Opublikowano 07 grudnia 2015 | Zaktualizowano 7 marca 2016 r.
Wydaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA) w ramach procesu comiesięcznego wydawania biuletynów dotyczących bezpieczeństwa Androida. Obrazy oprogramowania sprzętowego Nexusa zostały również udostępnione w witrynie Google Developer . Kompilacje LMY48Z lub nowsze oraz Androida 6.0 z poziomem poprawki zabezpieczeń z 1 grudnia 2015 lub nowszym rozwiązują te problemy. Więcej informacji można znaleźć w sekcji Często zadawane pytania i odpowiedzi .
Partnerzy zostali powiadomieni o tych problemach i dostarczyli aktualizacje dotyczące tych problemów 2 listopada 2015 r. lub wcześniej. W stosownych przypadkach w repozytorium Android Open Source Project (AOSP) udostępniono poprawki kodu źródłowego dla tych problemów.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która podczas przetwarzania plików multimedialnych może umożliwić zdalne wykonanie kodu na zaatakowanym urządzeniu za pomocą wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS. Ocena dotkliwości opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy, przy założeniu, że platforma i usługi ograniczania zagrożeń są wyłączone w celach programistycznych lub pomyślnie ominięte.
Nie mamy doniesień o aktywnym wykorzystywaniu przez klientów tych nowo zgłoszonych problemów. Zapoznaj się z sekcją Ograniczenia , aby uzyskać szczegółowe informacje na temat zabezpieczeń platformy Android i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android. Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Łagodzenia
To jest podsumowanie środków łagodzących zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Te możliwości zmniejszają prawdopodobieństwo pomyślnego wykorzystania luk w zabezpieczeniach w systemie Android.
- Wykorzystanie wielu problemów w systemie Android jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do aktualizacji do najnowszej wersji Androida tam, gdzie to możliwe.
- Zespół Android Security aktywnie monitoruje pod kątem nadużyć za pomocą funkcji Verify Apps i SafetyNet, które będą ostrzegać o potencjalnie szkodliwych aplikacjach, które mają zostać zainstalowane. Narzędzia do rootowania urządzeń są zabronione w Google Play. Aby chronić użytkowników, którzy instalują aplikacje spoza Google Play, Weryfikacja aplikacji jest domyślnie włączona i będzie ostrzegać użytkowników o znanych aplikacjach do rootowania. Usługa Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji, które wykorzystują lukę umożliwiającą eskalację uprawnień. Jeśli taka aplikacja została już zainstalowana, Weryfikacja aplikacji powiadomi użytkownika i spróbuje usunąć takie aplikacje.
- W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak mediaserver.
Podziękowanie
Chcielibyśmy podziękować tym badaczom za ich wkład:
- Abhishek Arya, Oliver Chang i Martin Barbella z zespołu ds. bezpieczeństwa Google Chrome: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , CVE-2015-6634
- Flanker ( @flanker_hqd ) z KeenTeam ( @K33nTeam ): CVE-2015-6620
- Guang Gong (龚广) ( @oldfresher , higongguang@gmail.com) z Qihoo 360 Technology Co.Ltd : CVE-2015-6626
- Mark Carter ( @hanpingchinese ) z EmberMitre Ltd: CVE-2015-6630
- Michał Bednarski ( https://github.com/michalbednarski ): CVE-2015-6621
- Natalie Silvanovich z Google Project Zero: CVE-2015-6616
- Peter Pi z Trend Micro: CVE-2015-6616, CVE-2015-6628
- Qidan He ( @flanker_hqd ) i Marco Grassi ( @marcograss ) z KeenTeam ( @K33nTeam ): CVE-2015-6622
- Tzu-Yin (Nina) Tai: CVE-2015-6627
- Joaquín Rinaudo ( @xeroxnir ) z Programa STIC w Fundación Dr. Manuel Sadosky, Buenos Aires, Argentyna: CVE-2015-6631
- Wangtao (neobajt) Baidu X-Team: CVE-2015-6626
Szczegóły luki w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z dnia 2015-12-01. Znajduje się tam opis problemu, uzasadnienie istotności oraz tabela z CVE, powiązanym błędem, istotnością, zaktualizowanymi wersjami i datą zgłoszenia. Gdy będzie to możliwe, połączymy zmianę AOSP, która rozwiązała problem, z identyfikatorem błędu. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odniesienia AOSP są powiązane z liczbami następującymi po identyfikatorze błędu.
Luki w zabezpieczeniach zdalnego wykonania kodu w Mediaserver
Podczas przetwarzania pliku multimedialnego i danych w specjalnie spreparowanym pliku luki w serwerze multimediów mogą umożliwić osobie atakującej uszkodzenie pamięci i zdalne wykonanie kodu jako procesu serwera multimediów.
Zakłócona funkcja jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności MMS i odtwarzanie multimediów w przeglądarce.
Ten problem jest oceniany jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście usługi mediaserver. Usługa mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie mają dostępu aplikacje innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6616 | ANDROID-24630158 | Krytyczny | 6.0 i poniżej | Wewnętrzne Google |
| ANDROID-23882800 | Krytyczny | 6.0 i poniżej | Wewnętrzne Google | |
| ANDROID-17769851 | Krytyczny | 5.1 i poniżej | Wewnętrzne Google | |
| ANDROID-24441553 | Krytyczny | 6.0 i poniżej | 22 września 2015 r. | |
| ANDROID-24157524 | Krytyczny | 6,0 | 08 września 2015 r. |
Luka umożliwiająca zdalne wykonanie kodu w Skia
Podczas przetwarzania specjalnie spreparowanego pliku multimedialnego może zostać wykorzystana luka w składniku Skia, która może spowodować uszkodzenie pamięci i zdalne wykonanie kodu w procesie uprzywilejowanym. Ten problem jest oceniany jako krytyczny ze względu na możliwość zdalnego wykonania kodu za pomocą wielu metod ataku, takich jak poczta e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych.
| CVE | Błędy z linkami AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6617 | ANDROID-23648740 | Krytyczny | 6.0 i poniżej | Google wewnętrzne |
Podniesienie przywilejów w Kernel
Luka umożliwiająca podniesienie uprawnień w jądrze systemu może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście głównym urządzenia. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego złamania zabezpieczeń urządzenia, a urządzenie można naprawić tylko przez ponowne załadowanie systemu operacyjnego.
| CVE | Błędy z linkami AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6619 | ANDROID-23520714 | Krytyczny | 6.0 i poniżej | 7 czerwca 2015 r. |
Luki w zabezpieczeniach zdalnego wykonania kodu w sterowniku ekranu
W sterownikach ekranu występują luki, które podczas przetwarzania pliku multimedialnego mogą powodować uszkodzenie pamięci i potencjalne wykonanie dowolnego kodu w kontekście sterownika trybu użytkownika ładowanego przez serwer mediów. Ten problem jest oceniany jako krytyczny ze względu na możliwość zdalnego wykonania kodu za pomocą wielu metod ataku, takich jak poczta e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych.
| CVE | Błędy z linkami AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6633 | ANDROID-23987307* | Krytyczny | 6.0 i poniżej | Wewnętrzne Google |
| CVE-2015-6634 | ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] | Krytyczny | 5.1 i poniżej | Wewnętrzne Google |
* Łata dla tego problemu nie jest dostępna w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Luka umożliwiająca zdalne wykonanie kodu w Bluetooth
Luka w składniku Bluetooth systemu Android może umożliwić zdalne wykonanie kodu. Jednak zanim to nastąpi, konieczne jest wykonanie wielu czynności ręcznych. Aby to zrobić, wymagałoby to pomyślnie sparowanego urządzenia po włączeniu profilu sieci osobistej (PAN) (na przykład przy użyciu funkcji Tethering przez Bluetooth) i sparowaniu urządzenia. Zdalne wykonanie kodu odbywałoby się z przywilejem usługi Bluetooth. Urządzenie jest podatne na ten problem tylko w przypadku pomyślnie sparowanego urządzenia znajdującego się w pobliżu.
Ten problem ma wysoki poziom ważności, ponieważ osoba atakująca może zdalnie wykonać dowolny kod tylko po wykonaniu wielu czynności ręcznych i od osoby atakującej lokalnie, której wcześniej zezwolono na sparowanie urządzenia.
| CVE | Błędy) | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6618 | ANDROID-24595992* | Wysoki | 4.4, 5.0 i 5.1 | 28 września 2015 r. |
* Łata dla tego problemu nie jest dostępna w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższenie luk związanych z przywilejami w libstagefright
W libstagefright istnieje wiele luk, które mogą umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście usługi mediaserver. Ten problem ma wysoki poziom ważności, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6620 | ANDROID-24123723 | Wysoki | 6.0 i poniżej | 10 września 2015 r. |
| ANDROID-24445127 | Wysoki | 6.0 i poniżej | 2 września 2015 r. |
Podwyższona luka w zabezpieczeniach uprawnień w SystemUI
Podczas ustawiania alarmu za pomocą aplikacji zegara luka w składniku SystemUI może umożliwić aplikacji wykonanie zadania z podwyższonym poziomem uprawnień. Ten problem ma wysoki poziom ważności, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6621 | ANDROID-23909438 | Wysoki | 5.0, 5.1 i 6.0 | 7 września 2015 r. |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w bibliotece natywnych frameworków
Luka umożliwiająca ujawnienie informacji w bibliotece Android Native Frameworks Library może umożliwić obejście stosowanych środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę. Te problemy są oceniane jako wysoki poziom ważności, ponieważ mogą być również używane do uzyskiwania podwyższonych możliwości, takich jak uprawnienia uprawnień podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6622 | ANDROID-23905002 | Wysoki | 6.0 i poniżej | 7 września 2015 r. |
Podwyższenie luki związanej z przywilejami w sieci Wi-Fi
Luka umożliwiająca podniesienie uprawnień w sieci Wi-Fi może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście podwyższonej usługi systemowej. Ten problem ma wysoki poziom ważności, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6623 | ANDROID-24872703 | Wysoki | 6,0 | Wewnętrzne Google |
Podwyższenie luki uprawnień w serwerze systemowym
Luka umożliwiająca podniesienie uprawnień w składniku System Server może umożliwić lokalnej złośliwej aplikacji uzyskanie dostępu do informacji związanych z usługą. Ten problem ma wysoki poziom ważności, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6624 | ANDROID-23999740 | Wysoki | 6,0 | Google wewnętrzne |
Luki w zabezpieczeniach związane z ujawnianiem informacji w libstagefright
W libstagefright istnieją luki w zabezpieczeniach umożliwiające ujawnienie informacji, które podczas komunikacji z serwerem mediów mogą pozwolić na ominięcie stosowanych środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę. Te problemy są oceniane jako wysoki poziom ważności, ponieważ mogą być również używane do uzyskiwania podwyższonych możliwości, takich jak uprawnienia uprawnień podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6632 | ANDROID-24346430 | Wysoki | 6.0 i poniżej | Wewnętrzne Google |
| CVE-2015-6626 | ANDROID-24310423 | Wysoki | 6.0 i poniżej | 2 września 2015 r. |
| CVE-2015-6631 | ANDROID-24623447 | Wysoki | 6.0 i poniżej | 21 sierpnia 2015 r. |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w audio
Luka w komponencie Audio może zostać wykorzystana podczas przetwarzania pliku audio. Ta luka może umożliwić lokalnej złośliwej aplikacji, podczas przetwarzania specjalnie spreparowanego pliku, spowodowanie ujawnienia informacji. Ten problem ma wysoki poziom ważności, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6627 | ANDROID-24211743 | Wysoki | 6.0 i poniżej | Wewnętrzne Google |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w Media Framework
W programie Media Framework istnieje luka w zabezpieczeniach umożliwiająca ujawnienie informacji, która podczas komunikacji z serwerem multimediów może umożliwić obejście stosowanych środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę. Ten problem jest oceniany jako wysoki, ponieważ może również służyć do uzyskiwania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6628 | ANDROID-24074485 | Wysoki | 6.0 i poniżej | 8 września 2015 r. |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w sieci Wi-Fi
Luka w składniku Wi-Fi może umożliwić osobie atakującej spowodowanie ujawnienia informacji przez usługę Wi-Fi. Ten problem ma wysoki poziom ważności, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6629 | ANDROID-22667667 | Wysoki | 5.1 i 5.0 | Wewnętrzne Google |
Podwyższenie luki uprawnień w serwerze systemowym
Luka umożliwiająca podniesienie uprawnień w serwerze systemowym może umożliwić lokalnej złośliwej aplikacji uzyskanie dostępu do informacji związanych z usługą Wi-Fi. Ten problem jest oceniany jako średni poziom ważności, ponieważ może zostać wykorzystany do niewłaściwego uzyskania uprawnień „ niebezpiecznych ”.
| CVE | Błędy z linkami AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6625 | ANDROID-23936840 | Umiarkowany | 6,0 | Wewnętrzne Google |
Luka umożliwiająca ujawnienie informacji w SystemUI
Luka umożliwiająca ujawnienie informacji w SystemUI może umożliwić lokalnej złośliwej aplikacji uzyskanie dostępu do zrzutów ekranu. Ten problem jest oceniany jako średni poziom ważności, ponieważ może zostać wykorzystany do niewłaściwego uzyskania uprawnień „ niebezpiecznych ”.
| CVE | Błędy z linkami AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6630 | ANDROID-19121797 | Umiarkowany | 5.0, 5.1 i 6.0 | 22 stycznia 2015 |
Często zadawane pytania i odpowiedzi
W tej sekcji omówiono odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?
Kompilacje LMY48Z lub nowsze oraz Androida 6.0 z poziomem poprawki zabezpieczeń z 1 grudnia 2015 lub nowszym rozwiązują te problemy. Zapoznaj się z dokumentacją Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń. Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[2015-12-01]
Rewizje
- 07 grudnia 2015 r.: pierwotnie opublikowany
- 09 grudnia 2015 r.: Biuletyn zaktualizowany w celu uwzględnienia łączy AOSP.
- 22 grudnia 2015: Dodano brakujący kredyt do sekcji Podziękowania.
- 07 marca 2016: Dodano brakujące informacje o podziękowaniach w sekcji Podziękowania.