Biuletyn Bezpieczeństwa Nexusa – grudzień 2015 r

Opublikowano 07 grudnia 2015 | Zaktualizowano 7 marca 2016 r

Wydaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA) w ramach naszego comiesięcznego procesu wydawania biuletynu zabezpieczeń Androida. Obrazy oprogramowania sprzętowego Nexusa zostały także udostępnione w witrynie Google Developer . Kompilacje LMY48Z lub nowsze oraz system Android 6.0 z poprawką zabezpieczeń z dnia 1 grudnia 2015 r. lub nowszą rozwiązują te problemy. Aby uzyskać więcej informacji, zobacz sekcję Często zadawane pytania i odpowiedzi .

Partnerzy zostali powiadomieni o tych problemach i przekazali aktualizacje dotyczące tych problemów 2 listopada 2015 r. lub wcześniej. W stosownych przypadkach w repozytorium Android Open Source Project (AOSP) udostępniono poprawki kodu źródłowego rozwiązujące te problemy.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwić zdalne wykonanie kodu na zagrożonym urządzeniu przy użyciu wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług są wyłączone na potrzeby programowania lub jeśli pomyślnie je ominiesz.

Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu przez klientów tych nowo zgłoszonych problemów. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Środki zaradcze . Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Łagodzenia

To jest podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.

  • Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
  • Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia za pomocą funkcji Verify Apps i SafetyNet, które ostrzegają o potencjalnie szkodliwych aplikacjach, które mają zostać zainstalowane. Narzędzia do rootowania urządzeń są zabronione w Google Play. Aby chronić użytkowników instalujących aplikacje spoza Google Play, opcja Weryfikuj aplikacje jest domyślnie włączona i ostrzega użytkowników o znanych aplikacjach powodujących rootowanie. Funkcja Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji wykorzystujących lukę umożliwiającą eskalację uprawnień. Jeśli taka aplikacja została już zainstalowana, funkcja Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wszelkich takich aplikacji.
  • W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak serwer multimediów.

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

  • Abhishek Arya, Oliver Chang i Martin Barbella z zespołu ds. bezpieczeństwa Google Chrome: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , CVE-2015-6634
  • Flanker ( @flanker_hqd ) z KeenTeam ( @K33nTeam ): CVE-2015-6620
  • Guang Gong (龚广) ( @oldfresher , higongguang@gmail.com) z Qihoo 360 Technology Co.Ltd : CVE-2015-6626
  • Mark Carter ( @hanpingchinese ) z EmberMitre Ltd: CVE-2015-6630
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2015-6621
  • Natalie Silvanovich z Google Project Zero: CVE-2015-6616
  • Peter Pi z Trend Micro: CVE-2015-6616, CVE-2015-6628
  • Qidan He ( @flanker_hqd ) i Marco Grassi ( @marcograss ) z KeenTeam ( @K33nTeam ): CVE-2015-6622
  • Tzu-Yin (Nina) Tai: CVE-2015-6627
  • Joaquín Rinaudo ( @xeroxnir ) z Programa STIC w Fundación Dr. Manuel Sadosky, Buenos Aires, Argentyna: CVE-2015-6631
  • Wangtao (neobyte) z zespołu X Baidu: CVE-2015-6626

Szczegóły luki w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2015-12-01. Znajduje się tam opis problemu, uzasadnienie wagi oraz tabela zawierająca CVE, powiązany błąd, wagę, zaktualizowane wersje i datę zgłoszenia. Jeśli będzie to możliwe, połączymy zmianę AOSP, która rozwiązała problem, z identyfikatorem błędu. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia AOSP są powiązane z liczbami następującymi po identyfikatorze błędu.

Luki w zabezpieczeniach serwera multimediów umożliwiające zdalne wykonanie kodu

Podczas przetwarzania pliku multimedialnego i danych specjalnie spreparowanego pliku luki w zabezpieczeniach serwera multimediów mogą pozwolić osobie atakującej na spowodowanie uszkodzenia pamięci i zdalnego wykonania kodu w procesie serwera multimediów.

Funkcja, której to dotyczy, jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności wiadomości MMS i odtwarzania multimediów w przeglądarce.

Ten problem ma wagę krytyczną ze względu na możliwość zdalnego wykonania kodu w kontekście usługi serwera multimediów. Usługa serwera multimediów ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.

CVE Błąd(y) z łączami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6616 ANDROID-24630158 Krytyczny 6.0 i poniżej Wewnętrzne Google
ANDROID-23882800 Krytyczny 6.0 i poniżej Wewnętrzne Google
ANDROID-17769851 Krytyczny 5.1 i poniżej Wewnętrzne Google
ANDROID-24441553 Krytyczny 6.0 i poniżej 22 września 2015 r
ANDROID-24157524 Krytyczny 6,0 08 września 2015 r

Luka w zabezpieczeniach Skia umożliwiająca zdalne wykonanie kodu

Luka w komponencie Skia może zostać wykorzystana podczas przetwarzania specjalnie spreparowanego pliku multimedialnego, co może prowadzić do uszkodzenia pamięci i zdalnego wykonania kodu w uprzywilejowanym procesie. Ten problem ma stopień ważności krytyczny ze względu na możliwość zdalnego wykonania kodu przy użyciu wielu metod ataku, takich jak poczta e-mail, przeglądanie stron internetowych i wiadomości MMS podczas przetwarzania plików multimedialnych.

CVE Błąd(y) z linkami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6617 ANDROID-23648740 Krytyczny 6.0 i poniżej Wewnętrzne Google

Podniesienie uprawnień w jądrze

Luka w jądrze systemu umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście głównym urządzenia. Ten problem ma wagę krytyczną ze względu na możliwość trwałego lokalnego uszkodzenia urządzenia, a naprawę urządzenia można przeprowadzić jedynie poprzez ponowne flashowanie systemu operacyjnego.

CVE Błąd(y) z linkami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6619 ANDROID-23520714 Krytyczny 6.0 i poniżej 7 czerwca 2015 r

Luki w zabezpieczeniach sterownika ekranu umożliwiające zdalne wykonanie kodu

W sterownikach wyświetlacza występują luki, które podczas przetwarzania pliku multimedialnego mogą spowodować uszkodzenie pamięci i potencjalne wykonanie dowolnego kodu w kontekście sterownika trybu użytkownika załadowanego przez serwer multimediów. Ten problem ma stopień ważności krytyczny ze względu na możliwość zdalnego wykonania kodu przy użyciu wielu metod ataku, takich jak poczta e-mail, przeglądanie stron internetowych i wiadomości MMS podczas przetwarzania plików multimedialnych.

CVE Błąd(y) z linkami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6633 ANDROID-23987307* Krytyczny 6.0 i poniżej Wewnętrzne Google
CVE-2015-6634 ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] Krytyczny 5.1 i poniżej Wewnętrzne Google

*Poprawka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach Bluetooth umożliwiająca zdalne wykonanie kodu

Luka w komponencie Bluetooth systemu Android może umożliwić zdalne wykonanie kodu. Jednak zanim to nastąpi, wymaganych jest wiele ręcznych kroków. Aby było to możliwe, konieczne jest pomyślne sparowanie urządzenia po włączeniu profilu sieci osobistej (PAN) (na przykład przy użyciu tetheringu Bluetooth) i sparowaniu urządzenia. Zdalne wykonanie kodu odbywałoby się w ramach usługi Bluetooth. Urządzenie jest podatne na ten problem tylko w przypadku pomyślnie sparowanego urządzenia znajdującego się w pobliżu.

Ten problem został sklasyfikowany jako wysoki, ponieważ osoba atakująca może zdalnie wykonać dowolny kod dopiero po wykonaniu wielu ręcznych kroków przez lokalnie znajdującą się w pobliżu osobę atakującą, której wcześniej zezwolono na sparowanie urządzenia.

CVE Błędy) Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6618 ANDROID-24595992* Wysoki 4.4, 5.0 i 5.1 28 września 2015 r

*Poprawka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Podniesienie poziomu luk w zabezpieczeniach w libstagefright

W libstagefright istnieje wiele luk, które mogą umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście usługi serwera multimediów. Ten problem został sklasyfikowany jako wysoki, ponieważ można go wykorzystać do uzyskania zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.

CVE Błąd(y) z łączami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6620 ANDROID-24123723 Wysoki 6.0 i poniżej 10 września 2015 r
ANDROID-24445127 Wysoki 6.0 i poniżej 2 września 2015 r

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w SystemUI

Podczas ustawiania alarmu za pomocą aplikacji zegara luka w komponencie SystemUI może pozwolić aplikacji na wykonanie zadania z podwyższonym poziomem uprawnień. Ten problem został sklasyfikowany jako wysoki, ponieważ można go wykorzystać do uzyskania zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.

CVE Błąd(y) z łączami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6621 ANDROID-23909438 Wysoki 5.0, 5.1 i 6.0 7 września 2015 r

Luka w zabezpieczeniach biblioteki frameworków natywnych umożliwiająca ujawnienie informacji

Luka w bibliotece Android Native Frameworks umożliwiająca ujawnienie informacji może pozwolić na ominięcie istniejących zabezpieczeń i zwiększyć trudność wykorzystania platformy przez osoby atakujące. Problemy te są klasyfikowane jako Wysokie, ponieważ można je również wykorzystać do uzyskania zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.

CVE Błąd(y) z łączami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6622 ANDROID-23905002 Wysoki 6.0 i poniżej 7 września 2015 r

Zwiększenie luki w zabezpieczeniach sieci Wi-Fi związanej z podniesieniem uprawnień

Luka w zabezpieczeniach Wi-Fi umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście usługi systemowej z podwyższonym poziomem uprawnień. Ten problem został sklasyfikowany jako wysoki, ponieważ można go wykorzystać do uzyskania zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.

CVE Błąd(y) z łączami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6623 ANDROID-24872703 Wysoki 6,0 Wewnętrzne Google

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w serwerze systemowym

Luka umożliwiająca podniesienie uprawnień w komponencie Serwera systemowego może umożliwić lokalnej złośliwej aplikacji uzyskanie dostępu do informacji związanych z usługą. Ten problem został sklasyfikowany jako wysoki, ponieważ można go wykorzystać do uzyskania zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.

CVE Błąd(y) z linkami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6624 ANDROID-23999740 Wysoki 6,0 Wewnętrzne Google

Luki w zabezpieczeniach libstagefright umożliwiające ujawnienie informacji

W libstagefright istnieją luki w zabezpieczeniach umożliwiające ujawnienie informacji, które podczas komunikacji z serwerem multimediów mogą pozwolić na ominięcie istniejących środków bezpieczeństwa, aby zwiększyć trudność wykorzystania platformy przez osoby atakujące. Problemy te są klasyfikowane jako Wysokie, ponieważ można je również wykorzystać do uzyskania zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.

CVE Błąd(y) z linkami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6632 ANDROID-24346430 Wysoki 6.0 i poniżej Wewnętrzne Google
CVE-2015-6626 ANDROID-24310423 Wysoki 6.0 i poniżej 2 września 2015 r
CVE-2015-6631 ANDROID-24623447 Wysoki 6.0 i poniżej 21 sierpnia 2015

Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w dźwięku

Luka w komponencie Audio może zostać wykorzystana podczas przetwarzania pliku audio. Luka ta może pozwolić lokalnej złośliwej aplikacji podczas przetwarzania specjalnie spreparowanego pliku spowodować ujawnienie informacji. Ten problem został sklasyfikowany jako wysoki, ponieważ można go wykorzystać do uzyskania zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.

CVE Błąd(y) z linkami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6627 ANDROID-24211743 Wysoki 6.0 i poniżej Wewnętrzne Google

Luka w zabezpieczeniach Media Framework umożliwiająca ujawnienie informacji

W Media Framework istnieje luka w zabezpieczeniach umożliwiająca ujawnienie informacji, która podczas komunikacji z serwerem multimediów może pozwolić na ominięcie istniejących środków bezpieczeństwa, aby zwiększyć trudność wykorzystania platformy przez osoby atakujące. Ten problem został sklasyfikowany jako wysoki, ponieważ można go również wykorzystać do uzyskania zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.

CVE Błąd(y) z linkami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6628 ANDROID-24074485 Wysoki 6.0 i poniżej 8 września 2015 r

Luka w zabezpieczeniach Wi-Fi umożliwiająca ujawnienie informacji

Luka w komponencie Wi-Fi może pozwolić osobie atakującej na spowodowanie ujawnienia informacji przez usługę Wi-Fi. Ten problem został sklasyfikowany jako wysoki, ponieważ można go wykorzystać do uzyskania zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.

CVE Błąd(y) z linkami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6629 ANDROID-22667667 Wysoki 5.1 i 5.0 Wewnętrzne Google

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w serwerze systemowym

Luka w zabezpieczeniach serwera systemowego umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji uzyskanie dostępu do informacji związanych z usługą Wi-Fi. Ten problem ma wagę umiarkowaną, ponieważ może zostać wykorzystany do niewłaściwego uzyskania „ niebezpiecznych ” uprawnień.

CVE Błąd(y) z łączami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6625 ANDROID-23936840 Umiarkowany 6,0 Wewnętrzne Google

Luka w zabezpieczeniach SystemUI umożliwiająca ujawnienie informacji

Luka w SystemUI umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji uzyskanie dostępu do zrzutów ekranu. Ten problem ma wagę umiarkowaną, ponieważ może zostać wykorzystany do niewłaściwego uzyskania „ niebezpiecznych ” uprawnień.

CVE Błąd(y) z łączami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6630 ANDROID-19121797 Umiarkowany 5.0, 5.1 i 6.0 22 stycznia 2015 r

Często zadawane pytania i odpowiedzi

W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Kompilacje LMY48Z lub nowsze oraz system Android 6.0 z poprawką zabezpieczeń z dnia 1 grudnia 2015 r. lub nowszą rozwiązują te problemy. Instrukcje dotyczące sprawdzania poziomu poprawki zabezpieczeń znajdziesz w dokumentacji Nexusa . Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[2015-12-01]

Wersje

  • 7 grudnia 2015 r.: Pierwotnie opublikowano
  • 9 grudnia 2015 r.: Biuletyn zmieniony w celu uwzględnienia łączy AOSP.
  • 22 grudnia 2015: Dodano brakujący napis w sekcji Podziękowania.
  • 07 marca 2016: Dodano brakujący napis w sekcji Podziękowania.