Biuletyn Bezpieczeństwa Nexusa – luty 2016 r

Opublikowano 01 lutego 2016 | Zaktualizowano 7 marca 2016 r

Wydaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA) w ramach naszego comiesięcznego procesu wydawania biuletynu zabezpieczeń Androida. Obrazy oprogramowania sprzętowego Nexusa zostały także udostępnione w witrynie Google Developer . Kompilacje LMY49G lub nowsze oraz system Android M z poprawką zabezpieczeń z dnia 1 lutego 2016 r. lub nowszą rozwiązują te problemy. Instrukcje dotyczące sprawdzania poziomu poprawki zabezpieczeń znajdziesz w dokumentacji Nexusa .

Partnerzy zostali powiadomieni o problemach opisanych w biuletynie w dniu 4 stycznia 2016 roku lub wcześniej. W stosownych przypadkach w repozytorium Android Open Source Project (AOSP) udostępniono poprawki kodu źródłowego rozwiązujące te problemy.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwić zdalne wykonanie kodu na zagrożonym urządzeniu przy użyciu wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych. Luka w zabezpieczeniach sterownika Wi-Fi firmy Broadcom umożliwiająca zdalne wykonanie kodu również ma poziom krytyczny, ponieważ może umożliwić zdalne wykonanie kodu na urządzeniu, którego dotyczy luka, podłączonym do tej samej sieci co osoba atakująca. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług są wyłączone na potrzeby programowania lub jeśli pomyślnie je ominiesz.

Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu przez klientów tych nowo zgłoszonych problemów. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Środki zaradcze . Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Łagodzenia

To jest podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.

  • Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
  • Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia za pomocą funkcji Verify Apps i SafetyNet, które ostrzegają o potencjalnie szkodliwych aplikacjach, które mają zostać zainstalowane. Narzędzia do rootowania urządzeń są zabronione w Google Play. Aby chronić użytkowników instalujących aplikacje spoza Google Play, opcja Weryfikuj aplikacje jest domyślnie włączona i ostrzega użytkowników o znanych aplikacjach powodujących rootowanie. Funkcja Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji wykorzystujących lukę umożliwiającą eskalację uprawnień. Jeśli taka aplikacja została już zainstalowana, funkcja Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wszelkich takich aplikacji.
  • W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak serwer multimediów.

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

  • Zespół ds. bezpieczeństwa Androida i Chrome: CVE-2016-0809, CVE-2016-0810
  • Zespół Broadgate: CVE-2016-0801, CVE-2015-0802
  • Chiachih Wu ( @chiachih_wu ), Mingjian Zhou ( @Mingjian_Zhou ) i Xuxian Jiang z zespołu C0RE , Qihoo 360 : CVE-2016-0804
  • David Riley z zespołu Google Pixel C: CVE-2016-0812
  • Gengjia Chen ( @chengjia4574 ) z Lab IceSword, Qihoo 360: CVE-2016-0805
  • Qidan He ( @Flanker_hqd ) z KeenLab ( @keen_lab ), Tencent: CVE-2016-0811
  • Seven Shen ( @lingtongshen ) z Trend Micro ( www.trendmicro.com ): CVE-2016-0803
  • Weichao Sun ( @sunblate ) z Alibaba Inc: CVE-2016-0808
  • Zach Riggle ( @ebeip90 ) z zespołu ds. bezpieczeństwa Androida: CVE-2016-0807

Szczegóły luki w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2016-02-01. Znajduje się tam opis problemu, uzasadnienie wagi oraz tabela zawierająca CVE, powiązany błąd, wagę, wersje, których dotyczy problem, oraz datę zgłoszenia. Jeśli będzie to możliwe, połączymy zatwierdzenie AOSP, które rozwiązało problem, z identyfikatorem błędu. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia AOSP są powiązane z liczbami następującymi po identyfikatorze błędu.

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w sterowniku Wi-Fi Broadcom

Liczne luki w zabezpieczeniach sterownika Wi-Fi Broadcom umożliwiające zdalne wykonanie mogą pozwolić osobie atakującej na użycie specjalnie spreparowanych pakietów komunikatów sterujących siecią bezprzewodową w celu uszkodzenia pamięci jądra w sposób prowadzący do zdalnego wykonania kodu w kontekście jądra. Luki te mogą zostać wywołane, gdy osoba atakująca i ofiara zostaną powiązane z tą samą siecią. Ten problem ma wagę krytyczną ze względu na możliwość zdalnego wykonania kodu w kontekście jądra bez konieczności interakcji ze strony użytkownika.

CVE Błędy Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0801 ANDROID-25662029
ANDROID-25662233
Krytyczny 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 października 2015 r
CVE-2016-0802 ANDROID-25306181 Krytyczny 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26 października 2015

Luka w zabezpieczeniach serwera multimediów umożliwiająca zdalne wykonanie kodu

Podczas przetwarzania pliku multimedialnego i danych specjalnie spreparowanego pliku luki w zabezpieczeniach serwera multimediów mogą pozwolić osobie atakującej na spowodowanie uszkodzenia pamięci i zdalnego wykonania kodu w procesie serwera multimediów.

Funkcja, której to dotyczy, jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności wiadomości MMS i odtwarzania multimediów w przeglądarce.

Ten problem ma wagę krytyczną ze względu na możliwość zdalnego wykonania kodu w kontekście usługi serwera multimediów. Usługa serwera multimediów ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.

CVE Błędy z linkami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0803 ANDROID-25812794 Krytyczny 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 19 listopada 2015 r
CVE-2016-0804 ANDROID-25070434 Krytyczny 5.0, 5.1.1, 6.0, 6.0.1 12 października 2015 r

Podniesienie poziomu uprawnień w module wydajności Qualcomm

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w komponencie menedżera zdarzeń wydajnościowych dla procesorów ARM firmy Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w jądrze. Ten problem ma wagę krytyczną ze względu na możliwość trwałego lokalnego uszkodzenia urządzenia i prawdopodobnie będzie wymagać naprawy urządzenia poprzez ponowne flashowanie systemu operacyjnego.

CVE Błąd Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0805 ANDROID-25773204* Krytyczny 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 15 listopada 2015 r

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku Wi-Fi Qualcomm

W sterowniku Qualcomm Wi-Fi występuje luka, która może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wagę krytyczną ze względu na możliwość trwałego lokalnego uszkodzenia urządzenia i prawdopodobnie będzie wymagać naprawy urządzenia poprzez ponowne flashowanie systemu operacyjnego.

CVE Błąd Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0806 ANDROID-25344453* Krytyczny 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 15 listopada 2015 r

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w debuggerdzie

Luka umożliwiająca podniesienie uprawnień w komponencie Debuggerd może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście głównym urządzenia. Ten problem ma wagę krytyczną ze względu na możliwość trwałego lokalnego uszkodzenia urządzenia i prawdopodobnie będzie wymagać naprawy urządzenia poprzez ponowne flashowanie systemu operacyjnego.

CVE Błąd z łączem AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0807 ANDROID-25187394 Krytyczny 6.0 i 6.0.1 Wewnętrzne Google

Luka w zabezpieczeniach powodująca odmowę usługi w Minikin

Luka w zabezpieczeniach biblioteki Minikin umożliwiająca odmowę usługi może pozwolić lokalnemu atakującemu na tymczasowe zablokowanie dostępu do urządzenia, którego dotyczy luka. Osoba atakująca może spowodować załadowanie niezaufanej czcionki i spowodować przepełnienie komponentu Minikin, co prowadzi do awarii. Jest to klasyfikowane jako bardzo poważne, ponieważ odmowa usługi prowadzi do ciągłej pętli ponownego uruchamiania.

CVE Błąd z łączem AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0808 ANDROID-25645298 Wysoki 5.0, 5.1.1, 6.0, 6.0.1 3 listopada 2015 r

Zwiększenie luki w zabezpieczeniach sieci Wi-Fi związanej z podniesieniem uprawnień

Luka umożliwiająca podniesienie uprawnień w komponencie Wi-Fi może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście systemu. Urządzenie jest podatne na ten problem tylko wtedy, gdy znajduje się w pobliżu. Ten problem został sklasyfikowany jako wysoki, ponieważ można go wykorzystać do zdalnego uzyskania „ normalnych ” możliwości. Ogólnie rzecz biorąc, uprawnienia te są dostępne tylko dla aplikacji innych firm zainstalowanych lokalnie.

CVE Błąd z łączem AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0809 ANDROID-25753768 Wysoki 6.0, 6.0.1 Wewnętrzne Google

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w serwerze multimediów

Luka w zabezpieczeniach serwera multimediów umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem został sklasyfikowany jako wysoki, ponieważ można go wykorzystać do uzyskania zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.

CVE Błąd z łączem AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0810 ANDROID-25781119 Wysoki 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

Luka w zabezpieczeniach libmediaplayerservice umożliwiająca ujawnienie informacji

Luka w zabezpieczeniach libmediaplayerservice umożliwiająca ujawnienie informacji może pozwolić na ominięcie istniejących środków bezpieczeństwa i zwiększyć trudność wykorzystania platformy przez osoby atakujące. Problemy te są klasyfikowane jako Wysokie, ponieważ można je również wykorzystać do uzyskania zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.

CVE Błąd z łączem AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0811 ANDROID-25800375 Wysoki 6.0, 6.0.1 16 listopada 2015 r

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w kreatorze instalacji

Luka w kreatorze konfiguracji może pozwolić złośliwemu atakującemu na ominięcie zabezpieczenia przywracania ustawień fabrycznych i uzyskanie dostępu do urządzenia. Jest to sklasyfikowane jako umiarkowane, ponieważ potencjalnie umożliwia osobie mającej fizyczny dostęp do urządzenia ominięcie zabezpieczenia przywracania ustawień fabrycznych, co umożliwia osobie atakującej pomyślne zresetowanie urządzenia i usunięcie wszystkich danych.

CVE Błędy z linkami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0812 ANDROID-25229538 Umiarkowany 5.1.1, 6.0 Wewnętrzne Google
CVE-2016-0813 ANDROID-25476219 Umiarkowany 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

Często zadawane pytania i odpowiedzi

W tej części omówiono odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Kompilacje LMY49G lub nowsze oraz system Android 6.0 z poprawką zabezpieczeń z dnia 1 lutego 2016 r. lub nowszą rozwiązują te problemy. Instrukcje dotyczące sprawdzania poziomu poprawki zabezpieczeń znajdziesz w dokumentacji Nexusa . Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[2016-02-01]

Wersje

  • 01 lutego 2016: Biuletyn opublikowany.
  • 02 lutego 2016: Biuletyn zmieniony w celu uwzględnienia łączy AOSP.
  • 7 marca 2016 r.: Zaktualizowano biuletyn w celu uwzględnienia dodatkowych łączy AOSP.