Opublikowano 7 grudnia 2015 r. | Zaktualizowano 7 marca 2016 r.
W ramach naszego miesięcznego procesu publikowania Biuletynów bezpieczeństwa w Androidzie udostępniliśmy aktualizację zabezpieczeń dla urządzeń Nexus w ramach aktualizacji przez Internet. Obrazy oprogramowania Nexusa zostały też udostępnione w witrynie Google Developers. Wersje LMY48Z lub nowsze oraz Android 6.0 z poziomem poprawek zabezpieczeń z 1 grudnia 2015 r. lub nowszym rozwiązują te problemy. Więcej informacji znajdziesz w sekcji Najczęstsze pytania i odpowiedzi.
Partnerzy zostali powiadomieni o tych problemach i otrzymali informacje na ich temat 2 listopada 2015 r. lub wcześniej. W stosownych przypadkach opublikowano w repozytorium Projektu Android Open Source (AOSP) poprawki kodu źródłowego dotyczące tych problemów.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwiać zdalne wykonywanie kodu na urządzeniu docelowym za pomocą różnych metod, takich jak e-mail, przeglądanie stron internetowych i MMS-y podczas przetwarzania plików multimedialnych. Ocena ważności jest oparta na potencjalnym wpływie wykorzystania luki w zabezpieczeniach na urządzeniu, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby programowania lub że zostały pomyślnie omijane.
Nie otrzymaliśmy żadnych zgłoszeń o aktywnej próbie wykorzystania przez klientów tych nowo zgłoszonych problemów. Więcej informacji o zabezpieczeniach platformy Android i zabezpieczeniach usług, takich jak SafetyNet, które zwiększają bezpieczeństwo platformy Android, znajdziesz w sekcji Środki zaradcze. Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Złagodzenia
Oto podsumowanie środków zaradczych oferowanych przez platformę bezpieczeństwa Androida i zabezpieczenia usług, takie jak SafetyNet. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach mogą zostać wykorzystane na Androidzie.
- Wykorzystanie wielu luk w Androidzie jest utrudnione dzięki ulepszeniom w nowszych wersjach platformy. Zachęcamy wszystkich użytkowników do zaktualizowania systemu do najnowszej wersji Androida, o ile to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą narzędzia Verify Apps i SafetyNet, które ostrzegają przed instalowaniem potencjalnie szkodliwych aplikacji. W Google Play nie można publikować narzędzi do rootowania urządzeń. Aby chronić użytkowników, którzy instalują aplikacje spoza Google Play, weryfikacja aplikacji jest domyślnie włączona i ostrzega użytkowników o znanych aplikacjach do rootowania. Verify Apps próbuje wykrywać i blokować instalację znanych złośliwych aplikacji, które wykorzystują lukę w zabezpieczeniach umożliwiającą podniesienie uprawnień. Jeśli taka aplikacja jest już zainstalowana, Verify Apps powiadomi użytkownika i spróbuje ją usunąć.
- W odpowiednich przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak mediaserver.
Podziękowania
Dziękujemy zaangażowanym w to badanie naukowcom:
- Abhishek Arya, Oliver Chang i Martin Barbella z zespołu ds. bezpieczeństwa Google Chrome: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633, CVE-2015-6634
- Flanker (@flanker_hqd) z KeenTeam (@K33nTeam): CVE-2015-6620
- Guang Gong (龚广) (@oldfresher, higongguang@gmail.com) z Qihoo 360 Technology Co.Ltd: CVE-2015-6626
- Mark Carter (@hanpingchinese) z EmberMitre Ltd: CVE-2015-6630
- Michał Bednarski (https://github.com/michalbednarski): CVE-2015-6621
- Natalie Silvanovich z Google Project Zero: CVE-2015-6616
- Peter Pi z Trend Micro: CVE-2015-6616, CVE-2015-6628
- Qidan He (@flanker_hqd) i Marco Grassi (@marcograss) z KeenTeam (@K33nTeam): CVE-2015-6622
- Tzu-Yin (Nina) Tai: CVE-2015-6627
- Joaquín Rinaudo (@xeroxnir) z Programa STIC w Fundación Dr. Manuel Sadosky, Buenos Aires, Argentyna: CVE-2015-6631
- Wangtao (neobyte) z zespołu Baidu X-Team: CVE-2015-6626
Szczegóły luki w zabezpieczeniach
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 2015-12-01. Zawiera opis problemu, uzasadnienie powagi oraz tabelę z luką w zabezpieczeniach (CVE), powiązanym błędem, powagą, zaktualizowanymi wersjami i datą zgłoszenia. Jeśli to możliwe, połączymy identyfikator AOSP, który rozwiązał problem, z identyfikatorem błędu. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia do AOSP są połączone z numerami po identyfikatorze błędu.
Luki w zabezpieczeniach umożliwiające zdalne wykonywanie kodu w Mediaserver
Podczas przetwarzania pliku multimedialnego i danych w specjalnie spreparowanym pliku luka w zabezpieczeniach w mediaserver może umożliwić osobie przeprowadzającej atak uszkodzenie pamięci i zdalne uruchomienie kodu w ramach procesu mediaserver.
Dotyczy to funkcji, które są częścią systemu operacyjnego, a wiele aplikacji umożliwia ich obsługę z dalsza, zwłaszcza MMS-y i odtwarzanie multimediów w przeglądarce.
Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonywania kodu w kontekście usługi mediaserver. Usługa mediaserver ma dostęp do strumieni audio i wideo, a także do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.
| CVE | Błędy w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6616 | ANDROID-24630158 | Krytyczny | 6.0 i starsze | Google - wewnętrzny |
| ANDROID-23882800 | Krytyczny | 6.0 i starsze | Google - wewnętrzny | |
| ANDROID-17769851 | Krytyczny | 5.1 i starsze | Google - wewnętrzny | |
| ANDROID-24441553 | Krytyczny | 6.0 i starsze | 22 września 2015 r. | |
| ANDROID-24157524 | Krytyczny | 6.0 | 8 września 2015 r. |
Luka w zabezpieczeniach Skia umożliwiająca zdalne uruchamianie kodu
Podczas przetwarzania specjalnie spreparowanego pliku multimedialnego może zostać wykorzystana luka w komponencie Skia, która może doprowadzić do uszkodzenia pamięci i zdalnego uruchomienia kodu w procesie uprzywilejowanym. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonywania kodu za pomocą wielu metod ataków, takich jak e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych.
| CVE | Błędy w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6617 | ANDROID-23648740 | Krytyczny | 6.0 i starsze | Tylko w Google |
Podniesienie uprawnień w jądrze
W przypadku luki w zabezpieczeniach w rdzeniu systemu, która umożliwia podniesienie uprawnień, lokalna złośliwa aplikacja może uruchomić dowolny kod w kontekście roota urządzenia. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego zaatakowania urządzenia na poziomie lokalnym. Urządzenie można naprawić tylko przez ponowne zaflashowanie systemu operacyjnego.
| CVE | Błędy w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6619 | ANDROID-23520714 | Krytyczny | 6.0 i starsze | 7 czerwca 2015 r. |
W sterowniku wyświetlania występują luki w zabezpieczeniach umożliwiające zdalne wykonywanie kodu
W sterownikach wyświetlacza występują luki, które podczas przetwarzania pliku multimedialnego mogą spowodować uszkodzenie pamięci i potencjalne wykonanie dowolnego kodu w kontekście sterownika w trybie użytkownika wczytanego przez mediaserver. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu za pomocą wielu metod ataków, takich jak e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych.
| CVE | Błędy w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6633 | ANDROID-23987307* | Krytyczny | 6.0 i starsze | Google - wewnętrzny |
| CVE-2015-6634 | ANDROID-24163261 [2] [3] [4] | Krytyczny | 5.1 i starsze | Google - wewnętrzny |
*Ta poprawka nie jest dostępna w AOSP. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus, które można pobrać na stronie dla deweloperów Google.
Wykorzystanie luki w zabezpieczeniach w Bluetooth do zdalnego wykonywania kodu
W komponencie Bluetootha na Androidzie wykryto lukę, która może umożliwiać zdalne wykonywanie kodu. Jednak zanim to nastąpi, musisz wykonać kilka czynności ręcznie. Aby to zrobić, musisz sparować urządzenie po włączeniu profilu sieci osobistej (PAN) (na przykład za pomocą tetheringu Bluetooth) i sparowaniu urządzenia. Wykonywanie kodu z dalsza byłoby możliwe dzięki uprawnieniom usługi Bluetooth. Urządzenie jest podatne na ten problem tylko wtedy, gdy znajduje się w pobliżu sparowanego urządzenia.
Ten problem został oceniony jako poważny, ponieważ atakujący może zdalnie wykonać dowolny kod tylko po wykonaniu kilku ręcznych czynności i z lokalizacji lokalnej. Atakujący musi mieć wcześniej uprawnienia do sparowania urządzenia.
| CVE | Błędy | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6618 | ANDROID-24595992* | Wysoki | 4.4, 5.0 i 5.1 | 28 września 2015 r. |
*Ta poprawka nie jest dostępna w AOSP. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus, które można pobrać na stronie dla deweloperów Google.
Luki w zabezpieczeniach libstagefright umożliwiające podniesienie uprawnień
W libstagefright występuje wiele luk, które mogą umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście usługi mediaserver. Ten problem ma wysoki priorytet, ponieważ może umożliwiać uzyskanie rozszerzonych uprawnień, takich jak Signature czy SignatureOrSystem, które są niedostępne dla aplikacji innych firm.
| CVE | Błędy w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6620 | ANDROID-24123723 | Wysoki | 6.0 i starsze | 10 września 2015 r. |
| ANDROID-24445127 | Wysoki | 6.0 i starsze | 2 września 2015 r. |
Luka w zabezpieczeniach SystemUI umożliwiająca podniesienie uprawnień
Podczas ustawiania alarmu w aplikacji zegar, luka w zabezpieczeniach w komponencie SystemUI może pozwolić aplikacji na wykonanie zadania z podwyższonym poziomem uprawnień. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania rozszerzonych uprawnień, takich jak Signature czy SignatureOrSystem, które są niedostępne dla aplikacji innych firm.
| CVE | Błędy w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6621 | ANDROID-23909438 | Wysoki | 5.0, 5.1 i 6.0 | 7 września 2015 r. |
Luka w zabezpieczeniach polegająca na ujawnieniu informacji w bibliotece frameworków natywnych
Użytkownicy Androida mogą ominąć środki bezpieczeństwa, aby utrudnić atakującym wykorzystywanie platformy. Te problemy zostały ocenione jako poważne, ponieważ mogą być wykorzystywane do uzyskiwania podwyższonych uprawnień, takich jak uprawnienia Signature czy SignatureOrSystem, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6622 | ANDROID-23905002 | Wysoki | 6.0 i starsze | 7 września 2015 r. |
Luki w zabezpieczeniach umożliwiające podniesienie uprawnień w sieci Wi-Fi
Użytkownik może wykorzystać podatność w Wi-Fi, aby umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście usługi systemu z podniesionymi uprawnieniami. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania rozszerzonych uprawnień, takich jak Signature czy SignatureOrSystem, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6623 | ANDROID-24872703 | Wysoki | 6.0 | Google - wewnętrzny |
Luka w zabezpieczeniach polegająca na podnoszeniu uprawnień w serwerze systemowym
W komponencie serwera systemu występuje luka umożliwiająca podwyższanie uprawnień, która może umożliwić lokalnej złośliwej aplikacji uzyskanie dostępu do informacji związanych z usługą. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania rozszerzonych uprawnień, takich jak Signature czy SignatureOrSystem, które są niedostępne dla aplikacji innych firm.
| CVE | Błędy w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6624 | ANDROID-23999740 | Wysoki | 6.0 | Tylko w Google |
Luki w zabezpieczeniach libstagefright umożliwiające ujawnienie informacji
W libstagefright występują luki w zabezpieczeniach, które podczas komunikacji z mediaserverem mogą umożliwiać obejście zabezpieczeń, co utrudnia atakującym wykorzystanie platformy. Te problemy zostały ocenione jako poważne, ponieważ mogą być wykorzystywane do uzyskiwania rozszerzonych uprawnień, takich jak Signature czy SignatureOrSystem, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6632 | ANDROID-24346430 | Wysoki | 6.0 i starsze | Google - wewnętrzny |
| CVE-2015-6626 | ANDROID-24310423 | Wysoki | 6.0 i starsze | 2 września 2015 r. |
| CVE-2015-6631 | ANDROID-24623447 | Wysoki | 6.0 i starsze | 21 sierpnia 2015 r. |
Luka w zabezpieczeniach w zakresie ujawniania informacji w audio
Podczas przetwarzania pliku audio można wykorzystać lukę w komponencie Dźwięk. Ta luka w zabezpieczeniach może pozwolić lokalnej aplikacji z złośliwym kodem na ujawnienie informacji podczas przetwarzania specjalnie spreparowanego pliku. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania rozszerzonych uprawnień, takich jak Signature czy SignatureOrSystem, które są niedostępne dla aplikacji innych firm.
| CVE | Błędy w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6627 | ANDROID-24211743 | Wysoki | 6.0 i starsze | Google - wewnętrzny |
Luka w zabezpieczeniach umożliwiająca ujawnianie informacji w ramach frameworku multimediów
W ramach Media Framework występuje luka w zabezpieczeniach, która podczas komunikacji z serwerem mediów może umożliwiać obejście zabezpieczeń, aby utrudnić atakującym wykorzystywanie platformy. Ten problem został oceniony jako poważny, ponieważ może być wykorzystywany do uzyskiwania podwyższonych uprawnień, takich jak Signature czy SignatureOrSystem, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6628 | ANDROID-24074485 | Wysoki | 6.0 i starsze | 8 września 2015 r. |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w sieci Wi-Fi
Luka w komponencie Wi-Fi może pozwolić atakującemu na spowodowanie ujawnienia informacji przez usługę Wi-Fi. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania rozszerzonych uprawnień, takich jak Signature czy SignatureOrSystem, które są niedostępne dla aplikacji innych firm.
| CVE | Błędy w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6629 | ANDROID-22667667 | Wysoki | 5.1 i 5.0 | Google - wewnętrzny |
Luka w zabezpieczeniach polegająca na podnoszeniu uprawnień w serwerze systemowym
W przypadku podatności na podniesienie uprawnień na serwerze systemowym lokalna złośliwa aplikacja może uzyskać dostęp do informacji związanych z usługą Wi-Fi. Ten problem ma umiarkowaną wagę, ponieważ może być wykorzystywany do nieprawidłowego uzyskiwania uprawnień „niebezpiecznych”.
| CVE | Błędy w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6625 | ANDROID-23936840 | Umiarkowana | 6.0 | Google - wewnętrzny |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SystemUI
W ramach tej podatności aplikacja lokalna może uzyskać dostęp do zrzutów ekranu. Ten problem został oceniony jako problem o umiarkowanym stopniu ważności, ponieważ może zostać wykorzystany do nieprawidłowego uzyskania uprawnień „niebezpiecznych”.
| CVE | Błędy w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6630 | ANDROID-19121797 | Umiarkowana | 5.0, 5.1 i 6.0 | 22 stycznia 2015 r. |
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy można rozwiązać te problemy?
Wersje LMY48Z lub nowsze oraz Android 6.0 z poziomem poprawek zabezpieczeń z 1 grudnia 2015 r. lub nowszym rozwiązują te problemy. Instrukcje sprawdzania poziomu zabezpieczeń znajdziesz w dokumentacji Nexusa. Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[2015-12-01]
Wersje
- 7 grudnia 2015 r.: pierwotna data publikacji
- 9 grudnia 2015 r.: w powiadomieniu uwzględniono linki do AOSP.
- 22 grudnia 2015 r.: dodano brakujące informacje w sekcji Podziękowania.
- 7 marca 2016 r.: dodaliśmy brakujące informacje w sekcji Podziękowania.