Opublikowano 02 listopada 2015 r.
Wydaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA) w ramach procesu comiesięcznego wydawania biuletynów dotyczących bezpieczeństwa Androida. Obrazy oprogramowania sprzętowego Nexusa zostały również udostępnione w witrynie Google Developer . Kompilacje LMY48X lub nowsze oraz Androida Marshmallow z poprawką zabezpieczeń na poziomie 1 listopada 2015 lub nowszą rozwiązują te problemy. Więcej informacji można znaleźć w sekcji Często zadawane pytania i odpowiedzi .
Partnerzy zostali powiadomieni o tych problemach 5 października 2015 r. lub wcześniej. Poprawki kodu źródłowego dla tych problemów zostaną udostępnione w repozytorium Android Open Source Project (AOSP) w ciągu najbliższych 48 godzin. Zmienimy ten biuletyn za pomocą łączy AOSP, gdy będą one dostępne.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która podczas przetwarzania plików multimedialnych może umożliwić zdalne wykonanie kodu na zaatakowanym urządzeniu za pomocą wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS. Ocena dotkliwości opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy, przy założeniu, że platforma i usługi ograniczania zagrożeń są wyłączone w celach programistycznych lub pomyślnie ominięte.
Nie mamy doniesień o aktywnym wykorzystywaniu przez klientów tych nowo zgłoszonych problemów. Zapoznaj się z sekcją Ograniczenia , aby uzyskać szczegółowe informacje na temat zabezpieczeń platformy Android i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android. Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Łagodzenia
To jest podsumowanie środków łagodzących zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Te możliwości zmniejszają prawdopodobieństwo pomyślnego wykorzystania luk w zabezpieczeniach w systemie Android.
- Wykorzystanie wielu problemów w systemie Android jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do aktualizacji do najnowszej wersji Androida tam, gdzie to możliwe.
- Zespół Android Security aktywnie monitoruje pod kątem nadużyć za pomocą funkcji Verify Apps i SafetyNet, które będą ostrzegać o potencjalnie szkodliwych aplikacjach, które mają zostać zainstalowane. Narzędzia do rootowania urządzeń są zabronione w Google Play. Aby chronić użytkowników, którzy instalują aplikacje spoza Google Play, Weryfikacja aplikacji jest domyślnie włączona i będzie ostrzegać użytkowników o znanych aplikacjach do rootowania. Usługa Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji, które wykorzystują lukę umożliwiającą eskalację uprawnień. Jeśli taka aplikacja została już zainstalowana, Weryfikacja aplikacji powiadomi użytkownika i spróbuje usunąć takie aplikacje.
- W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak mediaserver.
Podziękowanie
Chcielibyśmy podziękować tym badaczom za ich wkład:
- Abhishek Arya, Oliver Chang i Martin Barbella, zespół ds. bezpieczeństwa Google Chrome: CVE-2015-6608
- Daniel Micay (daniel.micay@copperhead.co) w Copperhead Security: CVE-2015-6609
- Dongkwan Kim z laboratorium bezpieczeństwa systemu, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
- Hongil Kim z laboratorium bezpieczeństwa systemu, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
- Jack Tang z Trend Micro (@jacktang310): CVE-2015-6611
- Peter Pi z Trend Micro: CVE-2015-6611
- Natalie Silvanovich z Google Project Zero: CVE-2015-6608
- Qidan He (@flanker_hqd) i Wen Xu (@antlr7) z KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
- Guang Gong (龚广) ( @oldfresher , higongguang@gmail.com) firmy Qihoo 360 Technology CC o.Ltd : CVE-2015-6612
- Siedem Shen firmy Trend Micro: CVE-2015-6610
Szczegóły luki w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje o każdej z luk w zabezpieczeniach, które mają zastosowanie do poziomu poprawki 2015-11-01. Dostępny jest opis problemu, uzasadnienie jego ważności oraz tabela z CVE, powiązanym błędem, ważnością, wersjami, których dotyczy problem, oraz datą zgłoszenia. Tam, gdzie to możliwe, powiązaliśmy zmianę AOSP, która rozwiązała problem, z identyfikatorem błędu. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odniesienia AOSP są powiązane z liczbami następującymi po identyfikatorze błędu.
Luki w zabezpieczeniach zdalnego wykonania kodu w Mediaserver
Podczas przetwarzania pliku multimedialnego i danych w specjalnie spreparowanym pliku luki w serwerze multimediów mogą umożliwić osobie atakującej uszkodzenie pamięci i zdalne wykonanie kodu jako procesu serwera multimediów.
Zakłócona funkcja jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności MMS i odtwarzanie multimediów w przeglądarce.
Ten problem jest oceniany jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście usługi mediaserver. Usługa mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie mają dostępu aplikacje innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6608 | ANDROID-19779574 | Krytyczny | 5.0, 5.1, 6.0 | Wewnętrzne Google |
| ANDROID-23680780 | ||||
| ANDROID-23876444 | ||||
| ANDROID-23881715 | Krytyczny | 4,4, 5,0, 5,1, 6,0 | Wewnętrzne Google | |
| ANDROID-14388161 | Krytyczny | 4.4 i 5.1 | Wewnętrzne Google | |
| ANDROID-23658148 | Krytyczny | 5.0, 5.1, 6.0 | Wewnętrzne Google |
Luka umożliwiająca zdalne wykonanie kodu w libutils
Luka w libutils, bibliotece ogólnej, może zostać wykorzystana podczas przetwarzania plików audio. Luka ta może umożliwić osobie atakującej podczas przetwarzania specjalnie spreparowanego pliku spowodowanie uszkodzenia pamięci i zdalne wykonanie kodu.
Funkcja, której dotyczy problem, jest udostępniana jako interfejs API i istnieje wiele aplikacji, które umożliwiają dostęp do niej ze zdalną zawartością, w szczególności MMS i odtwarzanie multimediów w przeglądarce. Ten problem jest oceniany jako problem o krytycznym znaczeniu ze względu na możliwość zdalnego wykonania kodu w usłudze uprzywilejowanej. Zaatakowany komponent ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie mają dostępu aplikacje innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6609 | ANDROID-22953624 [ 2 ] | Krytyczny | 6.0 i poniżej | 3 sierpnia 2015 |
Luki w zabezpieczeniach związane z ujawnianiem informacji w Mediaserver
W mediaserver znajdują się luki w zabezpieczeniach umożliwiające ujawnienie informacji, które mogą pozwolić na obejście środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę.
| CVE | Błędy z linkami AOSP | Surowość | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6611 | ANDROID-23905951 [ 2 ] [ 3 ] | Wysoki | 6.0 i poniżej | 07 września 2015 r. |
| ANDROID-23912202* | ||||
| ANDROID-23953967* | ||||
| ANDROID-23696300 | Wysoki | 6.0 i poniżej | 31 sierpnia 2015 r. | |
| ANDROID-23600291 | Wysoki | 6.0 i poniżej | 26 sierpnia 2015 | |
| ANDROID-23756261 [ 2 ] | Wysoki | 6.0 i poniżej | 26 sierpnia 2015 | |
| ANDROID-23540907 [ 2 ] | Wysoki | 5.1 i poniżej | 25 sierpnia 2015 | |
| ANDROID-23541506 | Wysoki | 6.0 i poniżej | 25 sierpnia 2015 | |
| ANDROID-23284974* | ||||
| ANDROID-23542351* | ||||
| ANDROID-23542352* | ||||
| ANDROID-23515142 | Wysoki | 5.1 i poniżej | 19 sierpnia 2015 r. |
* Łata dla tego błędu jest zawarta w innych dostarczonych linkach AOSP.
Podwyższenie luki związanej z przywilejami w libstagefright
W libstagefright występuje luka umożliwiająca podniesienie uprawnień, która może umożliwić lokalnej złośliwej aplikacji uszkodzenie pamięci i wykonanie dowolnego kodu w kontekście usługi mediaserver. Chociaż ten problem normalnie zostałby oceniony jako krytyczny, oceniliśmy go jako o wysokim stopniu ważności ze względu na mniejsze prawdopodobieństwo, że może zostać wykorzystany zdalnie.
| CVE | Błędy z linkami AOSP | Surowość | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6610 | ANDROID-23707088 [ 2 ] | Wysoki | 6.0 i poniżej | 19 sierpnia 2015 r. |
Podwyższenie luki związanej z przywilejami w libmedia
W libmedia istnieje luka, która może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście usługi mediaserver. Ten problem ma wysoki poziom ważności, ponieważ może być używany do uzyskiwania dostępu do uprawnień, które nie są bezpośrednio dostępne dla aplikacji innej firmy.
| CVE | Błędy z linkami AOSP | Surowość | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6612 | ANDROID-23540426 | Wysoki | 6.0 i poniżej | 23 sierpnia 2015 |
Podwyższenie luki związanej z przywilejami w Bluetooth
Istnieje luka w Bluetooth, która może umożliwić aplikacji lokalnej wysyłanie poleceń do nasłuchującego portu debugowania na urządzeniu. Ten problem ma wysoki poziom ważności, ponieważ można go użyć do uzyskania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6613 | ANDROID-24371736 | Wysoki | 6,0 | Wewnętrzne Google |
Zwiększenie podatności na przywileje w telefonii
Luka w składniku Telefonia, która może umożliwić lokalnej złośliwej aplikacji przekazywanie nieautoryzowanych danych do interfejsów sieciowych z ograniczeniami, potencjalnie wpływając na opłaty za przesyłanie danych. Może to również uniemożliwić urządzeniu odbieranie połączeń, a także umożliwić atakującemu kontrolowanie ustawień wyciszania połączeń. Ten problem jest oceniany jako średni poziom ważności, ponieważ może być używany do niewłaściwego uzyskania uprawnień „ niebezpiecznych ”.
| CVE | Błędy z linkami AOSP | Surowość | Wersje, których dotyczy problem | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6614 | ANDROID-21900139 [ 2 ] [ 3 ] | Umiarkowany | 5.0, 5.1 | 8 czerwca 2015 r. |
Często zadawane pytania i odpowiedzi
W tej sekcji omówiono odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?
Kompilacje LMY48X lub nowsze oraz Androida Marshmallow z poprawką zabezpieczeń na poziomie 1 listopada 2015 lub nowszą rozwiązują te problemy. Zapoznaj się z dokumentacją Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń. Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[2015-11-01]
Rewizje
- 02 listopada 2015 r.: pierwotnie opublikowany