Biuletyn Bezpieczeństwa Nexusa – listopad 2015 r

Opublikowano 2 listopada 2015 r

Wydaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA) w ramach naszego comiesięcznego procesu wydawania biuletynu zabezpieczeń Androida. Obrazy oprogramowania sprzętowego Nexusa zostały także udostępnione w witrynie Google Developer . Kompilacje LMY48X lub nowsze oraz system Android Marshmallow z poprawką zabezpieczeń z dnia 1 listopada 2015 r. lub nowszą rozwiązują te problemy. Aby uzyskać więcej informacji, zobacz sekcję Często zadawane pytania i odpowiedzi .

Partnerzy zostali powiadomieni o tych problemach 5 października 2015 r. lub wcześniej. Poprawki kodu źródłowego rozwiązujące te problemy zostaną udostępnione w repozytorium Android Open Source Project (AOSP) w ciągu najbliższych 48 godzin. Zaktualizujemy ten biuletyn, dodając łącza do AOSP, gdy będą dostępne.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwić zdalne wykonanie kodu na zagrożonym urządzeniu przy użyciu wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług są wyłączone na potrzeby programowania lub jeśli pomyślnie je ominiesz.

Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu przez klientów tych nowo zgłoszonych problemów. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Środki zaradcze . Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Łagodzenia

To jest podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.

  • Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
  • Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia za pomocą funkcji Verify Apps i SafetyNet, które ostrzegają o potencjalnie szkodliwych aplikacjach, które mają zostać zainstalowane. Narzędzia do rootowania urządzeń są zabronione w Google Play. Aby chronić użytkowników instalujących aplikacje spoza Google Play, opcja Weryfikuj aplikacje jest domyślnie włączona i ostrzega użytkowników o znanych aplikacjach powodujących rootowanie. Funkcja Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji wykorzystujących lukę umożliwiającą eskalację uprawnień. Jeśli taka aplikacja została już zainstalowana, funkcja Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wszelkich takich aplikacji.
  • W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak serwer multimediów.

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

  • Abhishek Arya, Oliver Chang i Martin Barbella, zespół ds. bezpieczeństwa Google Chrome: CVE-2015-6608
  • Daniel Micay (daniel.micay@copperhead.co) w Copperhead Security: CVE-2015-6609
  • Dongkwan Kim z Laboratorium Bezpieczeństwa Systemu, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
  • Hongil Kim z Laboratorium Bezpieczeństwa Systemu, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
  • Jack Tang z Trend Micro (@jacktang310): CVE-2015-6611
  • Peter Pi z Trend Micro: CVE-2015-6611
  • Natalie Silvanovich z Google Project Zero: CVE-2015-6608
  • Qidan He (@flanker_hqd) i Wen Xu (@antlr7) z KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
  • Guang Gong (龚广) ( @oldfresher , higongguang@gmail.com) z Qihoo 360 Technology CC o.Ltd : CVE-2015-6612
  • Siedem Shen firmy Trend Micro: CVE-2015-6610

Szczegóły luki w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2015-11-01. Znajduje się tam opis problemu, uzasadnienie wagi oraz tabela zawierająca CVE, powiązany błąd, wagę, wersje, których dotyczy problem, oraz datę zgłoszenia. Jeśli to możliwe, powiązaliśmy zmianę AOSP, która rozwiązała problem, z identyfikatorem błędu. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia AOSP są powiązane z liczbami następującymi po identyfikatorze błędu.

Luki w zabezpieczeniach serwera multimediów umożliwiające zdalne wykonanie kodu

Podczas przetwarzania pliku multimedialnego i danych specjalnie spreparowanego pliku luki w zabezpieczeniach serwera multimediów mogą pozwolić osobie atakującej na spowodowanie uszkodzenia pamięci i zdalnego wykonania kodu w procesie serwera multimediów.

Funkcja, której to dotyczy, jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności wiadomości MMS i odtwarzania multimediów w przeglądarce.

Ten problem ma wagę krytyczną ze względu na możliwość zdalnego wykonania kodu w kontekście usługi serwera multimediów. Usługa serwera multimediów ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.

CVE Błąd(y) z linkami AOSP Powaga Wersje, których to dotyczy Data zgłoszona
CVE-2015-6608 ANDROID-19779574 Krytyczny 5.0, 5.1, 6.0 Wewnętrzne Google
ANDROID-23680780
ANDROID-23876444
ANDROID-23881715 Krytyczny 4,4, 5,0, 5,1, 6,0 Wewnętrzne Google
ANDROID-14388161 Krytyczny 4.4 i 5.1 Wewnętrzne Google
ANDROID-23658148 Krytyczny 5.0, 5.1, 6.0 Wewnętrzne Google

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w libutils

Luka w libutils, ogólnej bibliotece, może zostać wykorzystana podczas przetwarzania plików audio. Luka ta może pozwolić osobie atakującej podczas przetwarzania specjalnie spreparowanego pliku spowodować uszkodzenie pamięci i zdalne wykonanie kodu.

Funkcja, której dotyczy problem, jest udostępniana w postaci interfejsu API. Istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą treści zdalnych, w szczególności wiadomości MMS i odtwarzania multimediów w przeglądarce. Ten problem ma wagę krytyczną ze względu na możliwość zdalnego wykonania kodu w uprzywilejowanej usłudze. Komponent, którego dotyczy problem, ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.

CVE Błąd(y) z łączami AOSP Powaga Wersje, których to dotyczy Data zgłoszona
CVE-2015-6609 ANDROID-22953624 [ 2 ] Krytyczny 6.0 i poniżej 3 sierpnia 2015 r

Luki w zabezpieczeniach serwera multimediów umożliwiające ujawnienie informacji

W serwerze multimediów występują luki w zabezpieczeniach umożliwiające ujawnienie informacji, które mogą pozwolić na ominięcie istniejących środków bezpieczeństwa i zwiększyć trudność wykorzystania platformy przez osoby atakujące.

CVE Błąd(y) z łączami AOSP Powaga Wersje, których to dotyczy Data zgłoszona
CVE-2015-6611 ANDROID-23905951 [ 2 ] [ 3 ] Wysoki 6.0 i poniżej 07 września 2015 r
ANDROID-23912202*
ANDROID-23953967*
ANDROID-23696300 Wysoki 6.0 i poniżej 31 sierpnia 2015 r
ANDROID-23600291 Wysoki 6.0 i poniżej 26 sierpnia 2015
ANDROID-23756261 [ 2 ] Wysoki 6.0 i poniżej 26 sierpnia 2015
ANDROID-23540907 [ 2 ] Wysoki 5.1 i poniżej 25 sierpnia 2015
ANDROID-23541506 Wysoki 6.0 i poniżej 25 sierpnia 2015
ANDROID-23284974*
ANDROID-23542351*
ANDROID-23542352*
ANDROID-23515142 Wysoki 5.1 i poniżej 19 sierpnia 2015 r

* Łatka usuwająca ten błąd znajduje się w innych udostępnionych łączach AOSP.

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w libstagefright

W libstagefright występuje luka umożliwiająca podniesienie uprawnień, która może umożliwić lokalnej złośliwej aplikacji spowodowanie uszkodzenia pamięci i wykonanie dowolnego kodu w kontekście usługi serwera multimediów. Chociaż ten problem normalnie zostałby oceniony jako krytyczny, oceniliśmy go jako bardzo poważny ze względu na mniejsze prawdopodobieństwo, że można go wykorzystać zdalnie.

CVE Błąd(y) z łączami AOSP Powaga Wersje, których to dotyczy Data zgłoszona
CVE-2015-6610 ANDROID-23707088 [ 2 ] Wysoki 6.0 i poniżej 19 sierpnia 2015 r

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w libmedia

W bibliotece libmedia występuje luka, która umożliwia lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście usługi serwera multimediów. Ten problem ma stopień ważności wysoki, ponieważ można go wykorzystać do uzyskania dostępu do uprawnień, które nie są bezpośrednio dostępne dla aplikacji innej firmy.

CVE Błąd(y) z łączami AOSP Powaga Wersje, których to dotyczy Data zgłoszona
CVE-2015-6612 ANDROID-23540426 Wysoki 6.0 i poniżej 23 sierpnia 2015

Luka w zabezpieczeniach Bluetooth umożliwiająca podniesienie uprawnień

W technologii Bluetooth występuje luka, która umożliwia lokalnej aplikacji wysyłanie poleceń do nasłuchującego portu debugowania w urządzeniu. Ten problem został sklasyfikowany jako wysoki, ponieważ można go wykorzystać do uzyskania zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.

CVE Błąd(y) z łączami AOSP Powaga Wersje, których to dotyczy Data zgłoszona
CVE-2015-6613 ANDROID-24371736 Wysoki 6,0 Wewnętrzne Google

Luka w zabezpieczeniach dotycząca podniesienia uprawnień w telefonii

Luka w komponencie Telefonia, która umożliwia lokalnej złośliwej aplikacji przekazywanie nieautoryzowanych danych do interfejsów sieciowych z ograniczeniami, co może mieć wpływ na opłaty za przesyłanie danych. Może to również uniemożliwić urządzeniu odbieranie połączeń, a także umożliwić osobie atakującej kontrolowanie ustawień wyciszenia połączeń. Ten problem ma wagę umiarkowaną, ponieważ można go wykorzystać do niewłaściwego uzyskania „ niebezpiecznych ” uprawnień.

CVE Błąd(y) z linkami AOSP Powaga Wersje, których to dotyczy Data zgłoszona
CVE-2015-6614 ANDROID-21900139 [ 2 ] [ 3 ] Umiarkowany 5.0, 5.1 8 czerwca 2015 r

Często zadawane pytania i odpowiedzi

W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Kompilacje LMY48X lub nowsze oraz system Android Marshmallow z poprawką zabezpieczeń z dnia 1 listopada 2015 r. lub nowszą rozwiązują te problemy. Instrukcje dotyczące sprawdzania poziomu poprawki zabezpieczeń znajdziesz w dokumentacji Nexusa . Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[2015-11-01]

Wersje

  • 2 listopada 2015 r.: Pierwotnie opublikowano