Бюллетень по безопасности Nexus – декабрь 2015 г.

Опубликовано 7 декабря 2015 г. | Обновлено 7 марта 2016 г.

К выходу ежемесячного бюллетеня по безопасности Android мы выпустили беспроводное обновление системы безопасности для устройств Nexus и опубликовали образы встроенного ПО Nexus на сайте Google Developers. Перечисленные проблемы устранены в сборке LMY48Z и более поздних версиях, а также в Android 6.0 с исправлением от 1 декабря 2015 года или более новым. С подробной информацией можно ознакомиться в разделе Часто задаваемые вопросы.

Мы сообщили партнерам об уязвимостях и предоставили им обновления 2 ноября 2015 года или ранее. По возможности исправления были опубликованы в хранилище Android Open Source Project (AOSP).

Самая серьезная из проблем – критическая уязвимость, которая позволяет удаленно выполнять код на затронутом устройстве во время обработки медиафайлов (например, при просмотре сайтов в интернете и работе с электронной почтой или MMS). Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

У нас нет информации об активном использовании обнаруженных уязвимостей. Информацию о том, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность применения уязвимостей Android, можно найти в разделе Предотвращение атак. Мы рекомендуем всем клиентам одобрить установку перечисленных в бюллетене обновлений.

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг-приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
  • Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

  • Абхишек Арья, Оливер Чен и Мартин Барбелла из команды безопасности Google Chrome: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633, CVE-2015-6634.
  • Флэнкер (@flanker_hqd) из KeenTeam (@K33nTeam): CVE-2015-6620.
  • Гуан Гун (龚广) (@oldfresher, higongguang@gmail.com) из Qihoo 360 Technology Co. Ltd.: CVE-2015-6626.
  • Марк Картер (@hanpingchinese) из EmberMitre Ltd.: CVE-2015-6630.
  • Михал Беднарский (https://github.com/michalbednarski): CVE-2015-6621.
  • Натали Сильванович из Google Project Zero: CVE-2015-6616.
  • Питер Пи из Trend Micro: CVE-2015-6616, CVE-2015-6628.
  • Цидань Хэ (@flanker_hqd) и Марко Грасси (@marcograss) из KeenTeam (@K33nTeam): CVE-2015-6622.
  • Цзу-Инь (Нина) Тай: CVE-2015-6627.
  • Хоакин Ринаудо (@xeroxnir), участник Программы обеспечения безопасности ИКТ Фонда доктора Мануэля Садоски, Буэнос-Айрес, Аргентина: CVE-2015-6631.
  • Вантао (Neobyte) из Baidu X-Team: CVE-2015-6626.

Описание уязвимостей

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2015-12-01: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми версиями и датой сообщения об ошибке. Где возможно, мы приводим ссылку на изменение в AOSP, связанное с идентификатором ошибки. Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Удаленное выполнение кода в mediaserver

При обработке медиафайлов и данных в специально созданном файле злоумышленник может воспользоваться уязвимостью mediaserver, нарушить целостность информации в памяти и удаленно выполнить код как процесс mediaserver.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У этого сервиса есть доступ к аудио- и видеопотокам, а также права, которыми обычно не могут обладать сторонние приложения.

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6616 ANDROID-24630158 Критический 6.0 и ниже Доступно только сотрудникам Google
ANDROID-23882800 Критический 6.0 и ниже Доступно только сотрудникам Google
ANDROID-17769851 Критический 5.1 и ниже Доступно только сотрудникам Google
ANDROID-24441553 Критический 6.0 и ниже 22 сентября 2015 г.
ANDROID-24157524 Критический 6.0 8 сентября 2015 г.

Удаленное выполнение кода через Skia

Уязвимость позволяет во время обработки специально созданного медиафайла нарушить целостность информации в памяти и удаленно выполнить код в привилегированном процессе. Проблеме присвоен критический уровень, поскольку из-за нее можно удаленно выполнять код на пораженном устройстве (например, при просмотре сайтов в Интернете, обработке медиафайлов MMS и работе с электронной почтой).

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6617 ANDROID-23648740 Критический 6.0 и ниже Доступно только сотрудникам Google

Повышение привилегий через ядро

Уязвимость в ядре позволяет локальному вредоносному ПО выполнять произвольный код на устройстве, используя root-права. Уязвимости присвоен критический уровень, поскольку из-за нее нарушается работа системы безопасности. Для устранения проблемы нужно переустановить ОС.

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6619 ANDROID-23520714 Критический 6.0 и ниже 7 июня 2015 г.

Удаленное выполнение кода через драйверы экрана

Уязвимости обнаружены в драйверах экрана. При обработке медиафайла можно нарушить целостность информации в памяти и выполнить произвольный код в контексте драйвера, загружаемого сервисом mediaserver в пользовательском режиме. Уязвимостям присвоен критический уровень, поскольку они позволяют удаленно выполнять код на пораженном устройстве (в частности, при обработке медиафайлов во время работы с электронной почтой или MMS, а также просмотра сайтов в Интернете).

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6633 ANDROID-23987307* Критический 6.0 и ниже Доступно только сотрудникам Google
CVE-2015-6634 ANDROID-24163261 [2] [3] [4] Критический 5.1 и ниже Доступно только сотрудникам Google

* Исправление этой проблемы не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Удаленное выполнение кода через Bluetooth

Если на устройстве используется профиль PAN (например, при работе Bluetooth-модема), то злоумышленник может выполнить произвольный код при условии, что он подключится к устройству по Bluetooth. Удаленное выполнение кода – это привилегия Bluetooth. Эксплуатация уязвимости возможна только в том случае, если злоумышленник находится рядом с устройством и подключен к нему.

Уязвимости присвоен высокий уровень серьезности, поскольку злоумышленник, ранее получивший разрешение на подключение по Bluetooth, может удаленно выполнить произвольный код, находясь рядом с устройством и совершив несколько действий.

CVE Ошибки Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6618 ANDROID-24595992* Высокий 4.4, 5.0, 5.1 28 сентября 2015 г.

* Исправление этой проблемы не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение уровня прав доступа через libstagefright

В libstagefright есть несколько уязвимостей, которые позволяют локальному вредоносному приложению выполнять произвольный код в контексте mediaserver. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6620 ANDROID-24123723 Высокий 6.0 и ниже 10 сентября 2015 г.
ANDROID-24445127 Высокий 6.0 и ниже 2 сентября 2015 г.

Повышение привилегий через SystemUI

Уязвимость обнаружена в компоненте SystemUI. При установке будильника в "Часах" другое приложение может получить разрешение на выполнение привилегированной задачи. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6621 ANDROID-23909438 Высокий 5.0, 5.1, 6.0 7 сентября 2015 г.

Раскрытие информации через библиотеку фреймворков Android

Уязвимость библиотеки фреймворков Android позволяет обойти защиту, предотвращающую атаки на платформу, и раскрыть конфиденциальную информацию. Проблемам присвоен высокий уровень серьезности, поскольку из-за них можно также получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6622 ANDROID-23905002 Высокий 6.0 и ниже 7 сентября 2015 г.

Повышение привилегий через Wi-Fi

Уязвимость Wi-Fi позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6623 ANDROID-24872703 Высокий 6.0 Доступно только сотрудникам Google

Повышение привилегий через SystemServer

Уязвимость компонента SystemServer позволяет локальному вредоносному ПО получить доступ к сведениям о сервисах. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6624 ANDROID-23999740 Высокий 6.0 Доступно только сотрудникам Google

Раскрытие информации через libstagefright

При обмене данными с mediaserver уязвимости libstagefright позволяют обойти защиту, предотвращающую атаки на платформу, и раскрыть конфиденциальную информацию. Проблемам присвоен высокий уровень серьезности, поскольку из-за них можно также получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6632 ANDROID-24346430 Высокий 6.0 и ниже Доступно только сотрудникам Google
CVE-2015-6626 ANDROID-24310423 Высокий 6.0 и ниже 2 сентября 2015 г.
CVE-2015-6631 ANDROID-24623447 Высокий 6.0 и ниже 21 августа 2015 г.

Раскрытие информации через Audio

Уязвимость компонента Audio позволяет локальному вредоносному ПО получить конфиденциальную информацию при обработке специально созданного аудиофайла. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6627 ANDROID-24211743 Высокий 6.0 и ниже Доступно только сотрудникам Google

Раскрытие информации через Media Framework

При обмене данными с mediaserver уязвимость Media Framework позволяет обойти защиту, предотвращающую атаки на платформу, и раскрыть конфиденциальную информацию. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно также получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6628 ANDROID-24074485 Высокий 6.0 и ниже 8 сентября 2015 г.

Раскрытие информации через Wi-Fi

Уязвимость компонента Wi-Fi позволяет злоумышленнику раскрыть конфиденциальную информацию. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6629 ANDROID-22667667 Высокий 5.1 и 5.0 Доступно только сотрудникам Google

Повышение привилегий через SystemServer

Уязвимость SystemServer позволяет локальному вредоносному ПО получить доступ к данным службы Wi-Fi. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно получить разрешения уровня dangerous (опасно).

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6625 ANDROID-23936840 Средний 6.0 Доступно только сотрудникам Google

Раскрытие информации через SystemUI

Уязвимость SystemUI позволяет локальному вредоносному ПО получить доступ к скриншотам. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно получить разрешения уровня dangerous (опасно).

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2015-6630 ANDROID-19121797 Средний 5.0, 5.1, 6.0 22 января 2015 г.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?

Перечисленные проблемы устранены в сборке LMY48Z и более поздних версиях, а также в Android 6.0 с исправлением от 1 декабря 2015 года или более новым. Сведения о том, как проверить версию системы безопасности на устройстве, можно найти в статье о сроках обновления ПО. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2015-12-01].

Версии

  • 7 декабря 2015 года. Опубликовано впервые.
  • 9 декабря 2015 года. Добавлены ссылки на AOSP.
  • 22 декабря 2015 года. Добавлены благодарности.
  • 7 марта 2016 года. Добавлена пропущенная благодарность.