Opublikowano 5 października 2015 r. | Zaktualizowano 28 kwietnia 2016 r.
W ramach naszego miesięcznego procesu publikowania Biuletynów bezpieczeństwa w Androidzie udostępniliśmy aktualizację zabezpieczeń dla urządzeń Nexus w ramach aktualizacji przez Internet. Obrazy oprogramowania układowego Nexusa zostały też udostępnione w witrynie Google Developers. Wersje LMY48T lub nowsze (np. LMY48W) oraz Android M z poprawką bezpieczeństwa z 1 października 2015 r. lub nowszą rozwiązują te problemy. Instrukcje sprawdzania poziomu zabezpieczeń znajdziesz w dokumentacji Nexusa.
Partnerzy zostali poinformowani o tych problemach 10 września 2015 r. lub wcześniej. Poprawki kodu źródłowego dotyczące tych problemów zostały opublikowane w repozytorium Projektu Android Open Source (AOSP).
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwiać zdalne wykonywanie kodu na urządzeniu docelowym za pomocą różnych metod, takich jak e-mail, przeglądanie stron internetowych i MMS-y podczas przetwarzania plików multimedialnych. Ocena ważności jest oparta na potencjalnym wpływie wykorzystania luki w zabezpieczeniach na urządzeniu, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby programowania lub że zostały pomyślnie omijane.
Nie otrzymaliśmy żadnych zgłoszeń o aktywnej próbie wykorzystania przez klientów tych nowo zgłoszonych problemów. Więcej informacji o zabezpieczeniach platformy Android i zabezpieczeniach usług, takich jak SafetyNet, które zwiększają bezpieczeństwo platformy Android, znajdziesz w sekcji Środki zaradcze. Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Złagodzenia
Oto podsumowanie środków zaradczych oferowanych przez platformę bezpieczeństwa Androida i zabezpieczenia usług, takie jak SafetyNet. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach mogą zostać wykorzystane na Androidzie.
- Wykorzystanie wielu luk w Androidzie jest utrudnione dzięki ulepszeniom w nowszych wersjach platformy. Zachęcamy wszystkich użytkowników do zaktualizowania systemu do najnowszej wersji Androida, o ile to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą narzędzia Verify Apps i SafetyNet, które ostrzegają przed instalowaniem potencjalnie szkodliwych aplikacji. W Google Play nie można publikować narzędzi do rootowania urządzeń. Aby chronić użytkowników, którzy instalują aplikacje spoza Google Play, weryfikacja aplikacji jest domyślnie włączona i ostrzega użytkowników o znanych aplikacjach do rootowania. Verify Apps próbuje wykrywać i blokować instalację znanych złośliwych aplikacji, które wykorzystują lukę w zabezpieczeniach umożliwiającą podniesienie uprawnień. Jeśli taka aplikacja jest już zainstalowana, Verify Apps powiadomi użytkownika i spróbuje ją usunąć.
- W odpowiednich przypadkach zaktualizowaliśmy aplikacje Hangouts i Messenger, aby multimedia nie były automatycznie przekazywane do podatnych procesów (takich jak mediaserver).
Podziękowania
Dziękujemy zaangażowanym w to badanie naukowcom:
- Brennan Lautner: CVE-2015-3863
- Chiachih Wu i Xuxian Jiang z zespołu C0RE z Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
- Yajin Zhou, Lei Wu i Xuxian Jiang z zespołu C0RE z Qihoo 360: CVE-2015-3865
- Daniel Micay (daniel.micay@copperhead.co) z Copperhead Security: CVE-2015-3875
- dragonltx z zespołu ds. zabezpieczeń mobilnych w Alibaba: CVE-2015-6599
- Ian Beer i Steven Vittitoe z Google Project Zero: CVE-2015-6604
- Joaquín Rinaudo (@xeroxnir) i Iván Arce (@4Dgifts) z Programa STIC w Fundación Dr. Manuel Sadosky, Buenos Aires, Argentyna: CVE-2015-3870
- Josh Drake z Zimperium: CVE-2015-3876, CVE-2015-6602
- Jordan Gruskovnjak z Exodus Intelligence (@jgrusko): CVE-2015-3867
- Peter Pi z Trend Micro: CVE-2015-3872, CVE-2015-3871
- Ping Li z Qihoo 360 Technology Co. Ltd: CVE-2015-3878
- Seven Shen: CVE-2015-6600, CVE-2015-3847
- Wangtao(neobyte) z X-Team w Baidu: CVE-2015-6598
- Wish Wu z Trend Micro Inc. (@wish_wu): CVE-2015-3823
- Michael Roland z JR-Center u'smile na Uniwersytecie Nauk Stosowanych w Hagenbergu (Austria): CVE-2015-6606
Dziękujemy też zespołowi ds. bezpieczeństwa Chrome, zespołowi ds. bezpieczeństwa Google, zespołowi Project Zero oraz innym osobom w Google za zgłoszenie kilku problemów, które zostały rozwiązane w ramach tego biuletynu.
Szczegóły luki w zabezpieczeniach
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 2015-10-01. Zawiera opis problemu, uzasadnienie dotyczące jego wagi oraz tabelę z identyfikatorem CVE, powiązanym błędem, wagą, wersjami, których dotyczy problem, oraz datą zgłoszenia. W miarę możliwości połączyliśmy identyfikator błędu z zmianą w AOSP, która rozwiązuje problem. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia do AOSP są połączone z numerami po identyfikatorze błędu.
Luki w zabezpieczeniach libstagefright umożliwiające zdalne wykonywanie kodu
W bibliotece libstagefright występują luki w zabezpieczeniach, które mogą umożliwić atakującemu spowodowanie uszkodzenia pamięci i zwartego w niej kodu podczas przetwarzania danych i plików multimedialnych w specjalnie spreparowanym pliku.
Te problemy są oceniane jako krytyczne ze względu na możliwość zdalnego uruchomienia kodu w ramach usługi uprzywilejowanej. Komponenty, których dotyczy problem, mają dostęp do strumieni audio i wideo, a także do uprawnień, do których aplikacje innych firm normalnie nie mają dostępu.
| CVE | Błędy w linkach do AOSP | Poziom | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-3873 | ANDROID-20674086 [2,3,4] | Krytyczny | 5.1 i starsze | Google - wewnętrzny |
| ANDROID-20674674 [2,3,4] | ||||
| ANDROID-20718524 | ||||
| ANDROID-21048776 | ||||
| ANDROID-21443020 | ||||
| ANDROID-21814993 | ||||
| ANDROID-22008959 | ||||
| ANDROID-22077698 | ||||
| ANDROID-22388975 | ||||
| ANDROID-22845824 | ||||
| ANDROID-23016072 | ||||
| ANDROID-23247055 | ||||
| ANDROID-23248776 | ||||
| ANDROID-20721050 | Krytyczny | 5.0 i 5.1 | Google - wewnętrzny | |
| CVE-2015-3823 | ANDROID-21335999 | Krytyczny | 5.1 i starsze | 20 maja 2015 r. |
| CVE-2015-6600 | ANDROID-22882938 | Krytyczny | 5.1 i starsze | 31 lipca 2015 r. |
| CVE-2015-6601 | ANDROID-22935234 | Krytyczny | 5.1 i starsze | 3 sierpnia 2015 r. |
| CVE-2015-3869 | ANDROID-23036083 | Krytyczny | 5.1 i starsze | 4 sierpnia 2015 r. |
| CVE-2015-3870 | ANDROID-22771132 | Krytyczny | 5.1 i starsze | 5 sierpnia 2015 r. |
| CVE-2015-3871 | ANDROID-23031033 | Krytyczny | 5.1 i starsze | 6 sierpnia 2015 r. |
| CVE-2015-3868 | ANDROID-23270724 | Krytyczny | 5.1 i starsze | 6 sierpnia 2015 r. |
| CVE-2015-6604 | ANDROID-23129786 | Krytyczny | 5.1 i starsze | 11 sierpnia 2015 r. |
| CVE-2015-3867 | ANDROID-23213430 | Krytyczny | 5.1 i starsze | 14 sierpnia 2015 r. |
| CVE-2015-6603 | ANDROID-23227354 | Krytyczny | 5.1 i starsze | 15 sierpnia 2015 r. |
| CVE-2015-3876 | ANDROID-23285192 | Krytyczny | 5.1 i starsze | 15 sierpnia 2015 r. |
| CVE-2015-6598 | ANDROID-23306638 | Krytyczny | 5.1 i starsze | 18 sierpnia 2015 r. |
| CVE-2015-3872 | ANDROID-23346388 | Krytyczny | 5.1 i starsze | 19 sierpnia 2015 r. |
| CVE-2015-6599 | ANDROID-23416608 | Krytyczny | 5.1 i starsze | 21 sierpnia 2015 r. |
W usłudze Sonivox występują podatności umożliwiające zdalne wykonywanie kodu
W Sonivox występują luki w zabezpieczeniach, które mogą umożliwić osobie przeprowadzającej atak wywołanie podczas przetwarzania pliku multimedialnego specjalnie spreparowanego pliku, co może spowodować uszkodzenie pamięci i zbieranie danych w ramach zdalnego uruchomienia kodu w usłudze mediaserver. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonywania kodu w ramach usługi uprzywilejowanej. Uprawniony komponent ma dostęp do strumieni audio i wideo, a także do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.
| CVE | Błędy w linkach do AOSP | Poziom | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-3874 | ANDROID-23335715 | Krytyczny | 5.1 i starsze | Wiele |
| ANDROID-23307276 [2] | ||||
| ANDROID-23286323 |
Luki w zabezpieczeniach libutils umożliwiające zdalne wykonywanie kodu
W bibliotece ogólnej libutils występują podatności na ataki podczas przetwarzania plików audio. Te luki w zabezpieczeniach mogą umożliwić osobie atakującej, podczas przetwarzania specjalnie przygotowanego pliku, uszkodzenie pamięci i zdalne uruchomienie kodu w usłudze korzystającej z tej biblioteki, takiej jak serwer multimediów.
Dotycząca funkcja jest udostępniana jako interfejs API aplikacji, a wiele aplikacji umożliwia dostęp do treści zdalnych, w tym MMS-ów i odtwarzania multimediów w przeglądarce. Ten problem ma krytyczny poziom ważności ze względu na możliwość zdalnego wykonania kodu w usługi z przywilejami. Uprawnienia te umożliwiają dostęp do strumieni audio i wideo, a także do uprawnień, do których aplikacje innych firm normalnie nie mają dostępu.
| CVE | Błędy w linkach do AOSP | Poziom | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-3875 | ANDROID-22952485 | Krytyczny | 5.1 i starsze | 15 sierpnia 2015 r. |
| CVE-2015-6602 | ANDROID-23290056 [2] | Krytyczny | 5.1 i starsze | 15 sierpnia 2015 r. |
Luka w zabezpieczeniach Skia umożliwiająca zdalne uruchamianie kodu
Podczas przetwarzania specjalnie spreparowanego pliku multimedialnego może zostać wykorzystana luka w komponencie Skia, która może doprowadzić do uszkodzenia pamięci i zdalnego uruchomienia kodu w procesie uprzywilejowanym. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonywania kodu za pomocą wielu metod ataków, takich jak e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych.
| CVE | Błędy w linkach do AOSP | Poziom | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-3877 | ANDROID-20723696 | Krytyczny | 5.1 i starsze | 30 lipca 2015 r. |
Luki w zabezpieczeniach libFLAC umożliwiające zdalne wykonywanie kodu
Wykryto lukę w zabezpieczeniach w bibliotece libFLAC podczas przetwarzania plików multimedialnych. Te luki w zabezpieczeniach mogą umożliwić osobie przeprowadzającej atak, podczas przetwarzania specjalnie spreparowanego pliku, uszkodzenie pamięci i zdalne uruchomienie kodu.
Dotycząca funkcja jest udostępniana jako interfejs API aplikacji, a wiele aplikacji umożliwia dostęp do treści zdalnych, takich jak odtwarzanie multimediów w przeglądarce. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonywania kodu w usłudze z przywilejami. Uszkodzony komponent ma dostęp do strumieni audio i wideo, a także do uprawnień, do których aplikacje innych firm normalnie nie mają dostępu.
| CVE | Błędy w linkach do AOSP | Poziom | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2014-9028 | ANDROID-18872897 [2] | Krytyczny | 5.1 i starsze | 14 listopada 2014 r. |
Luki w zabezpieczeniach umożliwiające podniesienie uprawnień w KeyStore
W wywołaniu interfejsów KeyStore przez złośliwą aplikację może zostać wykorzystana luka w zabezpieczeniach zwiększająca uprawnienia w komponencie KeyStore. Ta aplikacja może spowodować uszkodzenie pamięci i wykonanie dowolnego kodu w kontekście KeyStore. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania uprawnień, do których aplikacja innej firmy nie ma bezpośredniego dostępu.
| CVE | Błędy w linkach do AOSP | Poziom | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | Wysoki | 5.1 i starsze | 28 lipca 2015 r. |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w ramach frameworku odtwarzacza multimediów
Podatność na podniesienie uprawnień w komponencie frameworku odtwarzacza multimediów może umożliwić złośliwej aplikacji wykonanie dowolnego kodu w kontekście serwera multimediów. Ten problem ma wysoki priorytet, ponieważ umożliwia złośliwej aplikacji dostęp do uprawnień niedostępnych dla aplikacji innej firmy.
| CVE | Błędy w linkach do AOSP | Poziom | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-3879 | ANDROID-23223325 [2]* | Wysoki | 5.1 i starsze | 14 sierpnia 2015 r. |
* Druga zmiana dotycząca tego problemu nie jest dostępna w AOSP. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus, które można pobrać na stronie dla deweloperów Google.
Podniesienie uprawnień w czasie działania Androida
Podniesienie uprawnień w Android Runtime może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście podniesionej aplikacji systemowej. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania rozszerzonych uprawnień, takich jak Signature czy SignatureOrSystem, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy w linkach do AOSP | Poziom | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-3865 | ANDROID-23050463 [2] | Wysoki | 5.1 i starsze | 8 sierpnia 2015 r. |
Luki w zabezpieczeniach typu podniesienie uprawnień w Mediaserver
W mediaserverze występuje wiele luk, które mogą umożliwiać lokalnym złośliwym aplikacjom wykonywanie dowolnego kodu w kontekście uprzywilejowanej usługi natywnej. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania uprawnień, do których aplikacja innej firmy nie ma bezpośredniego dostępu.
| CVE | Błędy w linkach do AOSP | Poziom | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6596 | ANDROID-20731946 | Wysoki | 5.1 i starsze | Wiele |
| ANDROID-20719651* | ||||
| ANDROID-19573085 | Wysoki | 5,0–6,0 | Google - wewnętrzny |
* Ta poprawka nie jest dostępna w AOSP. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus, które można pobrać na stronie dla deweloperów Google.
Luki w zabezpieczeniach umożliwiające podniesienie uprawnień w zestawie do oceny Secure Element
Wtyczka SEEK (Secure Element Evaluation Kit, czyli interfejs SmartCard API) zawiera podatność na atak, która może umożliwić aplikacji uzyskanie rozszerzonych uprawnień bez żądania ich przyznania. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania podwyższonych uprawnień, takich jak Signature czy SignatureOrSystem, które są niedostępne dla aplikacji innych firm.
| CVE | Błędy w linkach do AOSP | Poziom | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6606 | ANDROID-22301786* | Wysoki | 5.1 i starsze | 30 czerwca 2015 r. |
* Uaktualnienie rozwiązujące ten problem znajduje się na stronie SEEK na Androida.
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w wyświetlaniu multimediów
W komponencie Media Projection występuje luka, która może umożliwiać ujawnienie danych użytkownika w postaci zrzutów ekranu. Problem wynika z tego, że system operacyjny zezwala na zbyt długie nazwy aplikacji. Korzystanie z tych długich nazw przez lokalną szkodliwą aplikację może uniemożliwić użytkownikowi wyświetlenie ostrzeżenia o nagrywaniu ekranu. Ten problem ma umiarkowany poziom ważności, ponieważ może być wykorzystywany do nieprawidłowego uzyskiwania rozszerzonych uprawnień.
| CVE | Błędy w linkach do AOSP | Poziom | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-3878 | ANDROID-23345192 | Umiarkowana | 5,0–6,0 | 18 sierpnia 2015 r. |
Luki w zabezpieczeniach umożliwiające podniesienie uprawnień w Bluetooth
W ramach tej luki w komponencie Bluetootha w Androidzie aplikacja może usunąć zapisane SMS-y. Ten problem ma umiarkowaną wagę, ponieważ może być wykorzystywany do nieprawidłowego uzyskiwania rozszerzonych uprawnień.
| CVE | Błędy w linkach do AOSP | Poziom | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-3847 | ANDROID-22343270 | Umiarkowana | 5.1 i starsze | 8 lipca 2015 r. |
Luki w zabezpieczeniach umożliwiające podniesienie uprawnień w SQLite
W mechanizmie parsowania SQLite wykryto wiele luk w zabezpieczeniach. Te luki w zabezpieczeniach mogą zostać wykorzystane przez aplikację lokalną, która może spowodować wykonanie dowolnych zapytań SQL przez inną aplikację lub usługę. Pomyślne wykorzystanie może spowodować wykonanie dowolnego kodu w kontekście aplikacji docelowej.
8 kwietnia 2015 r. na serwer główny AOSP przesłano poprawkę, która aktualizuje wersję SQLite do 3.8.9: https://android-review.googlesource.com/#/c/145961/
Ta wiadomość zawiera poprawki dla wersji SQLite w Androidzie 4.4 (SQLite 3.7.11) oraz Androidzie 5.0 i 5.1 (SQLite 3.8.6).
| CVE | Błędy w linkach do AOSP | Poziom | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6607 | ANDROID-20099586 | Umiarkowana | 5.1 i starsze | 7 kwietnia 2015 r. Znane publicznie |
Usterki w Mediaserverze umożliwiające atak typu DoS
W mediaserverze występuje wiele luk w zabezpieczeniach, które mogą spowodować odmowę usługi przez zablokowanie procesu mediaserver. Te problemy zostały ocenione jako mniej poważne, ponieważ ich efektem jest awaria serwera multimediów, która powoduje lokalny, tymczasowy brak dostępu do usługi.
| CVE | Błędy w linkach do AOSP | Poziom | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6605 | ANDROID-20915134 | Niska | 5.1 i starsze | Google - wewnętrzny |
| ANDROID-23142203 | ||||
| ANDROID-22278703 | Niska | 5,0–6,0 | Google - wewnętrzny | |
| CVE-2015-3862 | ANDROID-22954006 | Niska | 5.1 i starsze | 2 sierpnia 2015 r. |
Wersje
- 5 października 2015 r.: opublikowano biuletyn.
- 7 października 2015 r.: w powiadomieniu dodano odniesienia do AOSP. Uściśliśmy odniesienia do błędu CVE-2014-9028.
- 12 października 2015 r.: zaktualizowano informacje o uwzględnieniu błędów CVE-2015-3868, CVE-2015-3869, CVE-2015-3865 i CVE-2015-3862.
- 22 stycznia 2016 r.: zaktualizowano informacje o zgłoszeniu CVE-2015-6606.
- 28 kwietnia 2016 r.: dodano CVE-2015-6603 i poprawiono błąd w numerze CVE-2014-9028.