Opublikowano 4 stycznia 2016 r. | Zaktualizowano 28 kwietnia 2016 r.
W ramach naszego miesięcznego procesu publikowania Biuletynów bezpieczeństwa w Androidzie udostępniliśmy aktualizację zabezpieczeń dla urządzeń Nexus w ramach aktualizacji przez Internet. Obrazy oprogramowania układowego Nexusa zostały też udostępnione w witrynie Google Developers. Te problemy zostały rozwiązane w wersjach LMY49F lub nowszych oraz w Androidzie 6.0 ze stanem aktualizacji zabezpieczeń z 1 stycznia 2016 r. lub nowszym. Więcej informacji znajdziesz w sekcji Najczęstsze pytania i odpowiedzi.
Partnerzy zostali powiadomieni o problemach opisanych w tym biuletynie 7 grudnia 2015 r. lub wcześniej i otrzymali informacje na ich temat. W stosownych przypadkach poprawki kodu źródłowego dotyczące tych problemów zostały opublikowane w repozytorium Projektu Android Open Source (AOSP).
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwiać zdalne wykonywanie kodu na urządzeniu docelowym za pomocą różnych metod, takich jak e-mail, przeglądanie stron internetowych i MMS-y podczas przetwarzania plików multimedialnych. Ocena ważności jest oparta na potencjalnym wpływie wykorzystania luki w zabezpieczeniach na urządzeniu, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby programowania lub że zostały pomyślnie omijane.
Nie otrzymaliśmy żadnych zgłoszeń o aktywnej próbie wykorzystania przez klientów tych nowo zgłoszonych problemów. Więcej informacji o środkach zaradczych znajdziesz w sekcji Ochrona platformy Androida oraz o ochronie usług, takich jak SafetyNet, które zwiększają bezpieczeństwo platformy Android. Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Złagodzenia
Oto podsumowanie środków zaradczych oferowanych przez platformę bezpieczeństwa Androida oraz zabezpieczenia usług, takich jak SafetyNet. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach mogą zostać wykorzystane na Androidzie.
- Wykorzystanie wielu luk w Androidzie jest utrudnione dzięki ulepszeniom w nowszych wersjach platformy. Zachęcamy wszystkich użytkowników do zaktualizowania systemu do najnowszej wersji Androida, o ile to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą narzędzia Verify Apps i SafetyNet, które ostrzegają przed instalowaniem potencjalnie szkodliwych aplikacji. W Google Play nie można publikować narzędzi do rootowania urządzeń. Aby chronić użytkowników, którzy instalują aplikacje spoza Google Play, weryfikacja aplikacji jest domyślnie włączona i ostrzega użytkowników o znanych aplikacjach do rootowania. Verify Apps próbuje wykrywać i blokować instalację znanych złośliwych aplikacji, które wykorzystują lukę w zabezpieczeniach umożliwiającą podniesienie uprawnień. Jeśli taka aplikacja jest już zainstalowana, Verify Apps powiadomi użytkownika i spróbuje ją usunąć.
- W odpowiednich przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak mediaserver.
Podziękowania
Dziękujemy zaangażowanym w to badanie naukowcom:
- Abhishek Arya, Oliver Chang i Martin Barbella z zespołu ds. bezpieczeństwa Google Chrome: CVE-2015-6636
- Sen Nie (@nforest_) i jfang z laboratorium KEEN, Tencent (@K33nTeam): CVE-2015-6637
- Yabin Cui z zespołu Android Bionic: CVE-2015-6640
- Tom Craig z Google X: CVE-2015-6641
- Jann Horn (https://thejh.net): CVE-2015-6642
- Jouni Malinen PGP id EFC895FA: CVE-2015-5310
- Quan Nguyen z zespołu inżynierów ds. zabezpieczeń informacji w Google: CVE-2015-6644
- Gal Beniamini (@laginimaineb, http://bits-please.blogspot.com): CVE-2015-6639
Szczegóły luki w zabezpieczeniach
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 2016-01-01. Zawiera opis problemu, uzasadnienie powagi oraz tabelę z luką w zabezpieczeniach (CVE), powiązanym błędem, powagą, zaktualizowanymi wersjami i datą zgłoszenia. Jeśli to możliwe, połączymy identyfikator AOSP, który rozwiązał problem, z identyfikatorem błędu. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia do AOSP są połączone z numerami po identyfikatorze błędu.
Luka w zabezpieczeniach umożliwiająca zdalne wykonywanie kodu w usłudze Mediaserver
Podczas przetwarzania pliku multimedialnego i danych w specjalnie spreparowanym pliku luka w zabezpieczeniach w mediaserver może umożliwić osobie przeprowadzającej atak uszkodzenie pamięci i zdalne uruchomienie kodu w ramach procesu mediaserver.
Dotyczy to funkcji, które są częścią systemu operacyjnego, a wiele aplikacji umożliwia ich obsługę z dalsza, zwłaszcza MMS-y i odtwarzanie multimediów w przeglądarce.
Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonywania kodu w kontekście usługi mediaserver. Usługa mediaserver ma dostęp do strumieni audio i wideo, a także do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.
| CVE | Błędy w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6636 | ANDROID-25070493 | Krytyczny | 5.0, 5.1.1, 6.0, 6.0.1 | Google - wewnętrzny |
| ANDROID-24686670 | Krytyczny | 5.0, 5.1.1, 6.0, 6.0.1 | Google - wewnętrzny |
Podniesienie uprawnień w sterowniku misc-sd
Podatność na podniesienie uprawnień w sterowniku misc-sd firmy MediaTek może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w rdzeniu. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego przejęcia kontroli nad urządzeniem. W takim przypadku konieczne może być przywrócenie systemu operacyjnego.
| CVE | Błędy | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6637 | ANDROID-25307013* | Krytyczny | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 26 października 2015 r. |
* Ta poprawka nie jest dostępna w AOSP. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus, które można pobrać na stronie dla deweloperów Google.
Luka w zabezpieczeniach związana z podniesieniem uprawnień w sterowniku Imagination Technologies
Podatność w podsystemie jądra firmy Imagination Technologies umożliwiająca podniesienie uprawnień mogłaby umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w jądrze. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego zablokowania urządzenia, w którym przypadku konieczna może być naprawa polegająca na ponownym zaprogramowaniu systemu operacyjnego.
| CVE | Błędy | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6638 | ANDROID-24673908* | Krytyczny | 5.0, 5.1.1, 6.0, 6.0.1 | Google - wewnętrzny |
* Ta poprawka nie jest dostępna w AOSP. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus, które można pobrać na stronie dla deweloperów Google.
Luki w zabezpieczeniach polegające na podnoszeniu uprawnień w strefie zaufania
Liczba luk w zabezpieczeniach związanych z podwyższeniem uprawnień w aplikacji Widevine QSEE TrustZone może umożliwić aplikacji z dostępem do QSEECOM, która została naruszona, uruchomienie dowolnego kodu w kontekście Trustzone. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, w którym przypadku konieczna może być naprawa polegająca na ponownym zaprogramowaniu systemu operacyjnego.
| CVE | Błędy | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6639 | ANDROID-24446875* | Krytyczny | 5.0, 5.1.1, 6.0, 6.0.1 | 23 września 2015 r. |
| CVE-2015-6647 | ANDROID-24441554* | Krytyczny | 5.0, 5.1.1, 6.0, 6.0.1 | 27 września 2015 r. |
* Ta poprawka nie jest dostępna w AOSP. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus, które można pobrać na stronie dla deweloperów Google.
Luki w zabezpieczeniach umożliwiające podniesienie uprawnień w jądrze
Luka w zabezpieczeniach związana z podwyższeniem uprawnień w rdzeniu może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w rdzeniu. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, w którym przypadku konieczna może być naprawa polegająca na ponownym zaprogramowaniu systemu operacyjnego.
| CVE | Błędy w AOSP Link | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6640 | ANDROID-20017123 | Krytyczny | 4.4.4, 5.0, 5.1.1, 6.0 | Google - wewnętrzny |
Luki w zabezpieczeniach umożliwiające podniesienie uprawnień w Bluetooth
W komponencie Bluetooth występuje luka umożliwiająca podniesienie uprawnień, która może umożliwić zdanemu urządzeniu sparowanemu przez Bluetooth uzyskanie dostępu do prywatnych informacji użytkownika (kontaktów). Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do zdalnego uzyskiwania „niebezpiecznych” uprawnień. Te uprawnienia są dostępne tylko dla aplikacji innych firm zainstalowanych lokalnie.
| CVE | Błędy w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6641 | ANDROID-23607427 [2] | Wysoki | 6.0, 6.0.1 | Google - wewnętrzny |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w jądrze
Luka w zabezpieczeniach w jądrze umożliwia obejście środków bezpieczeństwa, które utrudniają atakującym wykorzystanie platformy. Te problemy zostały ocenione jako poważne, ponieważ mogą być wykorzystywane do uzyskiwania rozszerzonych uprawnień, takich jak uprawnienia Signature lub SignatureOrSystem, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6642 | ANDROID-24157888* | Wysoki | 4.4.4, 5.0, 5.1.1, 6.0 | 12 września 2015 r. |
* Ta poprawka nie jest dostępna w AOSP. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus, które można pobrać na stronie dla deweloperów Google.
Luki w zabezpieczeniach związane z podniesieniem uprawnień w kreatorze konfiguracji
W przypadku luki w zabezpieczeniach w kreatorze konfiguracji atakujący z dostępem fizycznym do urządzenia może uzyskać dostęp do jego ustawień i ręcznie je zresetować. Ten problem został oceniony jako problem o umiarkowanym stopniu ważności, ponieważ może być wykorzystywany do obejścia ochrony przywracania ustawień fabrycznych.
| CVE | Błędy w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6643 | ANDROID-25290269 [2] | Umiarkowana | 5.1.1, 6.0, 6.0.1 | Google - wewnętrzny |
Luki w zabezpieczeniach umożliwiające podniesienie uprawnień w sieci Wi-Fi
W komponencie Wi-Fi występuje luka umożliwiająca podniesienie uprawnień, która może umożliwić lokalnie znajdującemu się atakującemu uzyskanie dostępu do informacji związanych z usługą Wi-Fi. Urządzenie jest narażone na ten problem tylko w sytuacji, gdy znajduje się w pobliżu. Ten problem ma umiarkowaną wagę, ponieważ może być wykorzystywany do zdalnego uzyskiwania „normalnych” uprawnień. Te uprawnienia są dostępne tylko dla aplikacji innych firm zainstalowanych lokalnie.
| CVE | Błędy w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-5310 | ANDROID-25266660 | Umiarkowana | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 25 października 2015 r. |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w Bouncy Castle
W Bouncy Castle występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji uzyskanie dostępu do prywatnych informacji użytkownika. Ten problem ma umiarkowaną wagę, ponieważ może zostać wykorzystany do nieprawidłowego uzyskania uprawnień „niebezpiecznych”.
| CVE | Błędy w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6644 | ANDROID-24106146 | Umiarkowana | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | Google - wewnętrzny |
Atak typu DoS w SyncManagerze
Usługa odmowy dostępu w SyncManagerze może umożliwić lokalnej złośliwej aplikacji wywołanie pętli ponownego uruchamiania. Ten problem został oceniony jako problem o umiarkowanym stopniu ważności, ponieważ może spowodować lokalny tymczasowy atak typu DoS, który może wymagać rozwiązania poprzez przywrócenie ustawień fabrycznych.
| CVE | Błędy w linkach do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6645 | ANDROID-23591205 | Umiarkowana | 4.4.4, 5.0, 5.1.1, 6.0 | Google - wewnętrzny |
Zmniejszenie powierzchni ataku w jądrach Nexus
Interfejs SysV IPC nie jest obsługiwany w żadnym rdzeniu Androida. Usunęliśmy je z systemu operacyjnego, ponieważ stwarzają one dodatkowe możliwości ataków, które nie zwiększają funkcjonalności systemu, a mogą być wykorzystywane przez złośliwe aplikacje. Ponadto interfejsy IPC systemu V są niezgodne z cyklem życia aplikacji na Androidzie, ponieważ przydzielone zasoby nie mogą zostać zwolnione przez menedżera pamięci, co prowadzi do globalnego wycieku zasobów jądra. Ta zmiana rozwiązuje problemy takie jak CVE-2015-7613.
| CVE | Błędy | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-6646 | ANDROID-22300191* | Umiarkowana | 6.0 | Google - wewnętrzny |
* Ta poprawka nie jest dostępna w AOSP. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus, które można pobrać na stronie dla deweloperów Google.
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy można na nim rozwiązać te problemy?
Te problemy zostały rozwiązane w wersjach LMY49F lub nowszych oraz w Androidzie 6.0 ze stanem aktualizacji zabezpieczeń z 1 stycznia 2016 r. lub nowszym. Instrukcje sprawdzania poziomu zabezpieczeń znajdziesz w dokumentacji Nexusa. Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić poziom ciągu poprawki na: [ro.build.version.security_patch]:[2016-01-01]
Wersje
- 4 stycznia 2016 r.: opublikowano biuletyn.
- 6 stycznia 2016 r.: w powiadomieniu uwzględniono linki do AOSP.
- 28 kwietnia 2016 r.: z podziękowań usunięto CVE-2015-6617, a do tabeli podsumowania dodano CVE-2015-6647