Opublikowano 2 listopada 2015 r
Wydaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA) w ramach naszego comiesięcznego procesu wydawania biuletynu zabezpieczeń Androida. Obrazy oprogramowania sprzętowego Nexusa zostały także udostępnione w witrynie Google Developer . Kompilacje LMY48X lub nowsze oraz system Android Marshmallow z poprawką zabezpieczeń z dnia 1 listopada 2015 r. lub nowszą rozwiązują te problemy. Aby uzyskać więcej informacji, zobacz sekcję Często zadawane pytania i odpowiedzi .
Partnerzy zostali powiadomieni o tych problemach 5 października 2015 r. lub wcześniej. Poprawki kodu źródłowego rozwiązujące te problemy zostaną udostępnione w repozytorium Android Open Source Project (AOSP) w ciągu najbliższych 48 godzin. Zaktualizujemy ten biuletyn, dodając łącza do AOSP, gdy będą dostępne.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwić zdalne wykonanie kodu na zagrożonym urządzeniu przy użyciu wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług są wyłączone na potrzeby programowania lub jeśli pomyślnie je ominiesz.
Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu przez klientów tych nowo zgłoszonych problemów. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Środki zaradcze . Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Łagodzenia
To jest podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.
- Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia za pomocą funkcji Verify Apps i SafetyNet, które ostrzegają o potencjalnie szkodliwych aplikacjach, które mają zostać zainstalowane. Narzędzia do rootowania urządzeń są zabronione w Google Play. Aby chronić użytkowników instalujących aplikacje spoza Google Play, opcja Weryfikuj aplikacje jest domyślnie włączona i ostrzega użytkowników o znanych aplikacjach powodujących rootowanie. Funkcja Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji wykorzystujących lukę umożliwiającą eskalację uprawnień. Jeśli taka aplikacja została już zainstalowana, funkcja Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wszelkich takich aplikacji.
- W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak serwer multimediów.
Podziękowanie
Chcielibyśmy podziękować tym badaczom za ich wkład:
- Abhishek Arya, Oliver Chang i Martin Barbella, zespół ds. bezpieczeństwa Google Chrome: CVE-2015-6608
- Daniel Micay (daniel.micay@copperhead.co) w Copperhead Security: CVE-2015-6609
- Dongkwan Kim z Laboratorium Bezpieczeństwa Systemu, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
- Hongil Kim z Laboratorium Bezpieczeństwa Systemu, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
- Jack Tang z Trend Micro (@jacktang310): CVE-2015-6611
- Peter Pi z Trend Micro: CVE-2015-6611
- Natalie Silvanovich z Google Project Zero: CVE-2015-6608
- Qidan He (@flanker_hqd) i Wen Xu (@antlr7) z KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
- Guang Gong (龚广) ( @oldfresher , higongguang@gmail.com) z Qihoo 360 Technology CC o.Ltd : CVE-2015-6612
- Siedem Shen firmy Trend Micro: CVE-2015-6610
Szczegóły luki w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2015-11-01. Znajduje się tam opis problemu, uzasadnienie wagi oraz tabela zawierająca CVE, powiązany błąd, wagę, wersje, których dotyczy problem, oraz datę zgłoszenia. Jeśli to możliwe, powiązaliśmy zmianę AOSP, która rozwiązała problem, z identyfikatorem błędu. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia AOSP są powiązane z liczbami następującymi po identyfikatorze błędu.
Luki w zabezpieczeniach serwera multimediów umożliwiające zdalne wykonanie kodu
Podczas przetwarzania pliku multimedialnego i danych specjalnie spreparowanego pliku luki w zabezpieczeniach serwera multimediów mogą pozwolić osobie atakującej na spowodowanie uszkodzenia pamięci i zdalnego wykonania kodu w procesie serwera multimediów.
Funkcja, której to dotyczy, jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności wiadomości MMS i odtwarzania multimediów w przeglądarce.
Ten problem ma wagę krytyczną ze względu na możliwość zdalnego wykonania kodu w kontekście usługi serwera multimediów. Usługa serwera multimediów ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.
| CVE | Błąd(y) z linkami AOSP | Powaga | Wersje, których to dotyczy | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-6608 | ANDROID-19779574 | Krytyczny | 5.0, 5.1, 6.0 | Wewnętrzne Google |
| ANDROID-23680780 | ||||
| ANDROID-23876444 | ||||
| ANDROID-23881715 | Krytyczny | 4,4, 5,0, 5,1, 6,0 | Wewnętrzne Google | |
| ANDROID-14388161 | Krytyczny | 4.4 i 5.1 | Wewnętrzne Google | |
| ANDROID-23658148 | Krytyczny | 5.0, 5.1, 6.0 | Wewnętrzne Google |
Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w libutils
Luka w libutils, ogólnej bibliotece, może zostać wykorzystana podczas przetwarzania plików audio. Luka ta może pozwolić osobie atakującej podczas przetwarzania specjalnie spreparowanego pliku spowodować uszkodzenie pamięci i zdalne wykonanie kodu.
Funkcja, której dotyczy problem, jest udostępniana w postaci interfejsu API. Istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą treści zdalnych, w szczególności wiadomości MMS i odtwarzania multimediów w przeglądarce. Ten problem ma wagę krytyczną ze względu na możliwość zdalnego wykonania kodu w uprzywilejowanej usłudze. Komponent, którego dotyczy problem, ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.
| CVE | Błąd(y) z łączami AOSP | Powaga | Wersje, których to dotyczy | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-6609 | ANDROID-22953624 [ 2 ] | Krytyczny | 6.0 i poniżej | 3 sierpnia 2015 r |
Luki w zabezpieczeniach serwera multimediów umożliwiające ujawnienie informacji
W serwerze multimediów występują luki w zabezpieczeniach umożliwiające ujawnienie informacji, które mogą pozwolić na ominięcie istniejących środków bezpieczeństwa i zwiększyć trudność wykorzystania platformy przez osoby atakujące.
| CVE | Błąd(y) z łączami AOSP | Powaga | Wersje, których to dotyczy | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-6611 | ANDROID-23905951 [ 2 ] [ 3 ] | Wysoki | 6.0 i poniżej | 07 września 2015 r |
| ANDROID-23912202* | ||||
| ANDROID-23953967* | ||||
| ANDROID-23696300 | Wysoki | 6.0 i poniżej | 31 sierpnia 2015 r | |
| ANDROID-23600291 | Wysoki | 6.0 i poniżej | 26 sierpnia 2015 | |
| ANDROID-23756261 [ 2 ] | Wysoki | 6.0 i poniżej | 26 sierpnia 2015 | |
| ANDROID-23540907 [ 2 ] | Wysoki | 5.1 i poniżej | 25 sierpnia 2015 | |
| ANDROID-23541506 | Wysoki | 6.0 i poniżej | 25 sierpnia 2015 | |
| ANDROID-23284974* | ||||
| ANDROID-23542351* | ||||
| ANDROID-23542352* | ||||
| ANDROID-23515142 | Wysoki | 5.1 i poniżej | 19 sierpnia 2015 r |
* Łatka usuwająca ten błąd znajduje się w innych udostępnionych łączach AOSP.
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w libstagefright
W libstagefright występuje luka umożliwiająca podniesienie uprawnień, która może umożliwić lokalnej złośliwej aplikacji spowodowanie uszkodzenia pamięci i wykonanie dowolnego kodu w kontekście usługi serwera multimediów. Chociaż ten problem normalnie zostałby oceniony jako krytyczny, oceniliśmy go jako bardzo poważny ze względu na mniejsze prawdopodobieństwo, że można go wykorzystać zdalnie.
| CVE | Błąd(y) z łączami AOSP | Powaga | Wersje, których to dotyczy | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-6610 | ANDROID-23707088 [ 2 ] | Wysoki | 6.0 i poniżej | 19 sierpnia 2015 r |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w libmedia
W bibliotece libmedia występuje luka, która umożliwia lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście usługi serwera multimediów. Ten problem ma stopień ważności wysoki, ponieważ można go wykorzystać do uzyskania dostępu do uprawnień, które nie są bezpośrednio dostępne dla aplikacji innej firmy.
| CVE | Błąd(y) z łączami AOSP | Powaga | Wersje, których to dotyczy | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-6612 | ANDROID-23540426 | Wysoki | 6.0 i poniżej | 23 sierpnia 2015 |
Luka w zabezpieczeniach Bluetooth umożliwiająca podniesienie uprawnień
W technologii Bluetooth występuje luka, która umożliwia lokalnej aplikacji wysyłanie poleceń do nasłuchującego portu debugowania w urządzeniu. Ten problem został sklasyfikowany jako wysoki, ponieważ można go wykorzystać do uzyskania zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.
| CVE | Błąd(y) z łączami AOSP | Powaga | Wersje, których to dotyczy | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-6613 | ANDROID-24371736 | Wysoki | 6,0 | Wewnętrzne Google |
Luka w zabezpieczeniach dotycząca podniesienia uprawnień w telefonii
Luka w komponencie Telefonia, która umożliwia lokalnej złośliwej aplikacji przekazywanie nieautoryzowanych danych do interfejsów sieciowych z ograniczeniami, co może mieć wpływ na opłaty za przesyłanie danych. Może to również uniemożliwić urządzeniu odbieranie połączeń, a także umożliwić osobie atakującej kontrolowanie ustawień wyciszenia połączeń. Ten problem ma wagę umiarkowaną, ponieważ można go wykorzystać do niewłaściwego uzyskania „ niebezpiecznych ” uprawnień.
| CVE | Błąd(y) z linkami AOSP | Powaga | Wersje, których to dotyczy | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-6614 | ANDROID-21900139 [ 2 ] [ 3 ] | Umiarkowany | 5.0, 5.1 | 8 czerwca 2015 r |
Często zadawane pytania i odpowiedzi
W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?
Kompilacje LMY48X lub nowsze oraz system Android Marshmallow z poprawką zabezpieczeń z dnia 1 listopada 2015 r. lub nowszą rozwiązują te problemy. Instrukcje dotyczące sprawdzania poziomu poprawki zabezpieczeń znajdziesz w dokumentacji Nexusa . Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[2015-11-01]
Wersje
- 2 listopada 2015 r.: Pierwotnie opublikowano