Biuletyn bezpieczeństwa Nexusa – październik 2015 r.

Opublikowano 05 października 2015 | Zaktualizowano 28 kwietnia 2016 r.

Wydaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA) w ramach procesu comiesięcznego wydawania biuletynów dotyczących bezpieczeństwa Androida. Obrazy oprogramowania sprzętowego Nexusa zostały również udostępnione w witrynie Google Developer . Kompilacje LMY48T lub nowsze (takie jak LMY48W) i Android M z poziomem poprawki zabezpieczeń z 1 października 2015 r. lub nowszym rozwiązują te problemy. Zapoznaj się z dokumentacją Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń.

Partnerzy zostali powiadomieni o tych problemach 10 września 2015 r. lub wcześniej. Poprawki kodu źródłowego dla tych problemów zostały udostępnione w repozytorium Android Open Source Project (AOSP).

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która podczas przetwarzania plików multimedialnych może umożliwić zdalne wykonanie kodu na zaatakowanym urządzeniu za pomocą wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS. Ocena dotkliwości opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy, przy założeniu, że platforma i usługi ograniczania zagrożeń są wyłączone w celach programistycznych lub pomyślnie ominięte.

Nie mamy doniesień o aktywnym wykorzystywaniu przez klientów tych nowo zgłoszonych problemów. Zapoznaj się z sekcją Ograniczenia , aby uzyskać szczegółowe informacje na temat zabezpieczeń platformy Android i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android. Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Łagodzenia

To jest podsumowanie środków łagodzących zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Te możliwości zmniejszają prawdopodobieństwo pomyślnego wykorzystania luk w zabezpieczeniach w systemie Android.

  • Wykorzystanie wielu problemów w systemie Android jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do aktualizacji do najnowszej wersji Androida tam, gdzie to możliwe.
  • Zespół Android Security aktywnie monitoruje pod kątem nadużyć za pomocą funkcji Verify Apps i SafetyNet, które będą ostrzegać o potencjalnie szkodliwych aplikacjach, które mają zostać zainstalowane. Narzędzia do rootowania urządzeń są zabronione w Google Play. Aby chronić użytkowników, którzy instalują aplikacje spoza Google Play, Weryfikacja aplikacji jest domyślnie włączona i będzie ostrzegać użytkowników o znanych aplikacjach do rootowania. Usługa Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji, które wykorzystują lukę umożliwiającą eskalację uprawnień. Jeśli taka aplikacja została już zainstalowana, Weryfikacja aplikacji powiadomi użytkownika i spróbuje usunąć takie aplikacje.
  • W stosownych przypadkach firma Google zaktualizowała aplikacje Hangouts i Messenger, aby multimedia nie były automatycznie przekazywane do podatnych na ataki procesów (takich jak serwer mediów).

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

  • Brennan Lautner: CVE-2015-3863
  • Chiachih Wu i Xuxian Jiang z zespołu C0RE z Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
  • Yajin Zhou, Lei Wu i Xuxian Jiang z zespołu C0RE z Qihoo 360: CVE-2015-3865
  • Daniel Micay (daniel.micay@copperhead.co) w Copperhead Security: CVE-2015-3875
  • dragonltx z Alibaba Mobile Security Team: CVE-2015-6599
  • Ian Beer i Steven Vittitoe z Google Project Zero: CVE-2015-6604
  • Joaquín Rinaudo (@xeroxnir) i Iván Arce (@4Dgifts) z Programa STIC w Fundación Dr. Manuel Sadosky, Buenos Aires, Argentyna: CVE-2015-3870
  • Josh Drake z Zimperium: CVE-2015-3876, CVE-2015-6602
  • Jordan Gruskovnjak z Exodus Intelligence (@jgrusko): CVE-2015-3867
  • Peter Pi z Trend Micro: CVE-2015-3872, CVE-2015-3871
  • Ping Li firmy Qihoo 360 Technology Co. Ltd: CVE-2015-3878
  • Siedem Shen: CVE-2015-6600, CVE-2015-3847
  • Wangtao (neobajt) z Baidu X-Team: CVE-2015-6598
  • Życzę Wu firmy Trend Micro Inc. (@wish_wu): CVE-2015-3823
  • Michael Roland z JR-Center u'smile na Uniwersytecie Nauk Stosowanych, Górna Austria/Hagenberg: CVE-2015-6606

Chcielibyśmy również podziękować zespołowi ds. bezpieczeństwa Chrome, zespołowi ds. bezpieczeństwa Google, Project Zero i innym osobom w Google za zgłoszenie kilku problemów naprawionych w tym biuletynie.

Szczegóły luki w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z dnia 2015-10-01. Dostępny jest opis problemu, uzasadnienie jego ważności oraz tabela z CVE, powiązanym błędem, ważnością, wersjami, których dotyczy problem, oraz datą zgłoszenia. Tam, gdzie to możliwe, powiązaliśmy zmianę AOSP, która rozwiązała problem, z identyfikatorem błędu. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odniesienia AOSP są powiązane z liczbami następującymi po identyfikatorze błędu.

Luki w zabezpieczeniach zdalnego wykonania kodu w libstagefright

W bibliotece libstagefright istnieją luki, które mogą umożliwić osobie atakującej podczas przetwarzania pliku multimedialnego i danych w specjalnie spreparowanym pliku uszkodzenie pamięci i zdalne wykonanie kodu w usłudze mediaserver.

Te problemy są oceniane jako ważność krytyczna ze względu na możliwość zdalnego wykonania kodu jako usługi uprzywilejowanej. Zaatakowane komponenty mają dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie mają dostępu aplikacje innych firm.

CVE Błędy z linkami AOSP Surowość Wersje, których dotyczy problem Data zgłoszenia
CVE-2015-3873 ANDROID-20674086 [ 2 , 3 , 4 ] Krytyczny 5.1 i poniżej Wewnętrzne Google
ANDROID-20674674 [ 2 , 3 , 4 ]
ANDROID-20718524
ANDROID-21048776
ANDROID-21443020
ANDROID-21814993
ANDROID-2208959
ANDROID-22077698
ANDROID-22388975
ANDROID-22845824
ANDROID-23016072
ANDROID-23247055
ANDROID-23248776
ANDROID-20721050 Krytyczny 5.0 i 5.1 Wewnętrzne Google
CVE-2015-3823 ANDROID-21335999 Krytyczny 5.1 i poniżej 20 maja 2015 r.
CVE-2015-6600 ANDROID-22882938 Krytyczny 5.1 i poniżej 31 lipca 2015 r.
CVE-2015-6601 ANDROID-22935234 Krytyczny 5.1 i poniżej 3 sierpnia 2015
CVE-2015-3869 ANDROID-23036083 Krytyczny 5.1 i poniżej 4 sierpnia 2015 r.
CVE-2015-3870 ANDROID-22771132 Krytyczny 5.1 i poniżej 5 sierpnia 2015 r.
CVE-2015-3871 ANDROID-23031033 Krytyczny 5.1 i poniżej 6 sierpnia 2015 r.
CVE-2015-3868 ANDROID-23270724 Krytyczny 5.1 i poniżej 6 sierpnia 2015 r.
CVE-2015-6604 ANDROID-23129786 Krytyczny 5.1 i poniżej 11 sierpnia 2015 r.
CVE-2015-3867 ANDROID-23213430 Krytyczny 5.1 i poniżej 14 sierpnia 2015 r.
CVE-2015-6603 ANDROID-23227354 Krytyczny 5.1 i poniżej 15 sierpnia 2015 r.
CVE-2015-3876 ANDROID-23285192 Krytyczny 5.1 i poniżej 15 sierpnia 2015 r.
CVE-2015-6598 ANDROID-23306638 Krytyczny 5.1 i poniżej 18 sierpnia 2015
CVE-2015-3872 ANDROID-23346388 Krytyczny 5.1 i poniżej 19 sierpnia 2015 r.
CVE-2015-6599 ANDROID-23416608 Krytyczny 5.1 i poniżej 21 sierpnia 2015 r.

Luki w zabezpieczeniach zdalnego wykonania kodu w Sonivox

W systemie Sonivox istnieją luki, które mogą umożliwić osobie atakującej podczas przetwarzania pliku multimedialnego specjalnie spreparowanego pliku uszkodzenie pamięci i zdalne wykonanie kodu w usłudze mediaserver. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu jako usługi uprzywilejowanej. Zaatakowany komponent ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie mają dostępu aplikacje innych firm.

CVE Błędy z linkami AOSP Surowość Wersje, których dotyczy problem Data zgłoszenia
CVE-2015-3874 ANDROID-23335715 Krytyczny 5.1 i poniżej Wiele
ANDROID-23307276 [ 2 ]
ANDROID-23286323

Luki w zabezpieczeniach zdalnego wykonania kodu w libutils

Luki w libutils, ogólnej bibliotece, istnieją w przetwarzaniu plików audio. Luki te mogą podczas przetwarzania specjalnie spreparowanego pliku umożliwić osobie atakującej uszkodzenie pamięci i zdalne wykonanie kodu w usłudze korzystającej z tej biblioteki, takiej jak serwer medialny.

Funkcja, której dotyczy problem, jest udostępniana jako interfejs API aplikacji i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności MMS i odtwarzanie multimediów w przeglądarce. Ten problem został oceniony jako ważność krytyczna ze względu na możliwość zdalnego wykonania kodu w usłudze uprzywilejowanej. Zaatakowany komponent ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie mają dostępu aplikacje innych firm.

CVE Błędy z linkami AOSP Surowość Wersje, których dotyczy problem Data zgłoszenia
CVE-2015-3875 ANDROID-22952485 Krytyczny 5.1 i poniżej 15 sierpnia 2015 r.
CVE-2015-6602 ANDROID-23290056 [ 2 ] Krytyczny 5.1 i poniżej 15 sierpnia 2015 r.

Luka umożliwiająca zdalne wykonanie kodu w Skia

Podczas przetwarzania specjalnie spreparowanego pliku multimedialnego może zostać wykorzystana luka w składniku Skia, która może spowodować uszkodzenie pamięci i zdalne wykonanie kodu w procesie uprzywilejowanym. Ten problem jest oceniany jako krytyczny ze względu na możliwość zdalnego wykonania kodu za pomocą wielu metod ataku, takich jak poczta e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych.

CVE Błędy z linkami AOSP Surowość Wersje, których dotyczy problem Data zgłoszenia
CVE-2015-3877 ANDROID-20723696 Krytyczny 5.1 i poniżej 30 lipca 2015 r.

Luki w zabezpieczeniach zdalnego wykonania kodu w libFLAC

W przetwarzaniu plików multimedialnych istnieje luka w libFLAC. Luki te mogą umożliwić osobie atakującej podczas przetwarzania specjalnie spreparowanego pliku uszkodzenie pamięci i zdalne wykonanie kodu.

Funkcja, której dotyczy problem, jest udostępniana jako interfejs API aplikacji i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zawartości zdalnej, takiej jak odtwarzanie multimediów w przeglądarce. Ten problem został oceniony jako ważność krytyczna ze względu na możliwość zdalnego wykonania kodu w usłudze uprzywilejowanej. Zaatakowany komponent ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie mają dostępu aplikacje innych firm.

CVE Błędy z linkami AOSP Surowość Wersje, których dotyczy problem Data zgłoszenia
CVE-2014-9028 ANDROID-18872897 [ 2 ] Krytyczny 5.1 i poniżej 14 listopada 2014

Podwyższona luka w zabezpieczeniach uprawnień w KeyStore

Luka umożliwiająca podniesienie uprawnień w komponencie KeyStore może zostać wykorzystana przez złośliwą aplikację podczas wywoływania interfejsów API KeyStore. Ta aplikacja może spowodować uszkodzenie pamięci i wykonanie dowolnego kodu w kontekście KeyStore. Ten problem ma wysoki poziom ważności, ponieważ może być używany do uzyskiwania dostępu do uprawnień, które nie są bezpośrednio dostępne dla aplikacji innej firmy.

CVE Błędy z linkami AOSP Surowość Wersje, których dotyczy problem Data zgłoszenia
CVE-2015-3863 ANDROID-22802399 Wysoki 5.1 i poniżej 28 lipca 2015 r.

Podniesienie poziomu luki w uprawnieniach w programie Media Player Framework

Luka umożliwiająca podniesienie uprawnień w komponencie struktury odtwarzacza multimediów może umożliwić złośliwej aplikacji wykonanie dowolnego kodu w kontekście mediaserver. Ten problem ma wysoki poziom ważności, ponieważ umożliwia złośliwej aplikacji dostęp do uprawnień niedostępnych dla aplikacji innej firmy.

CVE Błędy z linkami AOSP Surowość Wersje, których dotyczy problem Data zgłoszenia
CVE-2015-3879 ANDROID-23223325 [2]* Wysoki 5.1 i poniżej 14 sierpnia 2015 r.

* Druga zmiana dotycząca tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka w zabezpieczeniach uprawnień w środowisku wykonawczym systemu Android

Luka umożliwiająca podniesienie uprawnień w środowisku uruchomieniowym systemu Android może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem ma wysoki poziom ważności, ponieważ można go użyć do uzyskania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.

CVE Błędy z linkami AOSP Surowość Wersje, których dotyczy problem Data zgłoszenia
CVE-2015-3865 ANDROID-23050463 [ 2 ] Wysoki 5.1 i poniżej 8 sierpnia 2015 r.

Podwyższone luki związane z uprawnieniami w Mediaserver

Mediaserver zawiera wiele luk, które mogą umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanej usługi natywnej. Ten problem ma wysoki poziom ważności, ponieważ może być używany do uzyskiwania dostępu do uprawnień, które nie są bezpośrednio dostępne dla aplikacji innej firmy.

CVE Błędy z linkami AOSP Surowość Wersje, których dotyczy problem Data zgłoszenia
CVE-2015-6596 ANDROID-20731946 Wysoki 5.1 i poniżej Wiele
ANDROID-20719651*
ANDROID-19573085 Wysoki 5,0 - 6,0 Wewnętrzne Google

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka w zabezpieczeniach uprawnień w zestawie do oceny bezpiecznego elementu

Luka we wtyczce SEEK (Secure Element Evaluation Kit, czyli SmartCard API) może umożliwić aplikacji uzyskanie podwyższonych uprawnień bez żądania ich. Ten problem ma wysoki poziom ważności, ponieważ można go użyć do uzyskania podwyższonych możliwości, takich jak uprawnienia podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.

CVE Błędy z linkami AOSP Surowość Wersje, których dotyczy problem Data zgłoszenia
CVE-2015-6606 ANDROID-22301786* Wysoki 5.1 i poniżej 30 czerwca 2015 r.

* Uaktualnienie rozwiązujące ten problem znajduje się w witrynie SEEK for Android .

Podwyższenie poziomu podatności na przywileje w projekcji mediów

Luka w komponencie Media Projection może umożliwić ujawnienie danych użytkownika w postaci zrzutów ekranu. Problem wynika z dopuszczania przez system operacyjny zbyt długich nazw aplikacji. Użycie tych długich nazw przez lokalną złośliwą aplikację może uniemożliwić wyświetlanie ostrzeżenia o nagraniu ekranu przez użytkownika. Ten problem jest oceniany jako umiarkowana istotność, ponieważ może być używany do niewłaściwego uzyskania podwyższonych uprawnień.

CVE Błędy z linkami AOSP Surowość Wersje, których dotyczy problem Data zgłoszenia
CVE-2015-3878 ANDROID-23345192 Umiarkowany 5,0 - 6,0 18 sierpnia 2015

Podwyższenie luki związanej z przywilejami w Bluetooth

Luka w komponencie Bluetooth systemu Android może umożliwić aplikacji usuwanie zapisanych wiadomości SMS. Ten problem jest oceniany jako umiarkowana istotność, ponieważ może być używany do niewłaściwego uzyskania podwyższonych uprawnień.

CVE Błędy z linkami AOSP Surowość Wersje, których dotyczy problem Data zgłoszenia
CVE-2015-3847 ANDROID-22343270 Umiarkowany 5.1 i poniżej 8 lipca 2015 r.

Podwyższenie luk dotyczących uprawnień w SQLite

W silniku analizującym SQLite wykryto wiele luk. Te luki mogą zostać wykorzystane przez lokalną aplikację, która może spowodować, że inna aplikacja lub usługa wykona dowolne zapytania SQL. Pomyślne wykorzystanie może spowodować wykonanie dowolnego kodu w kontekście aplikacji docelowej.

Poprawka została przesłana do mastera AOSP 8 kwietnia 2015 r., aktualizując wersję SQLite do 3.8.9: https://android-review.googlesource.com/#/c/145961/

Ten biuletyn zawiera poprawki dla wersji SQLite w systemie Android 4.4 (SQLite 3.7.11) oraz Android 5.0 i 5.1 (SQLite 3.8.6).

CVE Błędy z linkami AOSP Surowość Wersje, których dotyczy problem Data zgłoszenia
CVE-2015-6607 ANDROID-20099586 Umiarkowany 5.1 i poniżej 7 kwietnia 2015
Publicznie znany

Luki w zabezpieczeniach typu „odmowa usługi” w Mediaserver

Mediaserver zawiera wiele luk, które mogą powodować atak typu „odmowa usługi” poprzez awarię procesu serwera mediów. Problemy te są oceniane jako Niski poziom ważności, ponieważ ich skutkiem jest awaria serwera multimediów powodująca lokalną tymczasową odmowę usługi.

CVE Błędy z linkami AOSP Surowość Wersje, których dotyczy problem Data zgłoszenia
CVE-2015-6605 ANDROID-20915134 Niski 5.1 i poniżej Wewnętrzne Google
ANDROID-23142203
ANDROID-22278703 Niski 5,0 - 6,0 Wewnętrzne Google
CVE-2015-3862 ANDROID-22954006 Niski 5.1 i poniżej 2 sierpnia 2015

Rewizje

  • 05 października 2015: Biuletyn opublikowany.
  • 7 października 2015: Biuletyn zaktualizowany o odniesienia do AOSP. Wyjaśniono odniesienia do błędów dla CVE-2014-9028.
  • 12 października 2015: Zaktualizowane potwierdzenia dla CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
  • 22 stycznia 2016: Zaktualizowane potwierdzenia dla CVE-2015-6606.
  • 28 kwietnia 2016: Dodano CVE-2015-6603 i poprawiono literówkę w CVE-2014-9028.