Opublikowano 2 listopada 2015 r.
W ramach naszego miesięcznego procesu publikowania Biuletynów bezpieczeństwa w Androidzie udostępniliśmy aktualizację zabezpieczeń dla urządzeń Nexus w ramach aktualizacji przez Internet. Obrazy oprogramowania układowego Nexusa zostały też udostępnione w witrynie Google Developers. Wersje LMY48X lub nowsze oraz Android Marshmallow z poziomem poprawki zabezpieczeń z 1 listopada 2015 r. lub nowszym rozwiązują te problemy. Więcej informacji znajdziesz w sekcji Najczęstsze pytania i odpowiedzi.
Partnerzy zostali poinformowani o tych problemach 5 października 2015 r. lub wcześniej. W ciągu najbliższych 48 godzin udostępnimy w repozytorium Projektu Android Open Source (AOSP) poprawki kodu źródłowego dotyczące tych problemów. Gdy tylko będą dostępne, zaktualizujemy to powiadomienie, dodając linki do AOSP.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwiać zdalne wykonywanie kodu na urządzeniu docelowym za pomocą różnych metod, takich jak e-mail, przeglądanie stron internetowych i MMS-y podczas przetwarzania plików multimedialnych. Ocena ważności jest oparta na potencjalnym wpływie wykorzystania luki w zabezpieczeniach na urządzeniu, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby programowania lub że zostały pomyślnie omijane.
Nie otrzymaliśmy żadnych zgłoszeń o aktywnej próbie wykorzystania przez klientów tych nowo zgłoszonych problemów. Więcej informacji o zabezpieczeniach platformy Android i zabezpieczeniach usług, takich jak SafetyNet, które zwiększają bezpieczeństwo platformy Android, znajdziesz w sekcji Środki zaradcze. Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Złagodzenia
Oto podsumowanie środków zaradczych oferowanych przez platformę bezpieczeństwa Androida i zabezpieczenia usług, takie jak SafetyNet. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach mogą zostać wykorzystane na Androidzie.
- Wykorzystanie wielu luk w Androidzie jest utrudnione dzięki ulepszeniom w nowszych wersjach platformy. Zachęcamy wszystkich użytkowników do zaktualizowania systemu do najnowszej wersji Androida, o ile to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą narzędzia Verify Apps i SafetyNet, które ostrzegają przed instalowaniem potencjalnie szkodliwych aplikacji. W Google Play nie można publikować narzędzi do rootowania urządzeń. Aby chronić użytkowników, którzy instalują aplikacje spoza Google Play, weryfikacja aplikacji jest domyślnie włączona i ostrzega użytkowników o znanych aplikacjach do rootowania. Verify Apps próbuje wykrywać i blokować instalację znanych złośliwych aplikacji, które wykorzystują lukę w zabezpieczeniach umożliwiającą podniesienie uprawnień. Jeśli taka aplikacja jest już zainstalowana, Verify Apps powiadomi użytkownika i spróbuje ją usunąć.
- W odpowiednich przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak mediaserver.
Podziękowania
Dziękujemy zaangażowanym w to badanie naukowcom:
- Abhishek Arya, Oliver Chang i Martin Barbella, zespół ds. bezpieczeństwa Google Chrome: CVE-2015-6608
- Daniel Micay (daniel.micay@copperhead.co) z Copperhead Security: CVE-2015-6609
- Dongkwan Kim z System Security Lab, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
- Hongil Kim z System Security Lab, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
- Jack Tang z Trend Micro (@jacktang310): CVE-2015-6611
- Peter Pi z Trend Micro: CVE-2015-6611
- Natalie Silvanovich z Google Project Zero: CVE-2015-6608
- Qidan He (@flanker_hqd) i Wen Xu (@antlr7) z KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
- Guang Gong (龚广) (@oldfresher, higongguang@gmail.com) z Qihoo 360 Technology CCo.Ltd: CVE-2015-6612
- Seven Shen z Trend Micro: CVE-2015-6610
Szczegóły luki w zabezpieczeniach
W poniższych sekcjach znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 2015-11-01. Zawiera opis problemu, uzasadnienie dotyczące jego wagi oraz tabelę z identyfikatorem CVE, powiązanym błędem, wagą, wersjami, których dotyczy problem, oraz datą zgłoszenia. W miarę możliwości połączyliśmy identyfikator błędu z zmianą w AOSP, która rozwiązuje problem. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia do AOSP są połączone z numerami po identyfikatorze błędu.
Luki w zabezpieczeniach umożliwiające zdalne wykonywanie kodu w Mediaserver
Podczas przetwarzania pliku multimedialnego i danych w specjalnie spreparowanym pliku luka w zabezpieczeniach w mediaserver może umożliwić osobie przeprowadzającej atak uszkodzenie pamięci i zdalne uruchomienie kodu w ramach procesu mediaserver.
Dotyczy to funkcji, które są częścią systemu operacyjnego, a wiele aplikacji umożliwia ich obsługę z dalsza, zwłaszcza MMS-y i odtwarzanie multimediów w przeglądarce.
Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonywania kodu w kontekście usługi mediaserver. Usługa mediaserver ma dostęp do strumieni audio i wideo, a także do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.
| CVE | Błędy w linkach do AOSP | Poziom | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6608 | ANDROID-19779574 | Krytyczny | 5.0, 5.1, 6.0 | Google - wewnętrzny |
| ANDROID-23680780 | ||||
| ANDROID-23876444 | ||||
| ANDROID-23881715 | Krytyczny | 4.4, 5.0, 5.1, 6.0 | Google - wewnętrzny | |
| ANDROID-14388161 | Krytyczny | 4.4 i 5.1 | Google - wewnętrzny | |
| ANDROID-23658148 | Krytyczny | 5.0, 5.1, 6.0 | Google - wewnętrzny |
Luka w zabezpieczeniach umożliwiająca zdalne wykonywanie kodu w libutils
Podczas przetwarzania plików audio można wykorzystać lukę w bibliotece ogólnej libutils. Ta luka w zabezpieczeniach może umożliwić osobie przeprowadzającej atak podczas przetwarzania specjalnie spreparowanego pliku uszkodzenie pamięci i zdalne uruchomienie kodu.
Dotycząca funkcja jest udostępniana jako interfejs API, a wiele aplikacji umożliwia jej użycie w przypadku treści zdalnych, zwłaszcza w przypadku MMS-ów i odtwarzania multimediów w przeglądarce. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego uruchomienia kodu w usłudze uprzywilejowanej. Uprawniony komponent ma dostęp do strumieni audio i wideo, a także do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.
| CVE | Błędy w linkach do AOSP | Poziom | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6609 | ANDROID-22953624 [2] | Krytyczny | 6.0 i starsze | 3 sierpnia 2015 r. |
Luki w zabezpieczeniach w Mediaserverze umożliwiające ujawnienie informacji
W mediaserver występują luki w zabezpieczeniach, które mogą umożliwiać obejście środków bezpieczeństwa, co utrudnia atakującym wykorzystanie platformy.
| CVE | Błędy w linkach do AOSP | Poziom | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6611 | ANDROID-23905951 [2] [3] | Wysoki | 6.0 i starsze | 7 września 2015 r. |
| ANDROID-23912202* | ||||
| ANDROID-23953967* | ||||
| ANDROID-23696300 | Wysoki | 6.0 i starsze | 31 sierpnia 2015 r. | |
| ANDROID-23600291 | Wysoki | 6.0 i starsze | 26 sierpnia 2015 r. | |
| ANDROID-23756261 [2] | Wysoki | 6.0 i starsze | 26 sierpnia 2015 r. | |
| ANDROID-23540907 [2] | Wysoki | 5.1 i starsze | 25 sierpnia 2015 r. | |
| ANDROID-23541506 | Wysoki | 6.0 i starsze | 25 sierpnia 2015 r. | |
| ANDROID-23284974* | ||||
| ANDROID-23542351* | ||||
| ANDROID-23542352* | ||||
| ANDROID-23515142 | Wysoki | 5.1 i starsze | 19 sierpnia 2015 r. |
* Poprawka dotycząca tego błędu jest dostępna w ramach innych linków do AOSP.
Luki w zabezpieczeniach w libstagefright umożliwiające podniesienie uprawnień
W bibliotece libstagefright występuje luka umożliwiająca eskalację uprawnień, która może umożliwić lokalnej aplikacji szkodliwej uszkodzenie pamięci i wykonanie dowolnego kodu w kontekście usługi mediaserver. Chociaż ten problem zwykle jest oceniany jako Krytyczny, oceniliśmy go jako skrajnie poważny ze względu na mniejsze prawdopodobieństwo, że można go wykorzystać zdalnie.
| CVE | Błędy w linkach do AOSP | Poziom | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6610 | ANDROID-23707088 [2] | Wysoki | 6.0 i starsze | 19 sierpnia 2015 r. |
Luki w zabezpieczeniach w libmedia umożliwiająca podniesienie uprawnień
W bibliotece libmedia występuje luka, która umożliwia lokalnej złośliwej aplikacji uruchomienie dowolnego kodu w kontekście usługi mediaserver. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania uprawnień, do których aplikacja innej firmy nie ma bezpośredniego dostępu.
| CVE | Błędy w linkach do AOSP | Poziom | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6612 | ANDROID-23540426 | Wysoki | 6.0 i starsze | 23 sierpnia 2015 r. |
Luki w zabezpieczeniach umożliwiające podniesienie uprawnień w Bluetooth
W Bluetooth występuje luka, która umożliwia lokalnej aplikacji wysyłanie poleceń do portu debugowania nasłuchującego na urządzeniu. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania rozszerzonych uprawnień, takich jak Signature czy SignatureOrSystem, które są niedostępne dla aplikacji innych firm.
| CVE | Błędy w linkach do AOSP | Poziom | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6613 | ANDROID-24371736 | Wysoki | 6.0 | Google - wewnętrzny |
Luki w zabezpieczeniach umożliwiające podniesienie uprawnień w aplikacji Telephony
luka w komponencie telefonii, która może umożliwiać lokalnym złośliwym aplikacjom przekazywanie nieautoryzowanych danych do interfejsów sieci z ograniczonym dostępem, co może mieć wpływ na opłaty za dane. Może też uniemożliwić urządzeniu odbieranie połączeń, a także umożliwić atakującemu kontrolowanie ustawień wyciszania połączeń. Ten problem został oceniony jako średnio poważny, ponieważ może być wykorzystywany do nieprawidłowego uzyskiwania uprawnień „niebezpiecznych”.
| CVE | Błędy w linkach do AOSP | Poziom | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6614 | ANDROID-21900139 [2] [3] | Umiarkowana | 5.0, 5.1 | 8 czerwca 2015 r. |
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy można rozwiązać te problemy?
Wersje LMY48X lub nowsze oraz Android Marshmallow z poziomem poprawek zabezpieczeń z 1 listopada 2015 r. lub nowszym rozwiązują te problemy. Instrukcje sprawdzania poziomu zabezpieczeń znajdziesz w dokumentacji Nexusa. Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[2015-11-01]
Wersje
- 2 listopada 2015 r.: pierwotna data publikacji