Opublikowano 1 lutego 2016 r. | Zaktualizowano 7 marca 2016 r.
W ramach naszego miesięcznego procesu publikowania Biuletynów bezpieczeństwa w Androidzie udostępniliśmy aktualizację zabezpieczeń dla urządzeń Nexus w ramach aktualizacji przez Internet. Obrazy oprogramowania Nexusa zostały też udostępnione w witrynie Google Developers. Te problemy zostały rozwiązane w wersjach LMY49G lub nowszych oraz na Androidzie M z poziomem poprawek zabezpieczeń z 1 lutego 2016 r. lub nowszym. Instrukcje sprawdzania poziomu zabezpieczeń znajdziesz w dokumentacji Nexusa.
Partnerzy zostali powiadomieni o problemach opisanych w biuletynie 4 stycznia 2016 r. lub wcześniej. W stosownych przypadkach opublikowano w repozytorium Projektu Android Open Source (AOSP) poprawki kodu źródłowego dotyczące tych problemów.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwiać zdalne wykonywanie kodu na urządzeniu docelowym za pomocą różnych metod, takich jak e-mail, przeglądanie stron internetowych i MMS-y podczas przetwarzania plików multimedialnych. Użytkownicy powinni również uważać na lukę w sterowniku Wi-Fi firmy Broadcom, która umożliwia zdalne wykonywanie kodu na urządzeniu, gdy jest ono połączone z tą samą siecią co atakujący. Ocena ważności jest oparta na potencjalnym wpływie wykorzystania luki w zabezpieczeniach na urządzeniu, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby programowania lub że zostały pomyślnie omijane.
Nie otrzymaliśmy żadnych zgłoszeń o aktywnej próbie wykorzystania przez klientów tych nowo zgłoszonych problemów. Więcej informacji o środkach zaradczych znajdziesz w sekcji Ochrona platformy Androida oraz o ochronie usług, takich jak SafetyNet, które zwiększają bezpieczeństwo platformy Android. Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Złagodzenia
Oto podsumowanie metod ograniczania zagrożeń oferowanych przez platformę bezpieczeństwa Androida oraz zabezpieczenia usług, takie jak SafetyNet. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach mogą zostać wykorzystane na Androidzie.
- Wykorzystanie wielu luk w Androidzie jest utrudnione dzięki ulepszeniom w nowszych wersjach platformy. Zachęcamy wszystkich użytkowników do zaktualizowania systemu do najnowszej wersji Androida, o ile to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą narzędzia Verify Apps i SafetyNet, które ostrzegają przed instalowaniem potencjalnie szkodliwych aplikacji. W Google Play nie można publikować narzędzi do rootowania urządzeń. Aby chronić użytkowników, którzy instalują aplikacje spoza Google Play, weryfikacja aplikacji jest domyślnie włączona i ostrzega użytkowników o znanych aplikacjach do rootowania. Verify Apps próbuje wykrywać i blokować instalację znanych złośliwych aplikacji, które wykorzystują lukę w zabezpieczeniach umożliwiającą podniesienie uprawnień. Jeśli taka aplikacja jest już zainstalowana, Verify Apps powiadomi użytkownika i spróbuje ją usunąć.
- W odpowiednich przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak mediaserver.
Podziękowania
Dziękujemy zaangażowanym w to badanie naukowcom:
- Zespół ds. bezpieczeństwa Androida i Chrome: CVE-2016-0809, CVE-2016-0810
- Zespół Broadgate: CVE-2016-0801, CVE-2015-0802
- Chiachih Wu (@chiachih_wu), Mingjian Zhou (@Mingjian_Zhou) i Xuxian Jiang z zespołu C0RE w Qihoo 360: CVE-2016-0804
- David Riley z zespołu Google Pixel C: CVE-2016-0812
- Gengjia Chen (@chengjia4574) of Lab IceSword, Qihoo 360: CVE-2016-0805
- Qidan He (@Flanker_hqd) z KeenLab (@keen_lab), Tencent: CVE-2016-0811
- Seven Shen (@lingtongshen) z Trend Micro (www.trendmicro.com): CVE-2016-0803
- Weichao Sun (@sunblate) z Alibaba Inc.: CVE-2016-0808
- Zach Riggle (@ebeip90) z zespołu ds. bezpieczeństwa Androida: CVE-2016-0807
Szczegóły luki w zabezpieczeniach
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 2016-02-01. Zawiera opis problemu, uzasadnienie dotyczące jego wagi oraz tabelę z identyfikatorem CVE, powiązanym błędem, wagą, wersjami, których dotyczy problem, oraz datą zgłoszenia. Jeśli to możliwe, połączymy identyfikator błędu z commitem AOSP, który rozwiązał problem. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia do AOSP są połączone z numerami po identyfikatorze błędu.
W sterowniku Wi-Fi Broadcom wykryto podatność na zdalne wykonanie kodu
Wiele luk w zabezpieczeniach umożliwiających zdalne uruchomienie w sterowniku Wi-Fi Broadcom może umożliwić atakującemu zdalnemu użycie specjalnie spreparowanych pakietów wiadomości sterujących bezprzewodowych w celu uszkodzenia pamięci jądra w sposób umożliwiający zdalne uruchomienie kodu w kontekście jądra. Te luki w zabezpieczeniach mogą zostać wykorzystane, gdy atakujący i ofiara są powiązani z tą samą siecią. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonywania kodu w kontekście jądra bez udziału użytkownika.
| CVE | Robaki | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0801 | ANDROID-25662029 ANDROID-25662233 |
Krytyczny | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 25 października 2015 r. |
| CVE-2016-0802 | ANDROID-25306181 | Krytyczny | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 26 października 2015 r. |
Luka w zabezpieczeniach umożliwiająca zdalne wykonywanie kodu w usłudze Mediaserver
Podczas przetwarzania pliku multimedialnego i danych w specjalnie spreparowanym pliku luka w zabezpieczeniach w mediaserver może umożliwić osobie przeprowadzającej atak uszkodzenie pamięci i zdalne uruchomienie kodu w ramach procesu mediaserver.
Dotyczy to funkcji, które są częścią systemu operacyjnego, a wiele aplikacji umożliwia ich obsługę z dalsza, zwłaszcza MMS-y i odtwarzanie multimediów w przeglądarce.
Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonywania kodu w kontekście usługi mediaserver. Usługa mediaserver ma dostęp do strumieni audio i wideo, a także do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.
| CVE | Błędy związane z linkami AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0803 | ANDROID-25812794 | Krytyczny | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 19 listopada 2015 r. |
| CVE-2016-0804 | ANDROID-25070434 | Krytyczny | 5.0, 5.1.1, 6.0, 6.0.1 | 12 października 2015 r. |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w module wydajności Qualcomm
Luka w zabezpieczeniach związana z podniesieniem uprawnień w komponencie Menedżera zdarzeń związanych z wydajnością dla procesorów ARM firmy Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w rdzeniu. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego zaatakowania urządzenia na poziomie lokalnym. Możliwe, że konieczna będzie naprawa urządzenia przez ponowne wgranie systemu operacyjnego.
| CVE | Błąd | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0805 | ANDROID-25773204* | Krytyczny | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 15 listopada 2015 r. |
* Ta poprawka nie jest dostępna w AOSP. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus, które można pobrać na stronie dla deweloperów Google.
Luka w zabezpieczeniach związana z podniesieniem uprawnień w sterowniku Wi-Fi Qualcomm
W sterowniku Wi-Fi Qualcomm występuje luka, która może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego naruszenia bezpieczeństwa urządzenia na poziomie lokalnym. Możliwe, że konieczna będzie naprawa urządzenia przez ponowne zaflashowanie systemu operacyjnego.
| CVE | Błąd | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0806 | ANDROID-25344453* | Krytyczny | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 15 listopada 2015 r. |
* Ta poprawka nie jest dostępna w AOSP. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus, które można pobrać na stronie dla deweloperów Google.
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w Debuggerd
Luka w zabezpieczeniach polegająca na podwyższaniu uprawnień w komponencie Debuggerd może umożliwić lokalnej złośliwej aplikacji uruchomienie dowolnego kodu w kontekście roota urządzenia. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego naruszenia bezpieczeństwa urządzenia na poziomie lokalnym. Możliwe, że konieczna będzie naprawa urządzenia przez ponowne zaflashowanie systemu operacyjnego.
| CVE | Błąd w linku do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0807 | ANDROID-25187394 | Krytyczny | 6.0 i 6.0.1 | Google - wewnętrzny |
Atak typu DoS w Minikin
Usługa Minikin zawierała podatność na odmowę usługi, która mogłaby umożliwić lokalnemu atakującemu tymczasowe zablokowanie dostępu do urządzenia. Atakujący może spowodować załadowanie nieznanego fontu i wywołać przepełnienie w komponencie Minikin, co spowoduje awarię. Problem ma wysoki priorytet, ponieważ odmowa usługi prowadzi do ciągłego restartowania.
| CVE | Błąd w linku do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0808 | ANDROID-25645298 | Wysoki | 5.0, 5.1.1, 6.0, 6.0.1 | 3 listopada 2015 r. |
Luki w zabezpieczeniach umożliwiające podniesienie uprawnień w sieci Wi-Fi
Luka w zabezpieczeniach w komponencie Wi-Fi może umożliwić lokalnej złośliwej aplikacji uruchomienie dowolnego kodu w kontekście systemu. Urządzenie jest narażone na ten problem tylko w sytuacji, gdy znajduje się w pobliżu. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do zdalnego uzyskiwania „normalnych” uprawnień. Zazwyczaj te uprawnienia są dostępne tylko dla aplikacji innych firm zainstalowanych lokalnie.
| CVE | Błąd w linku do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0809 | ANDROID-25753768 | Wysoki | 6.0, 6.0.1 | Google - wewnętrzny |
Luka w zabezpieczeniach typu podniesienie uprawnień w Mediaserver
Podatność w mediaserverze umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście podniesionej aplikacji systemowej. Ten problem ma wysoki priorytet, ponieważ może umożliwiać uzyskanie rozszerzonych uprawnień, takich jak Signature czy SignatureOrSystem, które są niedostępne dla aplikacji innych firm.
| CVE | Błąd w linku do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0810 | ANDROID-25781119 | Wysoki | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | Google - wewnętrzny |
Luka w zabezpieczeniach w libmediaplayerservice, która powoduje ujawnienie informacji
Użytkownikom, którzy mają dostęp do libmediaplayerservice, może udać się obejść środki zabezpieczeń, co utrudnia atakującym wykorzystanie platformy. Te problemy zostały ocenione jako poważne, ponieważ mogą być wykorzystywane do uzyskiwania podwyższonych uprawnień, takich jak Signature czy SignatureOrSystem, które nie są dostępne dla aplikacji innych firm.
| CVE | Błąd w linku do AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0811 | ANDROID-25800375 | Wysoki | 6.0, 6.0.1 | 16 listopada 2015 r. |
Luki w zabezpieczeniach związane z podniesieniem uprawnień w kreatorze konfiguracji
W kreatorze konfiguracji wykryto lukę, która może umożliwić złośliwemu atakującemu obejście ochrony przed przywracaniem ustawień fabrycznych i uzyskanie dostępu do urządzenia. Problem został oceniony jako umiarkowany, ponieważ może umożliwić osobie z dostępem fizycznym do urządzenia obejście ochrony przed przywróceniem do ustawień fabrycznych, co pozwoli atakującemu przywrócić urządzenie do ustawień fabrycznych i usunąć wszystkie dane.
| CVE | Błędy związane z linkami AOSP | Poziom | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0812 | ANDROID-25229538 | Umiarkowana | 5.1.1, 6.0 | Google - wewnętrzny |
| CVE-2016-0813 | ANDROID-25476219 | Umiarkowana | 5.1.1, 6.0, 6.0.1 | Google - wewnętrzny |
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy można rozwiązać te problemy?
Te problemy zostały rozwiązane w wersjach LMY49G lub nowszych oraz w Androidzie 6.0 z poziomem poprawek zabezpieczeń z 1 lutego 2016 r. lub nowszym. Instrukcje sprawdzania poziomu zabezpieczeń znajdziesz w dokumentacji Nexusa. Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić poziom ciągu poprawki na: [ro.build.version.security_patch]:[2016-02-01]
Wersje
- 1 lutego 2016 r.: opublikowano biuletyn.
- 2 lutego 2016 r.: w powiadomieniu uwzględniono linki do AOSP.
- 7 marca 2016 r.: w powiadomieniu uwzględniono dodatkowe linki do AOSP.