы безопасности Android: CVE-2016-0807.
Подробности об уязвимостях безопасности
В разделах ниже мы приводим подробную информацию о каждой уязвимости безопасности, применимой к уровню исправления 2016-02-01. Приведено описание проблемы, обоснование серьезности и таблица с CVE, связанной ошибкой, серьезностью, затронутыми версиями и датой сообщения. Когда это будет доступно, мы свяжем коммит AOSP, в котором устранена проблема, с идентификатором ошибки. Если несколько изменений относятся к одной ошибке, дополнительные ссылки AOSP связаны с номерами, следующими за идентификатором ошибки.
Уязвимость удаленного выполнения кода в драйвере Broadcom Wi-Fi
Множественные уязвимости удаленного выполнения в драйвере Broadcom Wi-Fi могут позволить удаленному злоумышленнику использовать специально созданные пакеты сообщений управления беспроводной сетью для повреждения памяти ядра таким образом, что это приводит к удаленному выполнению кода в контексте ядра. Эти уязвимости могут возникнуть, когда злоумышленник и жертва подключены к одной сети. Этой проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте ядра без вмешательства пользователя.
| CVE | Ошибки | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0801 | АНДРОИД-25662029 АНДРОИД-25662233 | Критический | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 25 октября 2015 г. |
| CVE-2016-0802 | АНДРОИД-25306181 | Критический | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 26 октября 2015 г. |
Уязвимость удаленного выполнения кода на медиасервере
Во время обработки медиафайла и данных специально созданного файла уязвимости в медиасервере могут позволить злоумышленнику вызвать повреждение памяти и удаленное выполнение кода в качестве процесса медиасервера.
Затронутая функциональность предоставляется как основная часть операционной системы, и существует множество приложений, которые позволяют получить доступ к ней с помощью удаленного контента, в первую очередь MMS и воспроизведения мультимедиа в браузере.
Этой проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте службы медиасервера. Служба медиасервера имеет доступ к аудио- и видеопотокам, а также доступ к привилегиям, к которым сторонние приложения обычно не имеют доступа.
| CVE | Баги с AOSP-ссылками | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0803 | АНДРОИД-25812794 | Критический | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 19 ноября 2015 г. |
| CVE-2016-0804 | АНДРОИД-25070434 | Критический | 5.0, 5.1.1, 6.0, 6.0.1 | 12 октября 2015 г. |
Уязвимость повышения привилегий в модуле производительности Qualcomm
Уязвимость, связанная с повышением привилегий в компоненте диспетчера событий производительности для процессоров ARM от Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код внутри ядра. Этой проблеме присвоен критический уровень серьезности из-за возможности локального постоянного компрометации устройства, и, возможно, устройство потребуется отремонтировать путем перепрошивки операционной системы.
| CVE | Ошибка | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0805 | АНДРОИД-25773204* | Критический | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 15 ноября 2015 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость, связанная с повышением привилегий в драйвере Qualcomm Wi-Fi
В драйвере Qualcomm Wi-Fi существует уязвимость, которая может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень серьезности из-за возможности локального постоянного компрометации устройства, и, возможно, устройство потребуется отремонтировать путем перепрошивки операционной системы.
| CVE | Ошибка | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0806 | АНДРОИД-25344453* | Критический | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 15 ноября 2015 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость повышения привилегий в отладчике
Уязвимость, связанная с несанкционированным повышением привилегий в компоненте Debuggerd, может позволить локальному вредоносному приложению выполнить произвольный код в корневом контексте устройства. Этой проблеме присвоен критический уровень серьезности из-за возможности локального постоянного компрометации устройства, и, возможно, устройство потребуется отремонтировать путем перепрошивки операционной системы.
| CVE | Ошибка со ссылкой AOSP. | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0807 | АНДРОИД-25187394 | Критический | 6.0 и 6.0.1 | Внутренний Google |
Уязвимость отказа в обслуживании в Minikin
Уязвимость типа «отказ в обслуживании» в библиотеке Minikin может позволить локальному злоумышленнику временно заблокировать доступ к уязвимому устройству. Злоумышленник может вызвать загрузку ненадежного шрифта и вызвать переполнение компонента Minikin, что приведет к сбою. Это состояние имеет высокий уровень серьезности, поскольку отказ в обслуживании приводит к непрерывному циклу перезагрузки.
| CVE | Ошибка со ссылкой AOSP. | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0808 | АНДРОИД-25645298 | Высокий | 5.0, 5.1.1, 6.0, 6.0.1 | 3 ноября 2015 г. |
Уязвимость повышения привилегий в Wi-Fi
Уязвимость, связанная с несанкционированным повышением привилегий в компоненте Wi-Fi, может позволить локальному вредоносному приложению выполнить произвольный код в контексте системы. Устройство уязвимо к этой проблеме только в том случае, если оно находится поблизости. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для удаленного получения « нормальных » возможностей. Как правило, эти разрешения доступны только сторонним приложениям, установленным локально.
| CVE | Ошибка со ссылкой AOSP. | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0809 | АНДРОИД-25753768 | Высокий | 6.0, 6.0.1 | Внутренний Google |
Уязвимость повышения привилегий на медиасервере
Уязвимость, связанная с несанкционированным повышением привилегий в медиасервере, может позволить локальному вредоносному приложению выполнить произвольный код в контексте системного приложения с повышенными правами. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения расширенных возможностей, таких как права подписи или разрешения SignatureOrSystem , которые недоступны стороннему приложению.
| CVE | Ошибка со ссылкой AOSP. | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0810 | АНДРОИД-25781119 | Высокий | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | Внутренний Google |
Уязвимость раскрытия информации в libmediaplayerservice
Уязвимость раскрытия информации в libmediaplayerservice может позволить обойти существующие меры безопасности, чтобы усложнить злоумышленникам использование платформы. Этим проблемам присвоен высокий уровень серьезности, поскольку они также могут использоваться для получения расширенных возможностей, таких как привилегии разрешений Signature или SignatureOrSystem , которые недоступны сторонним приложениям.
| CVE | Ошибка со ссылкой AOSP. | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0811 | АНДРОИД-25800375 | Высокий | 6.0, 6.0.1 | 16 ноября 2015 г. |
Уязвимость, связанная с повышением привилегий в мастере установки
Уязвимость в мастере установки может позволить злоумышленнику обойти защиту от сброса настроек и получить доступ к устройству. Этому уровню присвоен средний уровень серьезности, поскольку он потенциально позволяет лицу, имеющему физический доступ к устройству, обойти защиту от сброса настроек, которая позволяет злоумышленнику успешно перезагрузить устройство, удалив все данные.
| CVE | Баги с AOSP-ссылками | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0812 | АНДРОИД-25229538 | Умеренный | 5.1.1, 6.0 | Внутренний Google |
| CVE-2016-0813 | АНДРОИД-25476219 | Умеренный | 5.1.1, 6.0, 6.0.1 | Внутренний Google |
Общие вопросы и ответы
В этом разделе рассматриваются ответы на распространенные вопросы, которые могут возникнуть после прочтения этого бюллетеня.
1. Как определить, обновлено ли мое устройство для устранения этих проблем?
Сборки LMY49G или более поздней версии и Android 6.0 с уровнем исправления безопасности от 1 февраля 2016 г. или более поздней версии устраняют эти проблемы. Инструкции по проверке уровня исправлений безопасности см. в документации Nexus . Производители устройств, включающие эти обновления, должны установить уровень строки исправления: [ro.build.version.security_patch]:[2016-02-01]
Редакции
- 1 февраля 2016 г.: Бюллетень опубликован.
- 2 февраля 2016 г.: в бюллетень добавлены ссылки на AOSP.
- 7 марта 2016 г.: в бюллетень добавлены дополнительные ссылки на AOSP.