Опубликовано 5 октября 2015 г. | Обновлено 28 апреля 2016 г.
Мы выпустили обновление безопасности для устройств Nexus посредством беспроводного обновления (OTA) в рамках ежемесячного выпуска бюллетеня по безопасности Android. Образы прошивки Nexus также были размещены на сайте разработчиков Google . Сборки LMY48T или более поздней версии (например, LMY48W) и Android M с уровнем исправления безопасности от 1 октября 2015 г. или более поздней версии устраняют эти проблемы. Инструкции по проверке уровня исправлений безопасности см. в документации Nexus .
Партнеры были уведомлены об этих проблемах 10 сентября 2015 года или ранее. Исправления исходного кода для этих проблем были выпущены в репозиторий Android Open Source Project (AOSP).
Наиболее серьезной из этих проблем является критическая уязвимость безопасности, которая может сделать возможным удаленное выполнение кода на уязвимом устройстве с помощью нескольких методов, таких как электронная почта, просмотр веб-страниц и MMS при обработке мультимедийных файлов. Оценка серьезности основана на влиянии, которое эксплуатация уязвимости может оказать на затронутое устройство, при условии, что средства защиты платформы и службы отключены в целях разработки или в случае успешного обхода.
У нас не было сообщений об активном использовании клиентами этих новых проблем. Подробную информацию о средствах защиты платформы безопасности Android и службах защиты, таких как SafetyNet, которые повышают безопасность платформы Android, можно найти в разделе «Средства снижения риска». Мы рекомендуем всем клиентам принять эти обновления на свои устройства.
Смягчения
Это краткий обзор мер, обеспечиваемых платформой безопасности Android и средствами защиты служб, такими как SafetyNet. Эти возможности снижают вероятность успешного использования уязвимостей безопасности на Android.
- Использование многих проблем на Android усложняется из-за усовершенствований в новых версиях платформы Android. Мы рекомендуем всем пользователям по возможности обновиться до последней версии Android.
- Команда безопасности Android активно отслеживает злоупотребления с помощью Verify Apps и SafetyNet, которые предупреждают о потенциально вредоносных приложениях, которые могут быть установлены. Инструменты рутирования устройств запрещены в Google Play. Чтобы защитить пользователей, которые устанавливают приложения из-за пределов Google Play, функция Verify Apps включена по умолчанию и предупреждает пользователей об известных приложениях с root-доступом. Verify Apps пытается идентифицировать и заблокировать установку известных вредоносных приложений, использующих уязвимость повышения привилегий. Если такое приложение уже установлено, Verify Apps уведомит пользователя и попытается удалить все такие приложения.
- При необходимости Google обновил приложения Hangouts и Messenger, чтобы медиа не передавались автоматически уязвимым процессам (таким как медиасервер).
Благодарности
Мы хотели бы поблагодарить этих исследователей за их вклад:
- Бреннан Лотнер: CVE-2015-3863.
- Чиачи Ву и Сюсянь Цзян из команды C0RE из Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862.
- Яджин Чжоу, Лэй Ву и Сюсянь Цзян из команды C0RE из Qihoo 360: CVE-2015-3865
- Дэниел Микей (daniel.micay@copperhead.co) в Copperhead Security: CVE-2015-3875
- Dragonltx из команды Alibaba Mobile Security: CVE-2015-6599.
- Ян Бир и Стивен Виттито из Google Project Zero: CVE-2015-6604.
- Хоакин Ринаудо (@xeroxnir) и Иван Арсе (@4Dgifts) из Programa STIC в Fundación Dr. Manuel Sadosky, Буэнос-Айрес, Аргентина: CVE-2015-3870
- Джош Дрейк из Zimperium: CVE-2015-3876, CVE-2015-6602.
- Джордан Грусковняк из Exodus Intelligence (@jgrusko): CVE-2015-3867
- Питер Пи из Trend Micro: CVE-2015-3872, CVE-2015-3871.
- Пинг Ли из Qihoo 360 Technology Co. Ltd: CVE-2015-3878.
- Семь Шен: CVE-2015-6600, CVE-2015-3847.
- Вангтао (необайт) из Baidu X-Team: CVE-2015-6598.
- Уиш Ву из Trend Micro Inc. (@wish_wu): CVE-2015-3823
- Майкл Роланд из JR-Center u'smile в Университете прикладных наук, Верхняя Австрия/Хагенберг: CVE-2015-6606.
Мы также хотели бы выразить признательность команде безопасности Chrome, команде безопасности Google, Project Zero и другим сотрудникам Google за сообщение о некоторых проблемах, исправленных в этом бюллетене.
Подробности об уязвимостях безопасности
В разделах ниже мы приводим подробную информацию о каждой уязвимости безопасности, применимой к уровню исправления 2015-10-01. Приведено описание проблемы, обоснование серьезности и таблица с CVE, связанной ошибкой, серьезностью, затронутыми версиями и датой сообщения. Там, где это возможно, мы связали изменение AOSP, устраняющее проблему, с идентификатором ошибки. Если несколько изменений относятся к одной ошибке, дополнительные ссылки AOSP связаны с номерами, следующими за идентификатором ошибки.
Уязвимости удаленного выполнения кода в libstagefright
В libstagefright существуют уязвимости, которые могут позволить злоумышленнику во время обработки медиафайла и данных специально созданного файла вызвать повреждение памяти и удаленное выполнение кода в службе медиасервера.
Этим проблемам присвоен уровень критической серьезности из-за возможности удаленного выполнения кода в качестве привилегированного сервиса. Затронутые компоненты имеют доступ к аудио- и видеопотокам, а также к привилегиям, к которым сторонние приложения обычно не имеют доступа.
| CVE | Ошибки со ссылками AOSP | Строгость | Затронутые версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-3873 | АНДРОИД-20674086 [ 2 , 3 , 4 ] | Критический | 5.1 и ниже | Внутренний Google |
| АНДРОИД-20674674 [ 2 , 3 , 4 ] | ||||
| АНДРОИД-20718524 | ||||
| АНДРОИД-21048776 | ||||
| АНДРОИД-21443020 | ||||
| АНДРОИД-21814993 | ||||
| АНДРОИД-22008959 | ||||
| АНДРОИД-22077698 | ||||
| АНДРОИД-22388975 | ||||
| АНДРОИД-22845824 | ||||
| АНДРОИД-23016072 | ||||
| АНДРОИД-23247055 | ||||
| АНДРОИД-23248776 | ||||
| АНДРОИД-20721050 | Критический | 5.0 и 5.1 | Внутренний Google | |
| CVE-2015-3823 | АНДРОИД-21335999 | Критический | 5.1 и ниже | 20 мая 2015 г. |
| CVE-2015-6600 | АНДРОИД-22882938 | Критический | 5.1 и ниже | 31 июля 2015 г. |
| CVE-2015-6601 | АНДРОИД-22935234 | Критический | 5.1 и ниже | 3 августа 2015 г. |
| CVE-2015-3869 | АНДРОИД-23036083 | Критический | 5.1 и ниже | 4 августа 2015 г. |
| CVE-2015-3870 | АНДРОИД-22771132 | Критический | 5.1 и ниже | 5 августа 2015 г. |
| CVE-2015-3871 | АНДРОИД-23031033 | Критический | 5.1 и ниже | 6 августа 2015 г. |
| CVE-2015-3868 | АНДРОИД-23270724 | Критический | 5.1 и ниже | 6 августа 2015 г. |
| CVE-2015-6604 | АНДРОИД-23129786 | Критический | 5.1 и ниже | 11 августа 2015 г. |
| CVE-2015-3867 | АНДРОИД-23213430 | Критический | 5.1 и ниже | 14 августа 2015 г. |
| CVE-2015-6603 | АНДРОИД-23227354 | Критический | 5.1 и ниже | 15 августа 2015 г. |
| CVE-2015-3876 | АНДРОИД-23285192 | Критический | 5.1 и ниже | 15 августа 2015 г. |
| CVE-2015-6598 | АНДРОИД-23306638 | Критический | 5.1 и ниже | 18 августа 2015 г. |
| CVE-2015-3872 | АНДРОИД-23346388 | Критический | 5.1 и ниже | 19 августа 2015 г. |
| CVE-2015-6599 | АНДРОИД-23416608 | Критический | 5.1 и ниже | 21 августа 2015 г. |
Уязвимости удаленного выполнения кода в Sonivox
В Sonivox существуют уязвимости, которые могут позволить злоумышленнику во время обработки специально созданного медиафайла вызвать повреждение памяти и удаленное выполнение кода в службе медиасервера. Этой проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в качестве привилегированной службы. Затронутый компонент имеет доступ к аудио- и видеопотокам, а также доступ к привилегиям, к которым сторонние приложения обычно не имеют доступа.
| CVE | Ошибки со ссылками AOSP | Строгость | Затронутые версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-3874 | АНДРОИД-23335715 | Критический | 5.1 и ниже | Несколько |
| АНДРОИД-23307276 [ 2 ] | ||||
| АНДРОИД-23286323 |
Уязвимости удаленного выполнения кода в libutils
Уязвимости в универсальной библиотеке libutils существуют при обработке аудиофайлов. Эти уязвимости могут позволить злоумышленнику во время обработки специально созданного файла вызвать повреждение памяти и удаленное выполнение кода в службе, использующей эту библиотеку, например в медиасервере.
Затронутая функциональность предоставляется в виде API приложения, и существует множество приложений, которые позволяют получить доступ к ней с помощью удаленного контента, в первую очередь MMS и воспроизведения мультимедиа в браузере. Этой проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в привилегированном сервисе. Затронутый компонент имеет доступ к аудио- и видеопотокам, а также доступ к привилегиям, к которым сторонние приложения обычно не имеют доступа.
| CVE | Ошибки со ссылками AOSP | Строгость | Затронутые версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-3875 | АНДРОИД-22952485 | Критический | 5.1 и ниже | 15 августа 2015 г. |
| CVE-2015-6602 | АНДРОИД-23290056 [ 2 ] | Критический | 5.1 и ниже | 15 августа 2015 г. |
Уязвимость удаленного выполнения кода в Skia
Уязвимость в компоненте Skia может быть использована при обработке специально созданного медиафайла, что может привести к повреждению памяти и удаленному выполнению кода в привилегированном процессе. Этой проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода с помощью нескольких методов атаки, таких как электронная почта, просмотр веб-страниц и MMS при обработке мультимедийных файлов.
| CVE | Ошибки со ссылками AOSP | Строгость | Затронутые версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-3877 | АНДРОИД-20723696 | Критический | 5.1 и ниже | 30 июля 2015 г. |
Уязвимости удаленного выполнения кода в libFLAC
Уязвимость в libFLAC существует при обработке медиафайлов. Эти уязвимости могут позволить злоумышленнику во время обработки специально созданного файла вызвать повреждение памяти и удаленное выполнение кода.
Затронутая функциональность предоставляется в виде API-интерфейса приложения, и существует множество приложений, которые позволяют получить доступ к ней с помощью удаленного контента, например воспроизведения мультимедиа в браузере. Этой проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в привилегированном сервисе. Затронутый компонент имеет доступ к аудио- и видеопотокам, а также доступ к привилегиям, к которым сторонние приложения обычно не имеют доступа.
| CVE | Ошибки со ссылками AOSP | Строгость | Затронутые версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2014-9028 | АНДРОИД-18872897 [ 2 ] | Критический | 5.1 и ниже | 14 ноября 2014 г. |
Уязвимость, связанная с повышением привилегий в KeyStore
Уязвимость, делающая возможным несанкционированное повышение привилегий в компоненте KeyStore, может быть использована вредоносным приложением при вызове API-интерфейсов KeyStore. Это приложение может вызвать повреждение памяти и выполнение произвольного кода в контексте KeyStore. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для доступа к привилегиям, которые не доступны напрямую стороннему приложению.
| CVE | Ошибки со ссылками AOSP | Строгость | Затронутые версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-3863 | АНДРОИД-22802399 | Высокий | 5.1 и ниже | 28 июля 2015 г. |
Уязвимость, связанная с повышением привилегий в среде медиаплеера
Уязвимость, связанная с несанкционированным повышением привилегий в компоненте инфраструктуры медиаплеера, может позволить вредоносному приложению выполнить произвольный код в контексте медиасервера. Этой проблеме присвоен высокий уровень серьезности, поскольку она позволяет вредоносному приложению получить доступ к привилегиям, недоступным стороннему приложению.
| CVE | Ошибки со ссылками AOSP | Строгость | Затронутые версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-3879 | АНДРОИД-23223325 [2]* | Высокий | 5.1 и ниже | 14 августа 2015 г. |
* Второго изменения по этой проблеме нет в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость, связанная с повышением привилегий в среде выполнения Android
Уязвимость, связанная с несанкционированным повышением привилегий в среде выполнения Android, может позволить локальному вредоносному приложению выполнить произвольный код в контексте системного приложения с повышенными правами. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения расширенных возможностей, таких как права подписи или разрешения SignatureOrSystem , которые недоступны стороннему приложению.
| CVE | Ошибки со ссылками AOSP | Строгость | Затронутые версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-3865 | АНДРОИД-23050463 [ 2 ] | Высокий | 5.1 и ниже | 8 августа 2015 г. |
Уязвимости повышения привилегий на медиасервере
В медиасервере имеется множество уязвимостей, которые могут позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированной собственной службы. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для доступа к привилегиям, которые не доступны напрямую стороннему приложению.
| CVE | Ошибки со ссылками AOSP | Строгость | Затронутые версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-6596 | АНДРОИД-20731946 | Высокий | 5.1 и ниже | Несколько |
| АНДРОИД-20719651* | ||||
| АНДРОИД-19573085 | Высокий | 5,0 - 6,0 | Внутренний Google |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость, связанная с повышением привилегий в оценочном комплекте Secure Element
Уязвимость в плагине SEEK (Secure Element Evaluation Kit, также известном как SmartCard API) может позволить приложению получать повышенные разрешения, не запрашивая их. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения расширенных возможностей, таких как привилегии разрешений Signature или SignatureOrSystem , которые недоступны сторонним приложениям.
| CVE | Ошибки со ссылками AOSP | Строгость | Затронутые версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-6606 | АНДРОИД-22301786* | Высокий | 5.1 и ниже | 30 июня 2015 г. |
* Обновление, устраняющее эту проблему, находится на сайте SEEK для Android .
Повышение привилегий Уязвимость в медиапроекции
Уязвимость в компоненте Media Projection может позволить раскрыть пользовательские данные в виде снимков экрана. Проблема связана с тем, что операционная система допускает слишком длинные имена приложений. Использование этих длинных имен локальным вредоносным приложением может помешать пользователю увидеть предупреждение о записи экрана. Этой проблеме присвоен средний уровень серьезности, поскольку ее можно использовать для неправильного получения повышенных разрешений.
| CVE | Ошибки со ссылками AOSP | Строгость | Затронутые версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-3878 | АНДРОИД-23345192 | Умеренный | 5,0 - 6,0 | 18 августа 2015 г. |
Уязвимость повышения привилегий в Bluetooth
Уязвимость в компоненте Bluetooth Android может позволить приложению удалить сохраненные SMS-сообщения. Этой проблеме присвоен средний уровень серьезности, поскольку ее можно использовать для неправильного получения повышенных разрешений.
| CVE | Ошибки со ссылками AOSP | Строгость | Затронутые версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-3847 | АНДРОИД-22343270 | Умеренный | 5.1 и ниже | 8 июля 2015 г. |
Уязвимости повышения привилегий в SQLite
В механизме синтаксического анализа SQLite было обнаружено множество уязвимостей. Эти уязвимости могут быть использованы локальным приложением, которое может заставить другое приложение или службу выполнять произвольные запросы SQL. Успешная эксплуатация может привести к выполнению произвольного кода в контексте целевого приложения.
Исправление было загружено в основной каталог AOSP 8 апреля 2015 г., обновив версию SQLite до 3.8.9: https://android-review.googlesource.com/#/c/145961/
В этом бюллетене содержатся исправления для версий SQLite в Android 4.4 (SQLite 3.7.11) и Android 5.0 и 5.1 (SQLite 3.8.6).
| CVE | Ошибки со ссылками AOSP | Строгость | Затронутые версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-6607 | АНДРОИД-20099586 | Умеренный | 5.1 и ниже | 7 апреля 2015 г. общеизвестный |
Уязвимости отказа в обслуживании в Mediaserver
В медиасервере имеется множество уязвимостей, которые могут вызвать отказ в обслуживании из-за сбоя процесса медиасервера. Этим проблемам присвоен низкий уровень серьезности, поскольку их последствия возникают в результате сбоя медиасервера, приводящего к локальному временному отказу в обслуживании.
| CVE | Ошибки со ссылками AOSP | Строгость | Затронутые версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-6605 | АНДРОИД-20915134 | Низкий | 5.1 и ниже | Внутренний Google |
| АНДРОИД-23142203 | ||||
| АНДРОИД-22278703 | Низкий | 5,0 - 6,0 | Внутренний Google | |
| CVE-2015-3862 | АНДРОИД-22954006 | Низкий | 5.1 и ниже | 2 августа 2015 г. |
Редакции
- 5 октября 2015 г.: Бюллетень опубликован.
- 7 октября 2015 г.: в бюллетень добавлены ссылки на AOSP. Уточнены ссылки на ошибки для CVE-2014-9028.
- 12 октября 2015 г.: обновлены благодарности за CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
- 22 января 2016 г.: обновлены благодарности за CVE-2015-6606.
- 28 апреля 2016 г.: добавлен CVE-2015-6603 и исправлена опечатка CVE-2014-9028.