Opublikowano 7 marca 2016 r. | Zaktualizowano 8 marca 2016 r.
W ramach naszego miesięcznego procesu publikowania Biuletynów bezpieczeństwa w Androidzie udostępniliśmy aktualizację zabezpieczeń dla urządzeń Nexus w ramach aktualizacji przez Internet. Obrazy oprogramowania Nexusa zostały też udostępnione w witrynie Google Developers. Kompilacje LMY49H lub nowsze oraz Android M z poziomem poprawki zabezpieczeń z 1 marca 2016 r. lub nowszym rozwiązują te problemy. Instrukcje sprawdzania poziomu zabezpieczeń znajdziesz w dokumentacji Nexusa.
Partnerzy zostali powiadomieni o problemach opisanych w biuletynie 1 lutego 2016 r. lub wcześniej. W stosownych przypadkach opublikowano w repozytorium Projektu Android Open Source (AOSP) poprawki kodu źródłowego dotyczące tych problemów.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwiać zdalne wykonywanie kodu na urządzeniu docelowym za pomocą różnych metod, takich jak e-mail, przeglądanie stron internetowych i MMS-y podczas przetwarzania plików multimedialnych. Ocena ważności jest oparta na potencjalnym wpływie wykorzystania luki w zabezpieczeniach na urządzeniu, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby programowania lub że zostały pomyślnie omijane.
Nie otrzymaliśmy żadnych zgłoszeń o aktywnej próbie wykorzystania przez klientów tych nowo zgłoszonych problemów. Więcej informacji o środkach zaradczych znajdziesz w sekcji Ochrona platformy Androida oraz o ochronie usług, takich jak SafetyNet, które zwiększają bezpieczeństwo platformy Android. Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Złagodzenia
Oto podsumowanie środków zaradczych oferowanych przez platformę bezpieczeństwa Androida oraz zabezpieczenia usług, takich jak SafetyNet. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach mogą zostać wykorzystane na Androidzie.
- Wykorzystanie wielu luk w Androidzie jest utrudnione dzięki ulepszeniom w nowszych wersjach platformy. Zachęcamy wszystkich użytkowników do zaktualizowania systemu do najnowszej wersji Androida, o ile to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą narzędzia Verify Apps i SafetyNet, które ostrzegają przed instalowaniem potencjalnie szkodliwych aplikacji. W Google Play nie można publikować narzędzi do rootowania urządzeń. Aby chronić użytkowników, którzy instalują aplikacje spoza Google Play, weryfikacja aplikacji jest domyślnie włączona i ostrzega użytkowników o znanych aplikacjach do rootowania. Verify Apps próbuje wykrywać i blokować instalację znanych złośliwych aplikacji, które wykorzystują lukę w zabezpieczeniach umożliwiającą podniesienie uprawnień. Jeśli taka aplikacja jest już zainstalowana, Verify Apps powiadomi użytkownika i spróbuje ją usunąć.
- W odpowiednich przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak mediaserver.
Podziękowania
Dziękujemy zaangażowanym w to badanie naukowcom:
- Abhishek Arya, Oliver Chang i Martin Barbella z zespołu ds. bezpieczeństwa Google Chrome: CVE-2016-0815
- Anestis Bechtsoudis (@anestisb) z CENSUS S.A.: CVE-2016-0816, CVE-2016-0824
- Chad Brubaker z Android Security: CVE-2016-0818
- Mark Brand of Google Project Zero: CVE-2016-0820
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) i Xuxian Jiang z zespołu C0RE w Qihoo 360: CVE-2016-0826
- Peter Pi (@heisecode) z Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
- Scott Bauer (sbauer@eng.utah.edu, sbauer@plzdonthack.me): CVE-2016-0822
- Wish Wu (@wish_wu) z Trend Micro Inc.: CVE-2016-0819
- Yongzheng Wu i Tieyan Li z Huawei: CVE-2016-0831
- Su Mon Kywe i Yingjiu Li z Singapur Management University: CVE-2016-0831
- Zach Riggle (@ebeip90) z zespołu ds. bezpieczeństwa Androida: CVE-2016-0821
Szczegóły luki w zabezpieczeniach
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 2016-03-01. Zawiera opis problemu, uzasadnienie dotyczące jego wagi oraz tabelę z identyfikatorem CVE, powiązanym błędem, wagą, wersjami, których dotyczy problem, oraz datą zgłoszenia. Jeśli to możliwe, połączymy identyfikator AOSP, który rozwiązał problem, z identyfikatorem błędu. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia do AOSP są połączone z numerami po identyfikatorze błędu.
Luka w zabezpieczeniach umożliwiająca zdalne wykonywanie kodu w usłudze Mediaserver
Podczas przetwarzania pliku multimedialnego i danych w specjalnie spreparowanym pliku luka w zabezpieczeniach w mediaserver może umożliwić osobie przeprowadzającej atak uszkodzenie pamięci i zdalne uruchomienie kodu w ramach procesu mediaserver.
Dotycząca funkcja jest częścią główną systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do treści zdalnych, w tym MMS-ów i odtwarzania multimediów w przeglądarce.
Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonywania kodu w kontekście usługi mediaserver. Usługa mediaserver ma dostęp do strumieni audio i wideo, a także do uprawnień, do których aplikacje innych firm normalnie nie mają dostępu.
| CVE | Błędy związane z linkami AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0815 | ANDROID-26365349 | Krytyczny | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google - wewnętrzny |
| CVE-2016-0816 | ANDROID-25928803 | Krytyczny | 6.0, 6.0.1 | Google - wewnętrzny |
Luki w zabezpieczeniach libvpx umożliwiające zdalne wykonywanie kodu
Podczas przetwarzania pliku multimedialnego i danych w specjalnie spreparowanym pliku luka w zabezpieczeniach w mediaserver może umożliwić osobie przeprowadzającej atak uszkodzenie pamięci i zdalne uruchomienie kodu w ramach procesu mediaserver.
Dotyczy to funkcji, które są częścią systemu operacyjnego, a wiele aplikacji umożliwia ich obsługę z dalsza, zwłaszcza MMS-y i odtwarzanie multimediów w przeglądarce.
Problemy zostały ocenione jako krytyczne, ponieważ mogły zostać wykorzystane do zdalnego wykonywania kodu w kontekście usługi mediaserver. Usługa mediaserver ma dostęp do strumieni audio i wideo, a także do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.
| CVE | Błąd w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-1621 | ANDROID-23452792 [2] [3] | Krytyczny | 4.4.4, 5.0.2, 5.1.1, 6.0 | Google - wewnętrzny |
Podniesienie uprawnień w Conscrypt
W ramach luki w programie Conscrypt można było uzyskać nieprawidłowy certyfikat wydany przez pośredni urząd certyfikacji (CA), który został nieprawidłowo uznany za zaufany. Może to umożliwić przeprowadzenie ataku typu „man in the middle”. Ten problem został oceniony jako krytyczny ze względu na możliwość podwyższenia uprawnień i zdalnego wykonania dowolnego kodu.
| CVE | Błąd w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0818 | ANDROID-26232830 [2] | Krytyczny | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google - wewnętrzny |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w komponencie Qualcomm Performance
Uprawnienia związane z podniesieniem uprawnień w komponencie wydajnościowym Qualcomm mogłyby umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w rdzeniu. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia na poziomie lokalnym. Urządzenie można naprawić tylko przez ponowne zaflashowanie systemu operacyjnego.
| CVE | Błąd | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0819 | ANDROID-25364034* | Krytyczny | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 października 2015 r. |
* Ta poprawka nie jest dostępna w AOSP. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus, które można pobrać na stronie dla deweloperów Google.
Podniesienie uprawnień w sterowniku jądra MediaTek Wi-Fi
W sterowniku jądra MediaTek Wi-Fi występuje luka, która może umożliwić lokalnej złośliwej aplikacji uruchomienie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość podwyższenia uprawnień i wykonania dowolnego kodu w kontekście jądra.
| CVE | Błąd | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0820 | ANDROID-26267358* | Krytyczny | 6.0.1 | 18 grudnia 2015 r. |
* Ta poprawka nie jest dostępna w AOSP. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus, które można pobrać na stronie dla deweloperów Google.
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w komponencie keyring jądra
Podatność w komponencie klucza chronionego w rdzeniu umożliwia lokalnym złośliwym aplikacjom wykonywanie dowolnego kodu w rdzeniu. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego zainfekowania urządzenia i możliwość naprawy urządzenia tylko przez ponowne wgranie systemu operacyjnego. Jednak w Androidzie w wersji 5.0 i wyższych reguły SELinux uniemożliwiają aplikacjom innych firm dostęp do kodu, którego dotyczy problem.
Uwaga: poprawka w AOSP jest dostępna w przypadku określonych wersji jądra: 4.1, 3.18, 3.14 i 3.10.
| CVE | Błąd | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0728 | ANDROID-26636379 | Krytyczny | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 stycznia 2016 r. |
Łagodzenie luki w zabezpieczeniach umożliwiającej obejście jądra
Użycie luki w zabezpieczeniach w jądrze może umożliwić obejście środków bezpieczeństwa, co utrudnia atakującym wykorzystanie platformy. Ten problem został oceniony jako poważny, ponieważ może umożliwiać obejście środków bezpieczeństwa, które mają utrudniać atakującym wykorzystywanie platformy.
Uwaga: aktualizacja dotycząca tego problemu znajduje się w upstreamie systemu Linux.
| CVE | Błąd | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0821 | ANDROID-26186802 | Wysoki | 6.0.1 | Google - wewnętrzny |
Podniesienie uprawnień w sterowniku jądra MediaTek Connectivity
W sterowniku jądra MediaTek występuje luka w zabezpieczeniach umożliwiająca podniesienie uprawnień, która może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Zwykle błąd związany z wykonywaniem kodu jądra zostałby oceniony jako krytyczny, ale ponieważ wymaga najpierw skompromitowania usługi conn_launcher, uzasadnia to obniżenie oceny do wysokiej.
| CVE | Błąd | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0822 | ANDROID-25873324* | Wysoki | 6.0.1 | 24 listopada 2015 r. |
* Ta poprawka nie jest dostępna w AOSP. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus, które można pobrać na stronie dla deweloperów Google.
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w jądrze
Luka w zabezpieczeniach w jądrze umożliwia obejście środków bezpieczeństwa, które utrudniają atakującym wykorzystanie platformy. Te problemy są oceniane jako poważne, ponieważ mogą umożliwiać lokalny obejście technologii ograniczania podatności na wykorzystanie, takich jak ASLR w procesie uprzywilejowanym.
Uwaga: poprawka tego problemu znajduje się w upstreamie Linuksa.
| CVE | Błąd | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0823 | ANDROID-25739721* | Wysoki | 6.0.1 | Google - wewnętrzny |
* Ta poprawka nie jest dostępna w AOSP. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus, które można pobrać na stronie dla deweloperów Google.
Luka w zabezpieczeniach w bibliotece libstagefright, która powoduje ujawnienie informacji
luka w zabezpieczeniach umożliwiająca ujawnienie informacji w libstagefright, która może pozwolić na obejście środków bezpieczeństwa, aby utrudnić atakującym wykorzystywanie platformy; Te problemy zostały ocenione jako poważne, ponieważ mogą być wykorzystywane do uzyskiwania podwyższonych uprawnień, takich jak Signature czy SignatureOrSystem, które nie są dostępne dla aplikacji innych firm.
| CVE | Błąd w linku do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0824 | ANDROID-25765591 | Wysoki | 6.0, 6.0.1 | 18 listopada 2015 r. |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w Widevine
W aplikacji zaufanej Widevine występuje luka w zabezpieczeniach, która może umożliwiać kodowi działającemu w kontekście jądra dostęp do informacji w bezpiecznym magazynie TrustZone. Ten problem ma wysoki priorytet, ponieważ może umożliwiać uzyskanie uprawnień takich jak Signature czy SignatureOrSystem.
| CVE | Błędy | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0825 | ANDROID-20860039* | Wysoki | 6.0.1 | Google - wewnętrzny |
* Ta poprawka nie jest dostępna w AOSP. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus, które można pobrać na stronie dla deweloperów Google.
Luka w zabezpieczeniach typu podniesienie uprawnień w Mediaserver
Podatność w mediaserverze umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście podniesionej aplikacji systemowej. Ten problem ma wysoki priorytet, ponieważ może umożliwiać uzyskanie rozszerzonych uprawnień, takich jak Signature czy SignatureOrSystem, które są niedostępne dla aplikacji innych firm.
| CVE | Błędy związane z linkami AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0826 | ANDROID-26265403 [2] | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 grudnia 2015 r. |
| CVE-2016-0827 | ANDROID-26347509 | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 grudnia 2015 r. |
Luka w zabezpieczeniach w mediaserverze umożliwiająca ujawnienie informacji
Użytkownik z dostępem do serwera mediów może wykorzystać lukę w zabezpieczeniach, aby obejść zabezpieczenia i utrudnić atakującym wykorzystanie platformy. Te problemy zostały ocenione jako poważne, ponieważ mogą być wykorzystywane do uzyskiwania rozszerzonych uprawnień, takich jak uprawnienia Signature lub SignatureOrSystem, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy związane z linkami AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0828 | ANDROID-26338113 | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 grudnia 2015 r. |
| CVE-2016-0829 | ANDROID-26338109 | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 grudnia 2015 r. |
Atak typu DoS z dalu w Bluetooth
Urządzenie z uszkodzonym komponentem Bluetooth może być podatne na atak polegający na odmowie usługi z dalszej odległości. Atakujący znajdujący się w pobliżu może zablokować dostęp do urządzenia. Atakujący może spowodować przepełnienie zidentyfikowanych urządzeń Bluetooth w komponencie Bluetooth, co prowadzi do uszkodzenia pamięci i zatrzymania usługi. Ten problem ma wysoki priorytet, ponieważ prowadzi do odmowy usługi dla usługi Bluetooth, którą można naprawić tylko przez flashowanie urządzenia.
| CVE | Błąd w linku do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0830 | ANDROID-26071376 | Wysoki | 6.0, 6.0.1 | Google - wewnętrzny |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w Usługach telefonicznych
W komponencie telefonii występuje luka umożliwiająca ujawnienie informacji, która może umożliwić aplikacji dostęp do informacji poufnych. Ten problem ma umiarkowany poziom ważności, ponieważ może być wykorzystywany do nieprawidłowego uzyskiwania dostępu do danych bez zgody.
| CVE | Błąd w linku do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0831 | ANDROID-25778215 | Umiarkowana | 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 listopada 2015 r. |
Luki w zabezpieczeniach związane z podniesieniem uprawnień w kreatorze konfiguracji
W kreatorze konfiguracji wykryto lukę, która umożliwia atakującemu, który ma fizyczny dostęp do urządzenia, uzyskanie dostępu do jego ustawień i ręczne zresetowanie urządzenia. Ten problem został oceniony jako problem o umiarkowanym stopniu ważności, ponieważ może być wykorzystywany do obejścia ochrony przed przywróceniem ustawień fabrycznych.
| CVE | Błędy | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0832 | ANDROID-25955042* | Umiarkowana | 5.1.1, 6.0, 6.0.1 | Google - wewnętrzny |
* W przypadku tej aktualizacji nie ma dostępnej poprawki kodu źródłowego.
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy można na nim rozwiązać te problemy?
Te problemy zostały rozwiązane w wersjach LMY49H lub nowszych oraz na Androidzie 6.0 z poziomem poprawek zabezpieczeń z 1 marca 2016 r. lub nowszym. Instrukcje sprawdzania poziomu zabezpieczeń znajdziesz w dokumentacji Nexusa. Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić poziom ciągu poprawki na: [ro.build.version.security_patch]:[2016-03-01]
Wersje
- 7 marca 2016 r.: opublikowano biuletyn.
- 8 marca 2016 r.: w powiadomieniu uwzględniono linki do AOSP.