Biuletyn dotyczący bezpieczeństwa Nexusa — styczeń 2016 r

Opublikowano 04 stycznia 2016 | Zaktualizowano 28 kwietnia 2016 r

Wydaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA) w ramach naszego comiesięcznego procesu wydawania biuletynu zabezpieczeń Androida. Obrazy oprogramowania sprzętowego Nexusa zostały także udostępnione w witrynie Google Developer . Kompilacje LMY49F lub nowsze oraz system Android 6.0 z poprawką zabezpieczeń z dnia 1 stycznia 2016 r. lub nowszą rozwiązują te problemy. Aby uzyskać więcej informacji, zobacz sekcję Często zadawane pytania i odpowiedzi .

Partnerzy zostali powiadomieni o problemach opisanych w niniejszym biuletynie i przekazali im aktualizacje w dniu 7 grudnia 2015 r. lub wcześniej. W stosownych przypadkach w repozytorium Android Open Source Project (AOSP) udostępniono poprawki kodu źródłowego rozwiązujące te problemy.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwić zdalne wykonanie kodu na zagrożonym urządzeniu przy użyciu wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług są wyłączone na potrzeby programowania lub jeśli pomyślnie je ominiesz.

Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu przez klientów tych nowo zgłoszonych problemów. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Środki zaradcze . Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Łagodzenia

To jest podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.

  • Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
  • Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia za pomocą funkcji Verify Apps i SafetyNet, które ostrzegają o potencjalnie szkodliwych aplikacjach, które mają zostać zainstalowane. Narzędzia do rootowania urządzeń są zabronione w Google Play. Aby chronić użytkowników instalujących aplikacje spoza Google Play, opcja Weryfikuj aplikacje jest domyślnie włączona i ostrzega użytkowników o znanych aplikacjach powodujących rootowanie. Funkcja Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji wykorzystujących lukę umożliwiającą eskalację uprawnień. Jeśli taka aplikacja została już zainstalowana, funkcja Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wszelkich takich aplikacji.
  • W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak serwer multimediów.

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

  • Abhishek Arya, Oliver Chang i Martin Barbella z zespołu ds. bezpieczeństwa przeglądarki Google Chrome: CVE-2015-6636
  • Sen Nie ( @nforest_ ) i jfang z KEEN lab, Tencent ( @K33nTeam ): CVE-2015-6637
  • Yabin Cui z zespołu Android Bionic: CVE-2015-6640
  • Tom Craig z Google X: CVE-2015-6641
  • Jann Horn ( https://tejh.net ): CVE-2015-6642
  • Jouni Malinen PGP o identyfikatorze EFC895FA: CVE-2015-5310
  • Quan Nguyen z zespołu inżynierów ds. bezpieczeństwa informacji Google: CVE-2015-6644
  • Gal Beniamini ( @laginimaineb , http://bits-Please.blogspot.com ): CVE-2015-6639

Szczegóły luki w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2016-01-01. Znajduje się tam opis problemu, uzasadnienie wagi oraz tabela zawierająca CVE, powiązany błąd, wagę, zaktualizowane wersje i datę zgłoszenia. Jeśli będzie to możliwe, połączymy zmianę AOSP, która rozwiązała problem, z identyfikatorem błędu. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia AOSP są powiązane z liczbami następującymi po identyfikatorze błędu.

Luka w zabezpieczeniach serwera multimediów umożliwiająca zdalne wykonanie kodu

Podczas przetwarzania pliku multimedialnego i danych specjalnie spreparowanego pliku luki w zabezpieczeniach serwera multimediów mogą pozwolić osobie atakującej na spowodowanie uszkodzenia pamięci i zdalnego wykonania kodu w procesie serwera multimediów.

Funkcja, której to dotyczy, jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności wiadomości MMS i odtwarzania multimediów w przeglądarce.

Ten problem ma wagę krytyczną ze względu na możliwość zdalnego wykonania kodu w kontekście usługi serwera multimediów. Usługa serwera multimediów ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.

CVE Błąd(y) z łączami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6636 ANDROID-25070493 Krytyczny 5.0, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google
ANDROID-24686670 Krytyczny 5.0, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku misc-sd

Luka w zabezpieczeniach sterownika misc-sd firmy MediaTek umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w jądrze. Ten problem ma wagę krytyczną ze względu na możliwość trwałego lokalnego uszkodzenia urządzenia i w takim przypadku urządzenie prawdopodobnie będzie wymagało naprawy poprzez ponowne flashowanie systemu operacyjnego.

CVE Błędy) Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6637 ANDROID-25307013* Krytyczny 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26 października 2015 r

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku Imagination Technologies

Luka w sterowniku jądra firmy Imagination Technologies umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w jądrze. Ten problem ma wagę krytyczną ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, w którym to przypadku prawdopodobnie konieczna będzie naprawa urządzenia poprzez ponowne flashowanie systemu operacyjnego.

CVE Błędy) Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6638 ANDROID-24673908* Krytyczny 5.0, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Podniesienie poziomu luk w uprawnieniach w Trustzone

Podniesienie poziomu luk w zabezpieczeniach aplikacji Widevine QSEE TrustZone może umożliwić skompromitowanej, uprzywilejowanej aplikacji z dostępem do QSEECOM wykonanie dowolnego kodu w kontekście Trustzone. Ten problem ma wagę krytyczną ze względu na możliwość trwałego lokalnego uszkodzenia urządzenia i w takim przypadku urządzenie prawdopodobnie będzie wymagało naprawy poprzez ponowne flashowanie systemu operacyjnego.

CVE Błędy) Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6639 ANDROID-24446875* Krytyczny 5.0, 5.1.1, 6.0, 6.0.1 23 września 2015 r
CVE-2015-6647 ANDROID-24441554* Krytyczny 5.0, 5.1.1, 6.0, 6.0.1 27 września 2015 r

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach jądra umożliwiająca podniesienie uprawnień

Luka w jądrze umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w jądrze. Ten problem ma wagę krytyczną ze względu na możliwość trwałego lokalnego uszkodzenia urządzenia i w takim przypadku urządzenie prawdopodobnie będzie wymagało naprawy poprzez ponowne flashowanie systemu operacyjnego.

CVE Błąd(y) związany z łączem AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6640 ANDROID-20017123 Krytyczny 4.4.4, 5.0, 5.1.1, 6.0 Wewnętrzne Google

Luka w zabezpieczeniach Bluetooth umożliwiająca podniesienie uprawnień

Luka w zabezpieczeniach komponentu Bluetooth umożliwiająca podniesienie uprawnień może umożliwić zdalnemu urządzeniu sparowanemu przez Bluetooth uzyskanie dostępu do prywatnych informacji użytkownika (kontaktów). Ten problem ma stopień ważności wysoki, ponieważ można go wykorzystać do zdalnego uzyskania „ niebezpiecznych ” możliwości. Uprawnienia te są dostępne tylko dla aplikacji innych firm zainstalowanych lokalnie.

CVE Błąd(y) z łączami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6641 ANDROID-23607427 [ 2 ] Wysoki 6.0, 6.0.1 Wewnętrzne Google

Luka w jądrze umożliwiająca ujawnienie informacji

Luka w jądrze umożliwiająca ujawnienie informacji może pozwolić na ominięcie istniejących środków bezpieczeństwa i zwiększyć trudność atakujących w wykorzystaniu platformy. Problemy te są klasyfikowane jako Wysokie, ponieważ można je również wykorzystać do uzyskania zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.

CVE Błędy) Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6642 ANDROID-24157888* Wysoki 4.4.4, 5.0, 5.1.1, 6.0 12 września 2015 r

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w kreatorze instalacji

Luka umożliwiająca podniesienie uprawnień w Kreatorze konfiguracji może umożliwić osobie atakującej mającej fizyczny dostęp do urządzenia uzyskanie dostępu do ustawień urządzenia i wykonanie ręcznego resetowania urządzenia. Ten problem ma wagę umiarkowaną, ponieważ można go wykorzystać do nieprawidłowego obejścia zabezpieczenia przywracania ustawień fabrycznych.

CVE Błąd(y) z łączami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6643 ANDROID-25290269 [ 2 ] Umiarkowany 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

Zwiększenie luki w zabezpieczeniach sieci Wi-Fi związanej z podniesieniem uprawnień

Luka w zabezpieczeniach komponentu Wi-Fi umożliwiająca podniesienie uprawnień może umożliwić lokalnie sąsiadującemu atakującemu uzyskanie dostępu do informacji związanych z usługą Wi-Fi. Urządzenie jest podatne na ten problem tylko wtedy, gdy znajduje się w pobliżu. Ten problem ma wagę umiarkowaną, ponieważ można go wykorzystać do zdalnego uzyskania „ normalnych ” możliwości. Uprawnienia te są dostępne tylko dla aplikacji innych firm zainstalowanych lokalnie.

CVE Błąd(y) z łączami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-5310 ANDROID-25266660 Umiarkowany 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 października 2015 r

Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w dmuchanym zamku

Luka w zabezpieczeniach Bouncy Castle umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji uzyskanie dostępu do prywatnych informacji użytkownika. Ten problem ma wagę umiarkowaną, ponieważ może zostać wykorzystany do niewłaściwego uzyskania „ niebezpiecznych ” uprawnień.

CVE Błąd(y) z łączami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6644 ANDROID-24106146 Umiarkowany 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

Luka w zabezpieczeniach umożliwiająca odmowę usługi w programie SyncManager

Luka w zabezpieczeniach programu SyncManager umożliwiająca odmowę usługi może spowodować, że lokalna złośliwa aplikacja spowoduje pętlę ponownego uruchamiania. Ten problem ma wagę umiarkowaną, ponieważ może spowodować lokalną tymczasową odmowę usługi, którą prawdopodobnie należy naprawić poprzez przywrócenie ustawień fabrycznych.

CVE Błąd(y) z łączami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6645 ANDROID-23591205 Umiarkowany 4.4.4, 5.0, 5.1.1, 6.0 Wewnętrzne Google

Zmniejszenie powierzchni ataku dla jąder Nexusa

SysV IPC nie jest obsługiwany w żadnym jądrze Androida. Usunęliśmy to z systemu operacyjnego, ponieważ udostępnia ono dodatkową powierzchnię ataku, która nie dodaje do systemu funkcjonalności, która mogłaby zostać wykorzystana przez złośliwe aplikacje. Ponadto IPC Systemu V nie są zgodne z cyklem życia aplikacji Androida, ponieważ menedżer pamięci nie może zwolnić przydzielonych zasobów, co prowadzi do globalnego wycieku zasobów jądra. Ta zmiana rozwiązuje problem taki jak CVE-2015-7613.

CVE Błędy) Powaga Zaktualizowane wersje Data zgłoszona
CVE-2015-6646 ANDROID-22300191* Umiarkowany 6,0 Wewnętrzne Google

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Często zadawane pytania i odpowiedzi

W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Kompilacje LMY49F lub nowsze oraz system Android 6.0 z poprawką zabezpieczeń z dnia 1 stycznia 2016 r. lub nowszą rozwiązują te problemy. Instrukcje dotyczące sprawdzania poziomu poprawki zabezpieczeń znajdziesz w dokumentacji Nexusa . Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[2016-01-01]

Wersje

  • 04 stycznia 2016: Biuletyn opublikowany.
  • 6 stycznia 2016 r.: Biuletyn zmieniony w celu uwzględnienia łączy AOSP.
  • 28 kwietnia 2016 r.: Usunięto CVE-2015-6617 z Podziękowań i dodano CVE-2015-6647 do tabeli podsumowującej