Opublikowano 01 lutego 2016 | Zaktualizowano 7 marca 2016 r.
Wydaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA) w ramach procesu comiesięcznego wydawania biuletynów dotyczących bezpieczeństwa Androida. Obrazy oprogramowania sprzętowego Nexusa zostały również udostępnione w witrynie Google Developer . Kompilacje LMY49G lub nowsze oraz Androida M z poprawką zabezpieczeń na poziomie 1 lutego 2016 lub nowszą rozwiązują te problemy. Zapoznaj się z dokumentacją Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń.
Partnerzy zostali powiadomieni o problemach opisanych w biuletynie 4 stycznia 2016 r. lub wcześniej. W stosownych przypadkach w repozytorium Android Open Source Project (AOSP) udostępniono poprawki kodu źródłowego dla tych problemów.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która podczas przetwarzania plików multimedialnych może umożliwić zdalne wykonanie kodu na zaatakowanym urządzeniu za pomocą wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS. Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w sterowniku Wi-Fi firmy Broadcom ma również krytyczne znaczenie, ponieważ może umożliwić zdalne wykonanie kodu na zaatakowanym urządzeniu podczas połączenia z tą samą siecią co osoba atakująca. Ocena dotkliwości opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy, przy założeniu, że platforma i usługi ograniczania zagrożeń są wyłączone w celach programistycznych lub pomyślnie ominięte.
Nie mamy doniesień o aktywnym wykorzystywaniu przez klientów tych nowo zgłoszonych problemów. Zapoznaj się z sekcją Ograniczenia , aby uzyskać szczegółowe informacje na temat zabezpieczeń platformy Android i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android. Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Łagodzenia
To jest podsumowanie środków łagodzących zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Te możliwości zmniejszają prawdopodobieństwo pomyślnego wykorzystania luk w zabezpieczeniach w systemie Android.
- Wykorzystanie wielu problemów w systemie Android jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do aktualizacji do najnowszej wersji Androida tam, gdzie to możliwe.
- Zespół Android Security aktywnie monitoruje pod kątem nadużyć za pomocą funkcji Verify Apps i SafetyNet, które będą ostrzegać o potencjalnie szkodliwych aplikacjach, które mają zostać zainstalowane. Narzędzia do rootowania urządzeń są zabronione w Google Play. Aby chronić użytkowników, którzy instalują aplikacje spoza Google Play, Weryfikacja aplikacji jest domyślnie włączona i będzie ostrzegać użytkowników o znanych aplikacjach do rootowania. Usługa Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji, które wykorzystują lukę umożliwiającą eskalację uprawnień. Jeśli taka aplikacja została już zainstalowana, Weryfikacja aplikacji powiadomi użytkownika i spróbuje usunąć takie aplikacje.
- W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak mediaserver.
Podziękowanie
Chcielibyśmy podziękować tym badaczom za ich wkład:
- Zespół ds. bezpieczeństwa Androida i Chrome: CVE-2016-0809, CVE-2016-0810
- Zespół Broadgate: CVE-2016-0801, CVE-2015-0802
- Chiachih Wu ( @chiachih_wu ), Mingjian Zhou ( @Mingjian_Zhou ) i Xuxian Jiang z zespołu C0RE , Qihoo 360 : CVE-2016-0804
- David Riley z zespołu Google Pixel C: CVE-2016-0812
- Gengjia Chen ( @chengjia4574 ) z Lab IceSword, Qihoo 360: CVE-2016-0805
- Qidan He ( @Flanker_hqd ) z KeenLab ( @keen_lab ), Tencent: CVE-2016-0811
- Seven Shen ( @lingtongshen ) firmy Trend Micro ( www.trendmicro.com ): CVE-2016-0803
- Weichao Sun ( @sunblate ) z Alibaba Inc: CVE-2016-0808
- Zach Riggle ( @ebeip90 ) z zespołu ds. bezpieczeństwa systemu Android: CVE-2016-0807
Szczegóły luki w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje o każdej z luk w zabezpieczeniach, które mają zastosowanie do poziomu poprawki 2016-02-01. Dostępny jest opis problemu, uzasadnienie jego ważności oraz tabela z CVE, powiązanym błędem, ważnością, wersjami, których dotyczy problem, oraz datą zgłoszenia. Jeśli będzie to możliwe, połączymy zatwierdzenie AOSP, które rozwiązało problem, z identyfikatorem błędu. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odniesienia AOSP są powiązane z liczbami następującymi po identyfikatorze błędu.
Luka umożliwiająca zdalne wykonanie kodu w sterowniku Broadcom Wi-Fi
Liczne luki w zabezpieczeniach zdalnego wykonania w sterowniku Broadcom Wi-Fi mogą pozwolić osobie atakującej zdalnie na użycie specjalnie spreparowanych pakietów wiadomości sterowania bezprzewodowego do uszkodzenia pamięci jądra w sposób, który prowadzi do zdalnego wykonania kodu w kontekście jądra. Te luki mogą zostać uruchomione, gdy atakujący i ofiara są powiązani z tą samą siecią. Ten problem jest oceniany jako ważność krytyczna ze względu na możliwość zdalnego wykonania kodu w kontekście jądra bez konieczności interakcji użytkownika.
| CVE | Błędy | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0801 | ANDROID-25662029 ANDROID-25662233 | Krytyczny | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 25 paź 2015 |
| CVE-2016-0802 | ANDROID-25306181 | Krytyczny | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 26 paź 2015 |
Luka umożliwiająca zdalne wykonanie kodu w Mediaserver
Podczas przetwarzania pliku multimedialnego i danych w specjalnie spreparowanym pliku luki w serwerze multimediów mogą umożliwić osobie atakującej uszkodzenie pamięci i zdalne wykonanie kodu jako procesu serwera multimediów.
Zakłócona funkcja jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności MMS i odtwarzanie multimediów w przeglądarce.
Ten problem jest oceniany jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście usługi mediaserver. Usługa mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie mają dostępu aplikacje innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0803 | ANDROID-25812794 | Krytyczny | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 19 listopada 2015 |
| CVE-2016-0804 | ANDROID-25070434 | Krytyczny | 5.0, 5.1.1, 6.0, 6.0.1 | 12 paź 2015 |
Podwyższona luka w zabezpieczeniach uprawnień w module wydajności Qualcomm
Luka umożliwiająca podniesienie uprawnień w komponencie menedżera zdarzeń wydajności dla procesorów ARM firmy Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w jądrze. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego złamania zabezpieczeń urządzenia, które prawdopodobnie będzie wymagało naprawy przez ponowne załadowanie systemu operacyjnego.
| CVE | Błąd | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0805 | ANDROID-25773204* | Krytyczny | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 15 listopada 2015 |
* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka dotycząca uprawnień w sterowniku Qualcomm Wi-Fi
W sterowniku Qualcomm Wi-Fi istnieje luka, która może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego złamania zabezpieczeń urządzenia, które prawdopodobnie będzie wymagało naprawy przez ponowne załadowanie systemu operacyjnego.
| CVE | Błąd | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0806 | ANDROID-25344453* | Krytyczny | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 15 listopada 2015 |
* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższenie luki związanej z przywilejami w debuggerze
Luka umożliwiająca podniesienie uprawnień w komponencie Debuggerd może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście głównym urządzenia. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego złamania zabezpieczeń urządzenia, które prawdopodobnie będzie wymagało naprawy przez ponowne załadowanie systemu operacyjnego.
| CVE | Błąd z linkiem AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0807 | ANDROID-25187394 | Krytyczny | 6.0 i 6.0.1 | Wewnętrzne Google |
Luka w zabezpieczeniach typu „odmowa usługi” w Minikin
Luka w zabezpieczeniach typu „odmowa usługi” w bibliotece Minikin może umożliwić lokalnej osobie atakującej tymczasowe zablokowanie dostępu do urządzenia, którego dotyczy problem. Osoba atakująca może spowodować załadowanie niezaufanej czcionki i spowodować przepełnienie w komponencie Minikin, co prowadzi do awarii. Jest to oceniane jako bardzo ważne, ponieważ odmowa usługi prowadzi do ciągłej pętli ponownego uruchamiania.
| CVE | Błąd z linkiem AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0808 | ANDROID-25645298 | Wysoki | 5.0, 5.1.1, 6.0, 6.0.1 | 3 listopada 2015 r. |
Podwyższenie luki związanej z przywilejami w sieci Wi-Fi
Luka umożliwiająca podniesienie uprawnień w składniku Wi-Fi może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście systemu. Urządzenie jest podatne na ten problem tylko wtedy, gdy znajduje się w pobliżu. Ten problem ma wysoki poziom ważności, ponieważ można go wykorzystać do zdalnego uzyskania „ normalnych ” możliwości. Ogólnie rzecz biorąc, te uprawnienia są dostępne tylko dla aplikacji innych firm zainstalowanych lokalnie.
| CVE | Błąd z linkiem AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0809 | ANDROID-25753768 | Wysoki | 6.0, 6.0.1 | Wewnętrzne Google |
Podwyższenie luki w uprawnieniach w Mediaserver
Luka umożliwiająca podniesienie uprawnień w serwerze mediów może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem ma wysoki poziom ważności, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.
| CVE | Błąd z linkiem AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0810 | ANDROID-25781119 | Wysoki | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | Wewnętrzne Google |
Luka umożliwiająca ujawnienie informacji w libmediaplayerservice
Luka umożliwiająca ujawnienie informacji w libmediaplayerservice może pozwolić na ominięcie stosowanych środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę. Te problemy są oceniane jako wysoki poziom ważności, ponieważ mogą być również używane do uzyskiwania podwyższonych możliwości, takich jak uprawnienia uprawnień podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.
| CVE | Błąd z linkiem AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0811 | ANDROID-25800375 | Wysoki | 6.0, 6.0.1 | 16 listopada 2015 r. |
Podniesienie poziomu luki w uprawnieniach w kreatorze konfiguracji
Luka w Kreatorze instalacji może umożliwić złośliwemu atakującemu ominięcie ochrony przywracania ustawień fabrycznych i uzyskanie dostępu do urządzenia. Jest to oceniane jako ważność umiarkowana, ponieważ potencjalnie umożliwia osobie mającej fizyczny dostęp do urządzenia ominięcie ochrony przywracania ustawień fabrycznych, która umożliwia osobie atakującej pomyślne zresetowanie urządzenia i usunięcie wszystkich danych.
| CVE | Błędy z linkami AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0812 | ANDROID-25229538 | Umiarkowany | 5.1.1, 6.0 | Wewnętrzne Google |
| CVE-2016-0813 | ANDROID-25476219 | Umiarkowany | 5.1.1, 6.0, 6.0.1 | Wewnętrzne Google |
Często zadawane pytania i odpowiedzi
W tej sekcji przedstawiono odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?
Te problemy rozwiązują kompilacje LMY49G lub nowsze oraz Androida 6.0 z poziomem poprawki zabezpieczeń z 1 lutego 2016 r. lub nowszym. Zapoznaj się z dokumentacją Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń. Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[2016-02-01]
Rewizje
- 1 lutego 2016 r.: Biuletyn opublikowany.
- 2 lutego 2016 r.: Biuletyn zaktualizowany w celu uwzględnienia łączy AOSP.
- 7 marca 2016 r.: Biuletyn zaktualizowany w celu uwzględnienia dodatkowych łączy AOSP.