Opublikowano 05 października 2015 | Zaktualizowano 28 kwietnia 2016 r.
Wydaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA) w ramach procesu comiesięcznego wydawania biuletynów dotyczących bezpieczeństwa Androida. Obrazy oprogramowania sprzętowego Nexusa zostały również udostępnione w witrynie Google Developer . Kompilacje LMY48T lub nowsze (takie jak LMY48W) i Android M z poziomem poprawki zabezpieczeń z 1 października 2015 r. lub nowszym rozwiązują te problemy. Zapoznaj się z dokumentacją Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń.
Partnerzy zostali powiadomieni o tych problemach 10 września 2015 r. lub wcześniej. Poprawki kodu źródłowego dla tych problemów zostały udostępnione w repozytorium Android Open Source Project (AOSP).
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która podczas przetwarzania plików multimedialnych może umożliwić zdalne wykonanie kodu na zaatakowanym urządzeniu za pomocą wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS. Ocena dotkliwości opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy, przy założeniu, że platforma i usługi ograniczania zagrożeń są wyłączone w celach programistycznych lub pomyślnie ominięte.
Nie mamy doniesień o aktywnym wykorzystywaniu przez klientów tych nowo zgłoszonych problemów. Zapoznaj się z sekcją Ograniczenia , aby uzyskać szczegółowe informacje na temat zabezpieczeń platformy Android i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android. Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Łagodzenia
To jest podsumowanie środków łagodzących zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Te możliwości zmniejszają prawdopodobieństwo pomyślnego wykorzystania luk w zabezpieczeniach w systemie Android.
- Wykorzystanie wielu problemów w systemie Android jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do aktualizacji do najnowszej wersji Androida tam, gdzie to możliwe.
- Zespół Android Security aktywnie monitoruje pod kątem nadużyć za pomocą funkcji Verify Apps i SafetyNet, które będą ostrzegać o potencjalnie szkodliwych aplikacjach, które mają zostać zainstalowane. Narzędzia do rootowania urządzeń są zabronione w Google Play. Aby chronić użytkowników, którzy instalują aplikacje spoza Google Play, Weryfikacja aplikacji jest domyślnie włączona i będzie ostrzegać użytkowników o znanych aplikacjach do rootowania. Usługa Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji, które wykorzystują lukę umożliwiającą eskalację uprawnień. Jeśli taka aplikacja została już zainstalowana, Weryfikacja aplikacji powiadomi użytkownika i spróbuje usunąć takie aplikacje.
- W stosownych przypadkach firma Google zaktualizowała aplikacje Hangouts i Messenger, aby multimedia nie były automatycznie przekazywane do podatnych na ataki procesów (takich jak serwer mediów).
Podziękowanie
Chcielibyśmy podziękować tym badaczom za ich wkład:
- Brennan Lautner: CVE-2015-3863
- Chiachih Wu i Xuxian Jiang z zespołu C0RE z Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
- Yajin Zhou, Lei Wu i Xuxian Jiang z zespołu C0RE z Qihoo 360: CVE-2015-3865
- Daniel Micay (daniel.micay@copperhead.co) w Copperhead Security: CVE-2015-3875
- dragonltx z Alibaba Mobile Security Team: CVE-2015-6599
- Ian Beer i Steven Vittitoe z Google Project Zero: CVE-2015-6604
- Joaquín Rinaudo (@xeroxnir) i Iván Arce (@4Dgifts) z Programa STIC w Fundación Dr. Manuel Sadosky, Buenos Aires, Argentyna: CVE-2015-3870
- Josh Drake z Zimperium: CVE-2015-3876, CVE-2015-6602
- Jordan Gruskovnjak z Exodus Intelligence (@jgrusko): CVE-2015-3867
- Peter Pi z Trend Micro: CVE-2015-3872, CVE-2015-3871
- Ping Li firmy Qihoo 360 Technology Co. Ltd: CVE-2015-3878
- Siedem Shen: CVE-2015-6600, CVE-2015-3847
- Wangtao (neobajt) z Baidu X-Team: CVE-2015-6598
- Życzę Wu firmy Trend Micro Inc. (@wish_wu): CVE-2015-3823
- Michael Roland z JR-Center u'smile na Uniwersytecie Nauk Stosowanych, Górna Austria/Hagenberg: CVE-2015-6606
Chcielibyśmy również podziękować zespołowi ds. bezpieczeństwa Chrome, zespołowi ds. bezpieczeństwa Google, Project Zero i innym osobom w Google za zgłoszenie kilku problemów naprawionych w tym biuletynie.
Szczegóły luki w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z dnia 2015-10-01. Dostępny jest opis problemu, uzasadnienie jego ważności oraz tabela z CVE, powiązanym błędem, ważnością, wersjami, których dotyczy problem, oraz datą zgłoszenia. Tam, gdzie to możliwe, powiązaliśmy zmianę AOSP, która rozwiązała problem, z identyfikatorem błędu. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odniesienia AOSP są powiązane z liczbami następującymi po identyfikatorze błędu.
Luki w zabezpieczeniach zdalnego wykonania kodu w libstagefright
W bibliotece libstagefright istnieją luki, które mogą umożliwić osobie atakującej podczas przetwarzania pliku multimedialnego i danych w specjalnie spreparowanym pliku uszkodzenie pamięci i zdalne wykonanie kodu w usłudze mediaserver.
Te problemy są oceniane jako ważność krytyczna ze względu na możliwość zdalnego wykonania kodu jako usługi uprzywilejowanej. Zaatakowane komponenty mają dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie mają dostępu aplikacje innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-3873 | ANDROID-20674086 [ 2 , 3 , 4 ] | Krytyczny | 5.1 i poniżej | Wewnętrzne Google |
| ANDROID-20674674 [ 2 , 3 , 4 ] | ||||
| ANDROID-20718524 | ||||
| ANDROID-21048776 | ||||
| ANDROID-21443020 | ||||
| ANDROID-21814993 | ||||
| ANDROID-2208959 | ||||
| ANDROID-22077698 | ||||
| ANDROID-22388975 | ||||
| ANDROID-22845824 | ||||
| ANDROID-23016072 | ||||
| ANDROID-23247055 | ||||
| ANDROID-23248776 | ||||
| ANDROID-20721050 | Krytyczny | 5.0 i 5.1 | Wewnętrzne Google | |
| CVE-2015-3823 | ANDROID-21335999 | Krytyczny | 5.1 i poniżej | 20 maja 2015 r. |
| CVE-2015-6600 | ANDROID-22882938 | Krytyczny | 5.1 i poniżej | 31 lipca 2015 r. |
| CVE-2015-6601 | ANDROID-22935234 | Krytyczny | 5.1 i poniżej | 3 sierpnia 2015 |
| CVE-2015-3869 | ANDROID-23036083 | Krytyczny | 5.1 i poniżej | 4 sierpnia 2015 r. |
| CVE-2015-3870 | ANDROID-22771132 | Krytyczny | 5.1 i poniżej | 5 sierpnia 2015 r. |
| CVE-2015-3871 | ANDROID-23031033 | Krytyczny | 5.1 i poniżej | 6 sierpnia 2015 r. |
| CVE-2015-3868 | ANDROID-23270724 | Krytyczny | 5.1 i poniżej | 6 sierpnia 2015 r. |
| CVE-2015-6604 | ANDROID-23129786 | Krytyczny | 5.1 i poniżej | 11 sierpnia 2015 r. |
| CVE-2015-3867 | ANDROID-23213430 | Krytyczny | 5.1 i poniżej | 14 sierpnia 2015 r. |
| CVE-2015-6603 | ANDROID-23227354 | Krytyczny | 5.1 i poniżej | 15 sierpnia 2015 r. |
| CVE-2015-3876 | ANDROID-23285192 | Krytyczny | 5.1 i poniżej | 15 sierpnia 2015 r. |
| CVE-2015-6598 | ANDROID-23306638 | Krytyczny | 5.1 i poniżej | 18 sierpnia 2015 |
| CVE-2015-3872 | ANDROID-23346388 | Krytyczny | 5.1 i poniżej | 19 sierpnia 2015 r. |
| CVE-2015-6599 | ANDROID-23416608 | Krytyczny | 5.1 i poniżej | 21 sierpnia 2015 r. |
Luki w zabezpieczeniach zdalnego wykonania kodu w Sonivox
W systemie Sonivox istnieją luki, które mogą umożliwić osobie atakującej podczas przetwarzania pliku multimedialnego specjalnie spreparowanego pliku uszkodzenie pamięci i zdalne wykonanie kodu w usłudze mediaserver. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu jako usługi uprzywilejowanej. Zaatakowany komponent ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie mają dostępu aplikacje innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-3874 | ANDROID-23335715 | Krytyczny | 5.1 i poniżej | Wiele |
| ANDROID-23307276 [ 2 ] | ||||
| ANDROID-23286323 |
Luki w zabezpieczeniach zdalnego wykonania kodu w libutils
Luki w libutils, ogólnej bibliotece, istnieją w przetwarzaniu plików audio. Luki te mogą podczas przetwarzania specjalnie spreparowanego pliku umożliwić osobie atakującej uszkodzenie pamięci i zdalne wykonanie kodu w usłudze korzystającej z tej biblioteki, takiej jak serwer medialny.
Funkcja, której dotyczy problem, jest udostępniana jako interfejs API aplikacji i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności MMS i odtwarzanie multimediów w przeglądarce. Ten problem został oceniony jako ważność krytyczna ze względu na możliwość zdalnego wykonania kodu w usłudze uprzywilejowanej. Zaatakowany komponent ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie mają dostępu aplikacje innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-3875 | ANDROID-22952485 | Krytyczny | 5.1 i poniżej | 15 sierpnia 2015 r. |
| CVE-2015-6602 | ANDROID-23290056 [ 2 ] | Krytyczny | 5.1 i poniżej | 15 sierpnia 2015 r. |
Luka umożliwiająca zdalne wykonanie kodu w Skia
Podczas przetwarzania specjalnie spreparowanego pliku multimedialnego może zostać wykorzystana luka w składniku Skia, która może spowodować uszkodzenie pamięci i zdalne wykonanie kodu w procesie uprzywilejowanym. Ten problem jest oceniany jako krytyczny ze względu na możliwość zdalnego wykonania kodu za pomocą wielu metod ataku, takich jak poczta e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych.
| CVE | Błędy z linkami AOSP | Surowość | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-3877 | ANDROID-20723696 | Krytyczny | 5.1 i poniżej | 30 lipca 2015 r. |
Luki w zabezpieczeniach zdalnego wykonania kodu w libFLAC
W przetwarzaniu plików multimedialnych istnieje luka w libFLAC. Luki te mogą umożliwić osobie atakującej podczas przetwarzania specjalnie spreparowanego pliku uszkodzenie pamięci i zdalne wykonanie kodu.
Funkcja, której dotyczy problem, jest udostępniana jako interfejs API aplikacji i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zawartości zdalnej, takiej jak odtwarzanie multimediów w przeglądarce. Ten problem został oceniony jako ważność krytyczna ze względu na możliwość zdalnego wykonania kodu w usłudze uprzywilejowanej. Zaatakowany komponent ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie mają dostępu aplikacje innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2014-9028 | ANDROID-18872897 [ 2 ] | Krytyczny | 5.1 i poniżej | 14 listopada 2014 |
Podwyższona luka w zabezpieczeniach uprawnień w KeyStore
Luka umożliwiająca podniesienie uprawnień w komponencie KeyStore może zostać wykorzystana przez złośliwą aplikację podczas wywoływania interfejsów API KeyStore. Ta aplikacja może spowodować uszkodzenie pamięci i wykonanie dowolnego kodu w kontekście KeyStore. Ten problem ma wysoki poziom ważności, ponieważ może być używany do uzyskiwania dostępu do uprawnień, które nie są bezpośrednio dostępne dla aplikacji innej firmy.
| CVE | Błędy z linkami AOSP | Surowość | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | Wysoki | 5.1 i poniżej | 28 lipca 2015 r. |
Podniesienie poziomu luki w uprawnieniach w programie Media Player Framework
Luka umożliwiająca podniesienie uprawnień w komponencie struktury odtwarzacza multimediów może umożliwić złośliwej aplikacji wykonanie dowolnego kodu w kontekście mediaserver. Ten problem ma wysoki poziom ważności, ponieważ umożliwia złośliwej aplikacji dostęp do uprawnień niedostępnych dla aplikacji innej firmy.
| CVE | Błędy z linkami AOSP | Surowość | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-3879 | ANDROID-23223325 [2]* | Wysoki | 5.1 i poniżej | 14 sierpnia 2015 r. |
* Druga zmiana dotycząca tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka w zabezpieczeniach uprawnień w środowisku wykonawczym systemu Android
Luka umożliwiająca podniesienie uprawnień w środowisku uruchomieniowym systemu Android może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem ma wysoki poziom ważności, ponieważ można go użyć do uzyskania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-3865 | ANDROID-23050463 [ 2 ] | Wysoki | 5.1 i poniżej | 8 sierpnia 2015 r. |
Podwyższone luki związane z uprawnieniami w Mediaserver
Mediaserver zawiera wiele luk, które mogą umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanej usługi natywnej. Ten problem ma wysoki poziom ważności, ponieważ może być używany do uzyskiwania dostępu do uprawnień, które nie są bezpośrednio dostępne dla aplikacji innej firmy.
| CVE | Błędy z linkami AOSP | Surowość | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6596 | ANDROID-20731946 | Wysoki | 5.1 i poniżej | Wiele |
| ANDROID-20719651* | ||||
| ANDROID-19573085 | Wysoki | 5,0 - 6,0 | Wewnętrzne Google |
* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka w zabezpieczeniach uprawnień w zestawie do oceny bezpiecznego elementu
Luka we wtyczce SEEK (Secure Element Evaluation Kit, czyli SmartCard API) może umożliwić aplikacji uzyskanie podwyższonych uprawnień bez żądania ich. Ten problem ma wysoki poziom ważności, ponieważ można go użyć do uzyskania podwyższonych możliwości, takich jak uprawnienia podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6606 | ANDROID-22301786* | Wysoki | 5.1 i poniżej | 30 czerwca 2015 r. |
* Uaktualnienie rozwiązujące ten problem znajduje się w witrynie SEEK for Android .
Podwyższenie poziomu podatności na przywileje w projekcji mediów
Luka w komponencie Media Projection może umożliwić ujawnienie danych użytkownika w postaci zrzutów ekranu. Problem wynika z dopuszczania przez system operacyjny zbyt długich nazw aplikacji. Użycie tych długich nazw przez lokalną złośliwą aplikację może uniemożliwić wyświetlanie ostrzeżenia o nagraniu ekranu przez użytkownika. Ten problem jest oceniany jako umiarkowana istotność, ponieważ może być używany do niewłaściwego uzyskania podwyższonych uprawnień.
| CVE | Błędy z linkami AOSP | Surowość | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-3878 | ANDROID-23345192 | Umiarkowany | 5,0 - 6,0 | 18 sierpnia 2015 |
Podwyższenie luki związanej z przywilejami w Bluetooth
Luka w komponencie Bluetooth systemu Android może umożliwić aplikacji usuwanie zapisanych wiadomości SMS. Ten problem jest oceniany jako umiarkowana istotność, ponieważ może być używany do niewłaściwego uzyskania podwyższonych uprawnień.
| CVE | Błędy z linkami AOSP | Surowość | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-3847 | ANDROID-22343270 | Umiarkowany | 5.1 i poniżej | 8 lipca 2015 r. |
Podwyższenie luk dotyczących uprawnień w SQLite
W silniku analizującym SQLite wykryto wiele luk. Te luki mogą zostać wykorzystane przez lokalną aplikację, która może spowodować, że inna aplikacja lub usługa wykona dowolne zapytania SQL. Pomyślne wykorzystanie może spowodować wykonanie dowolnego kodu w kontekście aplikacji docelowej.
Poprawka została przesłana do mastera AOSP 8 kwietnia 2015 r., aktualizując wersję SQLite do 3.8.9: https://android-review.googlesource.com/#/c/145961/
Ten biuletyn zawiera poprawki dla wersji SQLite w systemie Android 4.4 (SQLite 3.7.11) oraz Android 5.0 i 5.1 (SQLite 3.8.6).
| CVE | Błędy z linkami AOSP | Surowość | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6607 | ANDROID-20099586 | Umiarkowany | 5.1 i poniżej | 7 kwietnia 2015 Publicznie znany |
Luki w zabezpieczeniach typu „odmowa usługi” w Mediaserver
Mediaserver zawiera wiele luk, które mogą powodować atak typu „odmowa usługi” poprzez awarię procesu serwera mediów. Problemy te są oceniane jako Niski poziom ważności, ponieważ ich skutkiem jest awaria serwera multimediów powodująca lokalną tymczasową odmowę usługi.
| CVE | Błędy z linkami AOSP | Surowość | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6605 | ANDROID-20915134 | Niski | 5.1 i poniżej | Wewnętrzne Google |
| ANDROID-23142203 | ||||
| ANDROID-22278703 | Niski | 5,0 - 6,0 | Wewnętrzne Google | |
| CVE-2015-3862 | ANDROID-22954006 | Niski | 5.1 i poniżej | 2 sierpnia 2015 |
Rewizje
- 05 października 2015: Biuletyn opublikowany.
- 7 października 2015: Biuletyn zaktualizowany o odniesienia do AOSP. Wyjaśniono odniesienia do błędów dla CVE-2014-9028.
- 12 października 2015: Zaktualizowane potwierdzenia dla CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
- 22 stycznia 2016: Zaktualizowane potwierdzenia dla CVE-2015-6606.
- 28 kwietnia 2016: Dodano CVE-2015-6603 i poprawiono literówkę w CVE-2014-9028.