Опубликовано 2 ноября 2015 г.
К выходу ежемесячного бюллетеня по безопасности Android мы выпустили беспроводное обновление системы безопасности для устройств Nexus и опубликовали образы встроенного ПО Nexus на сайте Google Developers. Уязвимости устранены в сборке LMY48X и более поздних версиях, а также в Android 6.0 (Marshmallow) с исправлением от 1 ноября 2015 года или более поздним. С подробной информацией можно ознакомиться в разделе Часто задаваемые вопросы.
Мы сообщили партнерам об этих проблемах 5 октября 2015 года или ранее. Исправления уязвимостей будут добавлены в хранилище Android Open Source Project (AOSP) в течение 48 часов. Ссылки на AOSP появятся в этом бюллетене позже.
Самая серьезная из проблем – критическая уязвимость, которая позволяет удаленно выполнять код на затронутом устройстве во время обработки медиафайлов (например, при просмотре сайтов в интернете и работе с электронной почтой или MMS). Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.
У нас нет информации об активном использовании обнаруженных уязвимостей. Информацию о том, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность применения уязвимостей Android, можно найти в разделе Предотвращение атак. Мы рекомендуем всем клиентам одобрить установку перечисленных в бюллетене обновлений.
Предотвращение атак
Здесь описано, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность успешного использования уязвимостей Android.
- В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем своевременно обновлять систему.
- Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг-приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
- Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.
Благодарности
Благодарим всех, кто помог обнаружить уязвимости:
- Абхишек Арья, Оливер Чан и Мартин Барбелла из команды безопасности Google Chrome: CVE-2015-6608.
- Дэниел Микей (daniel.micay@copperhead.co) из Copperhead Security: CVE-2015-6609.
- Донкван Ким (dkay@kaist.ac.kr) из System Security Lab, KAIST: CVE-2015-6614.
- Хонгиль Ким (hongilk@kaist.ac.kr) из System Security Lab, KAIST: CVE-2015-6614.
- Джек Тан (@jacktang310) из Trend Micro: CVE-2015-6611.
- Питер Пи из Trend Micro: CVE-2015-6611.
- Натали Сильванович из Google Project Zero: CVE-2015-6608.
- Цидань Хэ (flanker_hqd) и Вэнь Сюй (@antlr7) из KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612.
- Гуан Гун (龚广) (@oldfresher, higongguang@gmail.com) из Qihoo 360 Technology Co.Ltd.: CVE-2015-6612.
- Севен Шэнь из Trend Micro: CVE-2015-6610.
Описание уязвимостей
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2015-11-01: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми версиями и датой сообщения об ошибке. Где возможно, мы приводим основную ссылку на изменение в AOSP, связанное с идентификатором ошибки. и дополнительные ссылки в квадратных скобках.
Удаленное выполнение кода в mediaserver
При обработке медиафайлов и данных в специально созданном файле злоумышленник может воспользоваться уязвимостью mediaserver, нарушить целостность информации в памяти и удаленно выполнить код как процесс mediaserver.
Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.
Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У этого сервиса есть доступ к аудио- и видеопотокам, а также права, которыми обычно не могут обладать сторонние приложения.
| CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Уязвимые версии | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-6608 | ANDROID-19779574 | Критический | 5.0, 5.1, 6.0 | Доступно только сотрудникам Google |
| ANDROID-23680780 | ||||
| ANDROID-23876444 | ||||
| ANDROID-23881715 | Критический | 4.4, 5.0, 5.1, 6.0 | Доступно только сотрудникам Google | |
| ANDROID-14388161 | Критический | 4.4 и 5.1 | Доступно только сотрудникам Google | |
| ANDROID-23658148 | Критический | 5.0, 5.1, 6.0 | Доступно только сотрудникам Google |
Удаленное выполнение кода в libutils
Уязвимость универсальной библиотеки libutils можно использовать при обработке аудиофайлов. Она позволяет злоумышленнику во время обработки специально созданного файла нарушить целостность информации в памяти и удаленно выполнить код.
Уязвимая функция является частью API. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней. Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в привилегированном сервисе. У уязвимого компонента есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.
| CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Уязвимые версии | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-6609 | ANDROID-22953624 [2] | Критический | 6.0 и ниже | 3 августа 2015 г. |
Раскрытие информации через mediaserver
Уязвимости позволяют обойти защиту, предотвращающую атаки на платформу.
| CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Уязвимые версии | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-6611 | ANDROID-23905951 [2] [3] | Высокий | 6.0 и ниже | 7 сентября 2015 г. |
| ANDROID-23912202* | ||||
| ANDROID-23953967* | ||||
| ANDROID-23696300 | Высокий | 6.0 и ниже | 31 августа 2015 г. | |
| ANDROID-23600291 | Высокий | 6.0 и ниже | 26 августа 2015 г. | |
| ANDROID-23756261 [2] | Высокий | 6.0 и ниже | 26 августа 2015 г. | |
| ANDROID-23540907 [2] | Высокий | 5.1 и ниже | 25 августа 2015 г. | |
| ANDROID-23541506 | Высокий | 6.0 и ниже | 25 августа 2015 г. | |
| ANDROID-23284974* | ||||
| ANDROID-23542351* | ||||
| ANDROID-23542352* | ||||
| ANDROID-23515142 | Высокий | 5.1 и ниже | 19 августа 2015 г. |
*Исправление можно скачать по другим ссылкам на AOSP.
Повышение привилегий через libstagefright
Уязвимость позволяет локальному вредоносному ПО нарушать целостность информации в памяти и выполнять произвольный код в контексте сервиса mediaserver. Как правило, подобным уязвимостям присваивают критический уровень серьезности, однако мы указали высокий уровень из-за низкой вероятности удаленной атаки.
| CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Уязвимые версии | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-6610 | ANDROID-23707088 [2] | Высокий | 6.0 и ниже | 19 августа 2015 г. |
Повышение привилегий через libmedia
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте сервиса mediaserver. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.
| CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Уязвимые версии | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-6612 | ANDROID-23540426 | Высокий | 6.0 и ниже | 23 августа 2015 г. |
Повышение привилегий через Bluetooth
Уязвимость позволяет локальному ПО отправлять команды принимающему порту отладки на устройстве. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).
| CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Уязвимые версии | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-6613 | ANDROID-24371736 | Высокий | 6.0 | Доступно только сотрудникам Google |
Повышение привилегий через телефонную связь
Уязвимость позволяет локальному вредоносному приложению несанкционированно передавать данные в сетевые интерфейсы с ограниченным доступом. Это может привести к увеличению платы за передачу данных. Кроме того, злоумышленник сможет блокировать входящие вызовы, а также контролировать отключение звука при звонках. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно получить разрешения уровня dangerous (опасные).
| CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Уязвимые версии | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-6614 | ANDROID-21900139 [2] [3] | Средний | 5.0, 5.1 | 8 июня 2015 г. |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?
Перечисленные проблемы устранены в сборке LMY48X и более новых версиях, а также в Android 6.0 (Marshmallow) с исправлением от 1 ноября 2015 года. Информацию о том, как проверить уровень исправления системы безопасности, можно найти в документации Nexus. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2015-11-01].
Версии
- 2 ноября 2015 года. Бюллетень опубликован.