Бюллетень по безопасности Nexus — август 2015 г.

Опубликовано 13 августа 2015 г.

Мы выпустили обновление безопасности для устройств Nexus посредством беспроводного обновления (OTA) в рамках ежемесячного выпуска бюллетеня по безопасности Android. Образы прошивки Nexus также были размещены на сайте разработчиков Google . В сборках LMY48I или более поздних версиях эти проблемы устранены. Партнеры были уведомлены об этих проблемах 25 июня 2015 года или ранее.

Наиболее серьезной из этих проблем является критическая уязвимость безопасности, которая может сделать возможным удаленное выполнение кода на уязвимом устройстве с помощью нескольких методов, таких как электронная почта, просмотр веб-страниц и MMS при обработке мультимедийных файлов. Оценка серьезности основана на влиянии, которое эксплуатация уязвимости может оказать на затронутое устройство, при условии, что средства защиты платформы и службы отключены в целях разработки или в случае успешного обхода.

Смягчения

Это краткий обзор мер, обеспечиваемых платформой безопасности Android и средствами защиты служб, такими как SafetyNet. Эти возможности снижают вероятность успешного использования уязвимостей безопасности на Android.

  • Использование многих проблем на Android усложняется из-за усовершенствований в новых версиях платформы Android. Мы рекомендуем всем пользователям по возможности обновиться до последней версии Android.
  • Команда безопасности Android активно отслеживает злоупотребления с помощью Verify Apps и SafetyNet, которые предупреждают о потенциально вредоносных приложениях, которые могут быть установлены. Инструменты рутирования устройств запрещены в Google Play. Чтобы защитить пользователей, которые устанавливают приложения из-за пределов Google Play, функция Verify Apps включена по умолчанию и предупреждает пользователей об известных приложениях с root-доступом. Verify Apps пытается идентифицировать и заблокировать установку известных вредоносных приложений, использующих уязвимость повышения привилегий. Если такое приложение уже установлено, Verify Apps уведомит пользователя и попытается удалить все такие приложения.
  • При необходимости Google обновил приложения Hangouts и Messenger, чтобы медиа не передавались автоматически уязвимым процессам (например, медиасерверу).

Благодарности

Мы хотели бы поблагодарить этих исследователей за их вклад:

  • Джошуа Дрейк: CVE-2015-1538, CVE-2015-3826.
  • Бен Хоукс: CVE-2015-3836.
  • Александру Бланда: CVE-2015-3832.
  • Михал Беднарский: CVE-2015-3831, CVE-2015-3844, CVE-2015-1541.
  • Алекс Копот: CVE-2015-1536.
  • Алекс Юбэнкс: CVE-2015-0973.
  • Рои Хэй и Ор Пелеш: CVE-2015-3837.
  • Гуан Гун: CVE-2015-3834.
  • Галь Бениамини: CVE-2015-3835.
  • Желание Ву*: CVE-2015-3842
  • Артем Чайкин: CVE-2015-3843

*Wish также является нашим первым получателем Android Security Rewards !

Целочисленное переполнение во время обработки атома MP4

В libstagefright существует несколько потенциальных целочисленных переполнений, которые могут возникнуть во время обработки атома MP4, что приведет к повреждению памяти и потенциальному удаленному выполнению кода в качестве процесса медиасервера.

Затронутая функциональность предоставляется в виде API-интерфейса приложения, и существует множество приложений, которые позволяют получить к ней доступ с помощью удаленного контента, в первую очередь MMS и воспроизведения мультимедиа в браузере.

Этой проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в качестве привилегированной службы медиасервера. Хотя медиасервер защищен SELinux, он имеет доступ к аудио- и видеопотокам, а также доступ к привилегированным узлам устройств драйверов ядра на многих устройствах, к которым сторонние приложения обычно не имеют доступа. Обратите внимание, что в соответствии с нашими предыдущими рекомендациями по оценке серьезности эта уязвимость была оценена как высокая степень серьезности, о чем и было сообщено партнерам. В соответствии с нашими новыми рекомендациями, опубликованными в июне 2015 года, это проблема критического уровня.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии
CVE-2015-1538 АНДРОИД-20139950 [ 2 ] Критический 5.1 и ниже

Целочисленное опустошение при обработке ESDS

В libstagefright существует потенциальное недополнение целых чисел, которое может произойти во время обработки атома ESDS, что приведет к повреждению памяти и потенциально удаленному выполнению кода в качестве процесса медиасервера.

Затронутая функциональность предоставляется в виде API-интерфейса приложения, и существует множество приложений, которые позволяют получить к ней доступ с помощью удаленного контента, в первую очередь MMS и воспроизведения мультимедиа в браузере.

Этой проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в качестве привилегированной службы медиасервера. Хотя медиасервер защищен SELinux, он имеет доступ к аудио- и видеопотокам, а также доступ к привилегированным узлам устройств драйверов ядра на многих устройствах, к которым сторонние приложения обычно не имеют доступа. Обратите внимание, что в соответствии с нашими предыдущими рекомендациями по оценке серьезности эта уязвимость была оценена как высокая степень серьезности, о чем и было сообщено партнерам. В соответствии с нашими новыми рекомендациями, опубликованными в июне 2015 года, это проблема критического уровня.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии
CVE-2015-1539 АНДРОИД-20139950 Критический 5.1 и ниже

Целочисленное переполнение в libstagefright при анализе атома MPEG4 tx3g

В libstagefright существует потенциальное целочисленное переполнение, которое может произойти во время обработки данных MPEG4 tx3g, что приведет к повреждению памяти и потенциально удаленному выполнению кода в качестве процесса медиасервера.

Затронутая функциональность предоставляется в виде API-интерфейса приложения, и существует множество приложений, которые позволяют получить к ней доступ с помощью удаленного контента, в первую очередь MMS и воспроизведения мультимедиа в браузере.

Этой проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в качестве привилегированной службы медиасервера. Хотя медиасервер защищен SELinux, он имеет доступ к аудио- и видеопотокам, а также доступ к привилегированным узлам устройств драйверов ядра на многих устройствах, к которым сторонние приложения обычно не имеют доступа.

Обратите внимание, что в соответствии с нашими предыдущими рекомендациями по оценке серьезности эта уязвимость была оценена как высокая степень серьезности, о чем и было сообщено партнерам. В соответствии с нашими новыми рекомендациями, опубликованными в июне 2015 года, это проблема критического уровня.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии
CVE-2015-3824 АНДРОИД-20923261 Критический 5.1 и ниже

Целочисленное опустошение в libstagefright при обработке атомов covr MPEG4

В libstagefright существует потенциальная ошибка целочисленного переполнения, которая может возникнуть во время обработки данных MPEG4, что приведет к повреждению памяти и потенциальному удаленному выполнению кода в качестве процесса медиасервера.

Затронутая функциональность предоставляется в виде API-интерфейса приложения, и существует множество приложений, которые позволяют получить к ней доступ с помощью удаленного контента, в первую очередь MMS и воспроизведения мультимедиа в браузере.

Этой проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в качестве привилегированной службы медиасервера. Хотя медиасервер защищен SELinux, он имеет доступ к аудио- и видеопотокам, а также доступ к привилегированным узлам устройств драйверов ядра на многих устройствах, к которым сторонние приложения обычно не имеют доступа.

Обратите внимание, что в соответствии с нашими предыдущими рекомендациями по оценке серьезности эта уязвимость была оценена как высокая степень серьезности, о чем и было сообщено партнерам. В соответствии с нашими новыми рекомендациями, опубликованными в июне 2015 года, это проблема критического уровня.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии
CVE-2015-3827 АНДРОИД-20923261 Критический 5.1 и ниже

Недополнение целого числа в libstagefright, если размер меньше 6 при обработке метаданных 3GPP

В libstagefright существует потенциальное недополнение целых чисел, которое может произойти во время обработки данных 3GPP, что приведет к повреждению памяти и потенциальному удаленному выполнению кода в качестве процесса медиасервера.

Затронутая функциональность предоставляется в виде API-интерфейса приложения, и существует множество приложений, которые позволяют получить к ней доступ с помощью удаленного контента, в первую очередь MMS и воспроизведения мультимедиа в браузере.

Этой проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в качестве привилегированной службы медиасервера. Хотя медиасервер защищен SELinux, он имеет доступ к аудио- и видеопотокам, а также доступ к привилегированным узлам устройств драйверов ядра на многих устройствах, к которым сторонние приложения обычно не имеют доступа. Обратите внимание, что в соответствии с нашими предыдущими рекомендациями по оценке серьезности эта уязвимость была оценена как высокая степень серьезности, о чем и было сообщено партнерам. В соответствии с нашими новыми рекомендациями, опубликованными в июне 2015 года, это проблема критического уровня.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии
CVE-2015-3828 АНДРОИД-20923261 Критический 5.0 и выше

Целочисленное переполнение при обработке libstagefright атомов covr MPEG4, когда chunk_data_size равен SIZE_MAX

В libstagefright возможно целочисленное переполнение, которое может произойти во время обработки данных MPEG4 covr, что приведет к повреждению памяти и потенциально удаленному выполнению кода в качестве процесса медиасервера.

Затронутая функциональность предоставляется в виде API-интерфейса приложения, и существует множество приложений, которые позволяют получить к ней доступ с помощью удаленного контента, в первую очередь MMS и воспроизведения мультимедиа в браузере.

Этой проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в качестве привилегированной службы медиасервера. Хотя медиасервер защищен SELinux, он имеет доступ к аудио- и видеопотокам, а также доступ к привилегированным узлам устройств драйверов ядра на многих устройствах, к которым сторонние приложения обычно не имеют доступа. Обратите внимание, что в соответствии с нашими предыдущими рекомендациями по оценке серьезности эта уязвимость была оценена как высокая степень серьезности, о чем и было сообщено партнерам. В соответствии с нашими новыми рекомендациями, опубликованными в июне 2015 года, это проблема критического уровня.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии
CVE-2015-3829 АНДРОИД-20923261 Критический 5.0 и выше

Переполнение буфера в Sonivox Parse_wave

В Sonivox существует потенциальное переполнение буфера, которое может произойти во время обработки данных XMF, что приведет к повреждению памяти и потенциальному удаленному выполнению кода в качестве процесса медиасервера.

Затронутая функциональность предоставляется в виде API-интерфейса приложения, и существует множество приложений, которые позволяют получить к ней доступ с помощью удаленного контента, в первую очередь MMS и воспроизведения мультимедиа в браузере.

Этой проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в качестве привилегированной службы медиасервера. Хотя медиасервер защищен SELinux, он имеет доступ к аудио- и видеопотокам, а также доступ к привилегированным узлам устройств драйверов ядра на многих устройствах, к которым сторонние приложения обычно не имеют доступа. Обратите внимание, что в соответствии с нашими предыдущими рекомендациями по оценке серьезности эта уязвимость была оценена как высокая степень серьезности, о чем и было сообщено партнерам. В соответствии с нашими новыми рекомендациями, опубликованными в июне 2015 года, это проблема критического уровня.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии
CVE-2015-3836 АНДРОИД-21132860 Критический 5.1 и ниже

Переполнение буфера в libstagefright MPEG4Extractor.cpp

Во время обработки MP4 в libstagefright может произойти несколько переполнений буфера, что приведет к повреждению памяти и потенциально удаленному выполнению кода в качестве процесса медиасервера.

Затронутая функциональность предоставляется в виде API-интерфейса приложения, и существует множество приложений, которые позволяют получить к ней доступ с помощью удаленного контента, в первую очередь MMS и воспроизведения мультимедиа в браузере.

Этой проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в качестве привилегированной службы медиасервера. Хотя медиасервер защищен SELinux, он имеет доступ к аудио- и видеопотокам, а также доступ к привилегированным узлам устройств драйверов ядра на многих устройствах, к которым сторонние приложения обычно не имеют доступа.

Первоначально об этой проблеме сообщалось как о локальном эксплойте (недоступном удаленно). Обратите внимание, что в соответствии с нашими предыдущими рекомендациями по оценке серьезности эта уязвимость была оценена как средняя степень серьезности, и о ней было сообщено партнерам как таковая. В соответствии с нашими новыми рекомендациями, опубликованными в июне 2015 года, это проблема критического уровня.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии
CVE-2015-3832 АНДРОИД-19641538 Критический 5.1 и ниже

Переполнение буфера в медиасервере BpMediaHTTPConnection

При обработке данных, предоставленных другим приложением, в BpMediaHTTPConnection возможно переполнение буфера, что приводит к повреждению памяти и потенциальному выполнению кода в качестве процесса медиасервера.

Затронутая функциональность предоставляется в виде API приложения. Мы не считаем, что эту проблему можно использовать удаленно.

Этой проблеме присвоен высокий уровень серьезности из-за возможности выполнения кода в качестве привилегированной службы медиасервера из локального приложения. Хотя медиасервер защищен SELinux, он имеет доступ к аудио- и видеопотокам, а также доступ к привилегированным узлам устройств драйверов ядра на многих устройствах, к которым сторонние приложения обычно не имеют доступа.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии
CVE-2015-3831 АНДРОИД-19400722 Высокий 5.0 и 5.1

Уязвимость в libpng: переполнение в png_Read_IDAT_data

При чтении данных IDAT в функции png_read_IDAT_data() в libpng может произойти потенциальное переполнение буфера, что приведет к повреждению памяти и потенциальному удаленному выполнению кода в приложении, использующем этот метод.

Затронутая функциональность предоставляется в виде API приложения. Могут существовать приложения, которые позволяют получить к нему доступ с помощью удаленного контента, в первую очередь приложения для обмена сообщениями и браузеры.

Этой проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода от имени непривилегированного приложения.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии
CVE-2015-0973 АНДРОИД-19499430 Высокий 5.1 и ниже

Удаленно эксплуатируемое переполнение memcpy() в p2p_add_device() в wpa_supplicant

Когда wpa_supplicant работает в режиме WLAN Direct, он уязвим для потенциального удаленного выполнения кода из-за переполнения в методе p2p_add_device(). Успешная эксплуатация может привести к выполнению кода от имени пользователя Wi-Fi в Android.

Существует несколько способов смягчения последствий, которые могут способствовать успешному использованию этой проблемы:

- WLAN Direct не включен по умолчанию на большинстве устройств Android.

- Для эксплуатации требуется, чтобы злоумышленник находился поблизости (в пределах зоны действия Wi-Fi).

- Процесс wpa_supplicant запускается от имени пользователя Wi-Fi, который имеет ограниченный доступ к системе.

- Удаленная эксплуатация минимизируется с помощью ASLR на устройствах Android 4.1 и более поздних версий.

- Процесс wpa_supplicant жестко ограничен политикой SELinux на Android 5.0 и более поздних версиях.

Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода. Хотя служба Wi-Fi имеет возможности, которые обычно недоступны сторонним приложениям, которые могут оценить это как критическое, мы считаем, что ограниченные возможности и уровень смягчения последствий гарантируют снижение серьезности до высокой.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии
CVE-2015-1863 АНДРОИД-20076874 Высокий 5.1 и ниже

Повреждение памяти при десериализации сертификата OpenSSLX509

Вредоносное локальное приложение может отправить намерение, которое при десериализации принимающим приложением может уменьшить значение по произвольному адресу памяти, что приведет к повреждению памяти и потенциальному выполнению кода в принимающем приложении.

Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения привилегий, недоступных стороннему приложению.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии
CVE-2015-3837 АНДРОИД-21437603 Высокий 5.1 и ниже

Переполнение буфера в медиасервере BnHDCP

В libstagefright при обработке данных, предоставленных другим приложением, возможно целочисленное переполнение, что приводит к повреждению памяти (кучи) и потенциальному выполнению кода в качестве процесса медиасервера.

Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения привилегий, недоступных стороннему приложению. Хотя медиасервер защищен SELinux, он имеет доступ к аудио- и видеопотокам, а также доступ к привилегированным узлам устройств драйверов ядра на многих устройствах, к которым сторонние приложения обычно не имеют доступа.

Обратите внимание, что в соответствии с нашими предыдущими рекомендациями по оценке серьезности эта уязвимость была оценена как средняя степень серьезности, и о ней было сообщено партнерам как таковая. Согласно нашим новым рекомендациям, опубликованным в июне 2015 года, эта уязвимость имеет высокий уровень серьезности.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии
CVE-2015-3834 АНДРОИД-20222489 Высокий 5.1 и ниже

Переполнение буфера в libstagefright OMXNodeInstance::emptyBuffer

В libstagefright при обработке данных, предоставленных другим приложением, возможно переполнение буфера, что приводит к повреждению памяти и потенциальному выполнению кода в качестве процесса медиасервера.

Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения привилегий, недоступных стороннему приложению. Хотя медиасервер защищен SELinux, он имеет доступ к аудио- и видеопотокам, а также доступ к привилегированным узлам устройств драйверов ядра на многих устройствах, к которым сторонние приложения обычно не имеют доступа.

Обратите внимание, что в соответствии с нашими предыдущими рекомендациями по оценке серьезности эта уязвимость была оценена как средняя степень серьезности, и о ней было сообщено партнерам как таковая. Согласно нашим новым рекомендациям, опубликованным в июне 2015 года, эта уязвимость имеет высокий уровень серьезности.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии
CVE-2015-3835 АНДРОИД-20634516 [ 2 ] Высокий 5.1 и ниже

Переполнение кучи в медиасервере AudioPolicyManager::getInputForAttr()

В службе политики аудио медиасервера происходит переполнение кучи, которое может позволить локальному приложению выполнять произвольный код в процессе медиасервера.

Затронутая функциональность предоставляется в виде API приложения. Мы не считаем, что эту проблему можно использовать удаленно.

Этой проблеме присвоен высокий уровень серьезности из-за возможности выполнения кода в качестве привилегированной службы медиасервера из локального приложения. Хотя медиасервер защищен SELinux, он имеет доступ к аудио- и видеопотокам, а также доступ к привилегированным узлам устройств драйверов ядра на многих устройствах, к которым сторонние приложения обычно не имеют доступа.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии
CVE-2015-3842 АНДРОИД-21953516 Высокий 5.1 и ниже

Приложения могут перехватывать или эмулировать команды SIM для телефонии.

В структуре SIM Toolkit (STK) существует уязвимость, которая может позволить приложениям перехватывать или эмулировать определенные команды STK SIM для подсистемы телефонии Android.

Этой проблеме присвоен высокий уровень серьезности, поскольку она может позволить непривилегированному приложению получить доступ к возможностям или данным, которые обычно защищаются разрешением на уровне «подписи» или «системы».

CVE Ошибки со ссылками AOSP Строгость Затронутые версии
CVE-2015-3843 АНДРОИД-21697171 [ 2 , 3 , 4 ] Высокий 5.1 и ниже

Уязвимость в демаршаллинге растровых изображений

Целочисленное переполнение в Bitmap_createFromParcel() может позволить приложению либо аварийно завершить процесс system_server, либо прочитать данные памяти из system_server.

Этой проблеме присвоен средний уровень серьезности из-за возможности утечки конфиденциальных данных из процесса system_server в непривилегированный локальный процесс. Хотя этому типу уязвимости обычно присваивается высокий уровень серьезности, уровень серьезности снижен, поскольку данные, утечка которых произошла в результате успешной атаки, не могут контролироваться атакующим процессом, а последствием неудачной атаки является временная неработоспособность устройства ( требующая перезагрузки).

CVE Ошибки со ссылками AOSP Строгость Затронутые версии
CVE-2015-1536 АНДРОИД-19666945 Умеренный 5.1 и ниже

AppWidgetServiceImpl может создавать IntentSender с системными привилегиями.

В AppWidgetServiceImpl в приложении «Настройки» существует уязвимость, которая позволяет приложению предоставить себе разрешение URI, указав FLAG_GRANT_READ/WRITE_URI_PERMISSION. Например, это можно использовать для чтения контактных данных без разрешения READ_CONTACTS.

Этой уязвимости присвоен средний уровень серьезности, поскольку она может позволить локальному приложению получить доступ к данным, обычно защищенным разрешениями с «опасным» уровнем защиты.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии
CVE-2015-1541 АНДРОИД-19618745 Умеренный 5.1

Обход ограничений на getRecentTasks()

Локальное приложение может надежно определить приложение переднего плана, обходя ограничение getRecentTasks(), введенное в Android 5.0.

Этой уязвимости присвоен средний уровень серьезности, поскольку она может позволить локальному приложению получить доступ к данным, обычно защищенным разрешениями с «опасным» уровнем защиты.

Мы считаем, что эта уязвимость впервые была публично описана на сайте Stack Overflow .

CVE Ошибки со ссылками AOSP Строгость Затронутые версии
CVE-2015-3833 АНДРОИД-20034603 Умеренный 5.0 и 5.1

ActivityManagerService.getProcessRecordLocked() может загрузить системное приложение UID в неправильный процесс.

Метод getProcessRecordLocked() ActivityManager не проверяет должным образом соответствие имени процесса приложения соответствующему имени пакета. В некоторых случаях это может привести к тому, что ActivityManager загрузит неправильный процесс для определенных задач.

Последствия заключаются в том, что приложение может запретить загрузку настроек или ввести параметры для фрагментов настроек. Мы не считаем, что эту уязвимость можно использовать для выполнения произвольного кода от имени «системного» пользователя.

Хотя возможность доступа к возможностям, обычно доступным только «системе», будет оценена как высокая степень серьезности, мы оценили ее как среднюю из-за ограниченного уровня доступа, предоставляемого уязвимостью.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии
CVE-2015-3844 АНДРОИД-21669445 Умеренный 5.1 и ниже

Чтение неограниченного буфера в libstagefright при анализе метаданных 3GPP

Недополнение целого числа во время анализа данных 3GPP может привести к переполнению буфера операцией чтения, что приведет к сбою медиасервера.

Первоначально этой проблеме был присвоен высокий уровень серьезности, о чем было сообщено партнерам, но после дальнейшего расследования ей был понижен уровень серьезности до низкой, поскольку ее влияние ограничивается сбоем медиасервера.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии
CVE-2015-3826 АНДРОИД-20923261 Низкий 5.0 и 5.1

Редакции

  • 13 августа 2015 г.: первоначальная публикация