Biuletyn Bezpieczeństwa Nexusa – październik 2015 r

Opublikowano 05 października 2015 | Zaktualizowano 28 kwietnia 2016 r

Wydaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA) w ramach naszego comiesięcznego procesu wydawania biuletynu zabezpieczeń Androida. Obrazy oprogramowania sprzętowego Nexusa zostały także udostępnione w witrynie Google Developer . Kompilacje LMY48T lub nowsze (takie jak LMY48W) i Android M z poprawką zabezpieczeń z dnia 1 października 2015 r. lub nowszą rozwiązują te problemy. Instrukcje dotyczące sprawdzania poziomu poprawki zabezpieczeń znajdziesz w dokumentacji Nexusa .

Partnerzy zostali powiadomieni o tych problemach 10 września 2015 r. lub wcześniej. Poprawki kodu źródłowego rozwiązujące te problemy zostały udostępnione w repozytorium Android Open Source Project (AOSP).

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwić zdalne wykonanie kodu na zagrożonym urządzeniu przy użyciu wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług są wyłączone na potrzeby programowania lub jeśli pomyślnie je ominiesz.

Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu przez klientów tych nowo zgłoszonych problemów. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Środki zaradcze . Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Łagodzenia

To jest podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.

  • Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
  • Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia za pomocą funkcji Verify Apps i SafetyNet, które ostrzegają o potencjalnie szkodliwych aplikacjach, które mają zostać zainstalowane. Narzędzia do rootowania urządzeń są zabronione w Google Play. Aby chronić użytkowników instalujących aplikacje spoza Google Play, opcja Weryfikuj aplikacje jest domyślnie włączona i ostrzega użytkowników o znanych aplikacjach powodujących rootowanie. Funkcja Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji wykorzystujących lukę umożliwiającą eskalację uprawnień. Jeśli taka aplikacja została już zainstalowana, funkcja Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wszelkich takich aplikacji.
  • W razie potrzeby firma Google zaktualizowała aplikacje Hangouts i Messenger, aby multimedia nie były automatycznie przekazywane do procesów wrażliwych (takich jak serwer multimediów).

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

  • Brennan Lautner: CVE-2015-3863
  • Chiachih Wu i Xuxian Jiang z zespołu C0RE z Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
  • Yajin Zhou, Lei Wu i Xuxian Jiang z zespołu C0RE z Qihoo 360: CVE-2015-3865
  • Daniel Micay (daniel.micay@copperhead.co) w Copperhead Security: CVE-2015-3875
  • smokltx z zespołu Alibaba Mobile Security: CVE-2015-6599
  • Ian Beer i Steven Vittitoe z Google Project Zero: CVE-2015-6604
  • Joaquín Rinaudo (@xeroxnir) i Iván Arce (@4Dgifts) z Programa STIC w Fundación Dr. Manuel Sadosky, Buenos Aires, Argentyna: CVE-2015-3870
  • Josh Drake z Zimperium: CVE-2015-3876, CVE-2015-6602
  • Jordan Gruskovnjak z Exodus Intelligence (@jgrusko): CVE-2015-3867
  • Peter Pi z Trend Micro: CVE-2015-3872, CVE-2015-3871
  • Ping Li firmy Qihoo 360 Technology Co. Ltd: CVE-2015-3878
  • Siedem Shen: CVE-2015-6600, CVE-2015-3847
  • Wangtao (nebajt) z zespołu X Baidu: CVE-2015-6598
  • Wish Wu z Trend Micro Inc. (@wish_wu): CVE-2015-3823
  • Michael Roland z JR-Center u'smile na Uniwersytecie Nauk Stosowanych w Górnej Austrii/Hagenberg: CVE-2015-6606

Chcielibyśmy także podziękować zespołowi ds. bezpieczeństwa przeglądarki Chrome, zespołowi ds. bezpieczeństwa Google, projektowi Zero i innym osobom z Google za zgłoszenie kilku problemów rozwiązanych w tym biuletynie.

Szczegóły luki w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2015-10-01. Znajduje się tam opis problemu, uzasadnienie wagi oraz tabela zawierająca CVE, powiązany błąd, wagę, wersje, których dotyczy problem, oraz datę zgłoszenia. Jeśli to możliwe, powiązaliśmy zmianę AOSP, która rozwiązała problem, z identyfikatorem błędu. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia AOSP są powiązane z liczbami następującymi po identyfikatorze błędu.

Luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu w libstagefright

W libstagefright istnieją luki, które mogą pozwolić osobie atakującej, podczas przetwarzania pliku multimedialnego i danych specjalnie spreparowanego pliku, spowodować uszkodzenie pamięci i zdalne wykonanie kodu w usłudze serwera multimediów.

Problemy te mają wagę krytyczną ze względu na możliwość zdalnego wykonania kodu w ramach usługi uprzywilejowanej. Komponenty, których dotyczy problem, mają dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.

CVE Błąd(y) z linkami AOSP Powaga Wersje, których to dotyczy Data zgłoszona
CVE-2015-3873 ANDROID-20674086 [ 2 , 3 , 4 ] Krytyczny 5.1 i poniżej Wewnętrzne Google
ANDROID-20674674 [ 2 , 3 , 4 ]
ANDROID-20718524
ANDROID-21048776
ANDROID-21443020
ANDROID-21814993
ANDROID-22008959
ANDROID-22077698
ANDROID-22388975
ANDROID-22845824
ANDROID-23016072
ANDROID-23247055
ANDROID-23248776
ANDROID-20721050 Krytyczny 5.0 i 5.1 Wewnętrzne Google
CVE-2015-3823 ANDROID-21335999 Krytyczny 5.1 i poniżej 20 maja 2015 r
CVE-2015-6600 ANDROID-22882938 Krytyczny 5.1 i poniżej 31 lipca 2015 r
CVE-2015-6601 ANDROID-22935234 Krytyczny 5.1 i poniżej 3 sierpnia 2015 r
CVE-2015-3869 ANDROID-23036083 Krytyczny 5.1 i poniżej 4 sierpnia 2015 r
CVE-2015-3870 ANDROID-22771132 Krytyczny 5.1 i poniżej 5 sierpnia 2015 r
CVE-2015-3871 ANDROID-23031033 Krytyczny 5.1 i poniżej 6 sierpnia 2015 r
CVE-2015-3868 ANDROID-23270724 Krytyczny 5.1 i poniżej 6 sierpnia 2015 r
CVE-2015-6604 ANDROID-23129786 Krytyczny 5.1 i poniżej 11 sierpnia 2015
CVE-2015-3867 ANDROID-23213430 Krytyczny 5.1 i poniżej 14 sierpnia 2015
CVE-2015-6603 ANDROID-23227354 Krytyczny 5.1 i poniżej 15 sierpnia 2015
CVE-2015-3876 ANDROID-23285192 Krytyczny 5.1 i poniżej 15 sierpnia 2015
CVE-2015-6598 ANDROID-23306638 Krytyczny 5.1 i poniżej 18 sierpnia 2015 r
CVE-2015-3872 ANDROID-23346388 Krytyczny 5.1 i poniżej 19 sierpnia 2015 r
CVE-2015-6599 ANDROID-23416608 Krytyczny 5.1 i poniżej 21 sierpnia 2015

Luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu w Sonivox

W programie Sonivox istnieją luki, które mogą pozwolić osobie atakującej podczas przetwarzania specjalnie spreparowanego pliku multimedialnego spowodować uszkodzenie pamięci i zdalne wykonanie kodu w usłudze serwera multimediów. Ten problem ma wagę krytyczną ze względu na możliwość zdalnego wykonania kodu w ramach usługi uprzywilejowanej. Komponent, którego dotyczy problem, ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.

CVE Błąd(y) z linkami AOSP Powaga Wersje, których to dotyczy Data zgłoszona
CVE-2015-3874 ANDROID-23335715 Krytyczny 5.1 i poniżej Wiele
ANDROID-23307276 [ 2 ]
ANDROID-23286323

Luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu w libutils

W przetwarzaniu plików audio występują luki w zabezpieczeniach biblioteki ogólnej libutils. Luki te mogą pozwolić osobie atakującej podczas przetwarzania specjalnie spreparowanego pliku spowodować uszkodzenie pamięci i zdalne wykonanie kodu w usłudze korzystającej z tej biblioteki, takiej jak serwer multimediów.

Funkcja, której dotyczy problem, jest udostępniana w postaci interfejsu API aplikacji. Istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą treści zdalnych, w szczególności wiadomości MMS i odtwarzania multimediów w przeglądarce. Ten problem ma wagę krytyczną ze względu na możliwość zdalnego wykonania kodu w uprzywilejowanej usłudze. Komponent, którego dotyczy problem, ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.

CVE Błąd(y) z łączami AOSP Powaga Wersje, których to dotyczy Data zgłoszona
CVE-2015-3875 ANDROID-22952485 Krytyczny 5.1 i poniżej 15 sierpnia 2015
CVE-2015-6602 ANDROID-23290056 [ 2 ] Krytyczny 5.1 i poniżej 15 sierpnia 2015

Luka w zabezpieczeniach Skia umożliwiająca zdalne wykonanie kodu

Luka w komponencie Skia może zostać wykorzystana podczas przetwarzania specjalnie spreparowanego pliku multimedialnego, co może prowadzić do uszkodzenia pamięci i zdalnego wykonania kodu w uprzywilejowanym procesie. Ten problem ma stopień ważności krytyczny ze względu na możliwość zdalnego wykonania kodu przy użyciu wielu metod ataku, takich jak poczta e-mail, przeglądanie stron internetowych i wiadomości MMS podczas przetwarzania plików multimedialnych.

CVE Błąd(y) z łączami AOSP Powaga Wersje, których to dotyczy Data zgłoszona
CVE-2015-3877 ANDROID-20723696 Krytyczny 5.1 i poniżej 30 lipca 2015 r

Luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu w libFLAC

W bibliotece libFLAC występuje luka w przetwarzaniu plików multimedialnych. Luki te mogą pozwolić osobie atakującej podczas przetwarzania specjalnie spreparowanego pliku spowodować uszkodzenie pamięci i zdalne wykonanie kodu.

Funkcja, której dotyczy problem, jest udostępniana w postaci interfejsu API aplikacji. Istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą treści zdalnych, takich jak odtwarzanie multimediów w przeglądarce. Ten problem ma wagę krytyczną ze względu na możliwość zdalnego wykonania kodu w uprzywilejowanej usłudze. Komponent, którego dotyczy problem, ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.

CVE Błąd(y) z łączami AOSP Powaga Wersje, których to dotyczy Data zgłoszona
CVE-2014-9028 ANDROID-18872897 [ 2 ] Krytyczny 5.1 i poniżej 14 listopada 2014 r

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w magazynie kluczy

Złośliwa aplikacja może wykorzystać lukę w zabezpieczeniach komponentu KeyStore umożliwiającą podniesienie uprawnień podczas wywoływania interfejsów API KeyStore. Ta aplikacja może spowodować uszkodzenie pamięci i wykonanie dowolnego kodu w kontekście magazynu kluczy. Ten problem ma stopień ważności wysoki, ponieważ można go wykorzystać do uzyskania dostępu do uprawnień, które nie są bezpośrednio dostępne dla aplikacji innej firmy.

CVE Błąd(y) z łączami AOSP Powaga Wersje, których to dotyczy Data zgłoszona
CVE-2015-3863 ANDROID-22802399 Wysoki 5.1 i poniżej 28 lipca 2015 r

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w programie Media Player Framework

Luka w zabezpieczeniach komponentu odtwarzacza multimediów umożliwiająca podniesienie uprawnień może pozwolić złośliwej aplikacji na wykonanie dowolnego kodu w kontekście serwera multimediów. Ten problem ma stopień ważności wysoki, ponieważ umożliwia złośliwej aplikacji dostęp do uprawnień niedostępnych dla aplikacji innych firm.

CVE Błąd(y) z łączami AOSP Powaga Wersje, których to dotyczy Data zgłoszona
CVE-2015-3879 ANDROID-23223325 [2]* Wysoki 5.1 i poniżej 14 sierpnia 2015

* Druga zmiana dotycząca tego problemu nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w środowisku wykonawczym systemu Android

Luka w zabezpieczeniach środowiska wykonawczego Android umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem został sklasyfikowany jako wysoki, ponieważ można go wykorzystać do uzyskania zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.

CVE Błąd(y) z łączami AOSP Powaga Wersje, których to dotyczy Data zgłoszona
CVE-2015-3865 ANDROID-23050463 [ 2 ] Wysoki 5.1 i poniżej 8 sierpnia 2015

Podniesienie poziomu luk w zabezpieczeniach serwera multimediów

Serwer multimediów zawiera wiele luk w zabezpieczeniach, które umożliwiają lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanej usługi natywnej. Ten problem został sklasyfikowany jako wysoki, ponieważ można go wykorzystać do uzyskania dostępu do uprawnień, które nie są bezpośrednio dostępne dla aplikacji innej firmy.

CVE Błąd(y) z łączami AOSP Powaga Wersje, których to dotyczy Data zgłoszona
CVE-2015-6596 ANDROID-20731946 Wysoki 5.1 i poniżej Wiele
ANDROID-20719651*
ANDROID-19573085 Wysoki 5,0 - 6,0 Wewnętrzne Google

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach w zestawie do oceny elementu Secure Element

Luka we wtyczce SEEK (Secure Element Evaluation Kit, czyli SmartCard API) może pozwolić aplikacji na uzyskanie podwyższonych uprawnień bez żądania ich. Ten problem został sklasyfikowany jako wysoki, ponieważ można go wykorzystać do uzyskania zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.

CVE Błąd(y) z linkami AOSP Powaga Wersje, których to dotyczy Data zgłoszona
CVE-2015-6606 ANDROID-22301786* Wysoki 5.1 i poniżej 30 czerwca 2015 r

* Aktualizację rozwiązującą ten problem można znaleźć w witrynie SEEK dla systemu Android .

Luka w zabezpieczeniach dotycząca podniesienia uprawnień w projekcji multimediów

Luka w komponencie Media Projection może pozwolić na ujawnienie danych użytkownika w postaci zrzutów ekranu. Problem wynika z tego, że system operacyjny dopuszcza zbyt długie nazwy aplikacji. Użycie tych długich nazw przez lokalną złośliwą aplikację może uniemożliwić użytkownikowi wyświetlenie ostrzeżenia o nagraniu ekranu. Ten problem ma wagę umiarkowaną, ponieważ można go wykorzystać do nieprawidłowego uzyskania podwyższonych uprawnień.

CVE Błąd(y) z linkami AOSP Powaga Wersje, których to dotyczy Data zgłoszona
CVE-2015-3878 ANDROID-23345192 Umiarkowany 5,0 - 6,0 18 sierpnia 2015 r

Luka w zabezpieczeniach Bluetooth umożliwiająca podniesienie uprawnień

Luka w komponencie Bluetooth systemu Android może pozwolić aplikacji na usunięcie zapisanych wiadomości SMS. Ten problem ma wagę umiarkowaną, ponieważ można go wykorzystać do nieprawidłowego uzyskania podwyższonych uprawnień.

CVE Błąd(y) z linkami AOSP Powaga Wersje, których to dotyczy Data zgłoszona
CVE-2015-3847 ANDROID-22343270 Umiarkowany 5.1 i poniżej 8 lipca 2015 r

Podniesienie poziomu luk w uprawnieniach w SQLite

W silniku analizującym SQLite wykryto wiele luk w zabezpieczeniach. Luki te mogą zostać wykorzystane przez aplikację lokalną, co może spowodować, że inna aplikacja lub usługa wykona dowolne zapytanie SQL. Pomyślna eksploatacja może skutkować wykonaniem dowolnego kodu w kontekście docelowej aplikacji.

Poprawka została przesłana do głównego AOSP 8 kwietnia 2015 r., aktualizując wersję SQLite do 3.8.9: https://android-review.googlesource.com/#/c/145961/

Niniejszy biuletyn zawiera poprawki do wersji SQLite na Androida 4.4 (SQLite 3.7.11) oraz Androida 5.0 i 5.1 (SQLite 3.8.6).

CVE Błąd(y) z linkami AOSP Powaga Wersje, których to dotyczy Data zgłoszona
CVE-2015-6607 ANDROID-20099586 Umiarkowany 5.1 i poniżej 7 kwietnia 2015 r
Publicznie znane

Luki w zabezpieczeniach typu „odmowa usługi” w serwerze multimediów

Istnieje wiele luk w zabezpieczeniach serwera multimediów, które mogą spowodować odmowę usługi w wyniku zawieszenia procesu serwera multimediów. Problemy te mają niską wagę, ponieważ objawiają się awarią serwera multimediów skutkującą lokalną tymczasową odmową usługi.

CVE Błąd(y) z linkami AOSP Powaga Wersje, których to dotyczy Data zgłoszona
CVE-2015-6605 ANDROID-20915134 Niski 5.1 i poniżej Wewnętrzne Google
ANDROID-23142203
ANDROID-22278703 Niski 5,0 - 6,0 Wewnętrzne Google
CVE-2015-3862 ANDROID-22954006 Niski 5.1 i poniżej 2 sierpnia 2015 r

Wersje

  • 05 października 2015: Biuletyn opublikowany.
  • 07 października 2015: Biuletyn zaktualizowany o referencje AOSP. Wyjaśniono odniesienia do błędów w CVE-2014-9028.
  • 12 października 2015 r.: Zaktualizowano podziękowania dla CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
  • 22 stycznia 2016 r.: Zaktualizowano podziękowania dla CVE-2015-6606.
  • 28 kwietnia 2016 r.: Dodano CVE-2015-6603 i poprawiono literówkę w CVE-2014-9028.