Опубликовано 7 марта 2016 г. | Обновлено 8 марта 2016 г.
Мы выпустили обновление безопасности для устройств Nexus посредством беспроводного обновления (OTA) в рамках ежемесячного выпуска бюллетеня по безопасности Android. Образы прошивки Nexus также были размещены на сайте разработчиков Google . Сборки LMY49H или более поздней версии и Android M с уровнем исправления безопасности от 1 марта 2016 г. или более поздней версии устраняют эти проблемы. Инструкции по проверке уровня исправлений безопасности см. в документации Nexus .
Партнеры были уведомлены о проблемах, описанных в бюллетене, 1 февраля 2016 г. или ранее. Там, где это применимо, исправления исходного кода для этих проблем были выпущены в репозиторий Android Open Source Project (AOSP).
Наиболее серьезной из этих проблем является критическая уязвимость безопасности, которая может сделать возможным удаленное выполнение кода на уязвимом устройстве с помощью нескольких методов, таких как электронная почта, просмотр веб-страниц и MMS при обработке мультимедийных файлов. Оценка серьезности основана на влиянии, которое эксплуатация уязвимости может оказать на затронутое устройство, при условии, что средства защиты платформы и службы отключены в целях разработки или в случае успешного обхода.
У нас не было сообщений об активном использовании клиентами этих новых проблем. Подробную информацию о средствах защиты платформы безопасности Android и службах защиты, таких как SafetyNet, которые повышают безопасность платформы Android, можно найти в разделе «Средства снижения риска». Мы рекомендуем всем клиентам принять эти обновления на свои устройства.
Смягчения
Это краткий обзор мер, обеспечиваемых платформой безопасности Android и средствами защиты служб, такими как SafetyNet. Эти возможности снижают вероятность успешного использования уязвимостей безопасности на Android.
- Использование многих проблем на Android усложняется из-за усовершенствований в новых версиях платформы Android. Мы рекомендуем всем пользователям по возможности обновиться до последней версии Android.
- Команда безопасности Android активно отслеживает злоупотребления с помощью Verify Apps и SafetyNet, которые предупреждают о потенциально вредоносных приложениях, которые могут быть установлены. Инструменты рутирования устройств запрещены в Google Play. Чтобы защитить пользователей, которые устанавливают приложения из-за пределов Google Play, функция Verify Apps включена по умолчанию и предупреждает пользователей об известных приложениях с root-доступом. Verify Apps пытается идентифицировать и заблокировать установку известных вредоносных приложений, использующих уязвимость повышения привилегий. Если такое приложение уже установлено, Verify Apps уведомит пользователя и попытается удалить все такие приложения.
- При необходимости приложения Google Hangouts и Messenger не передают мультимедиа автоматически в такие процессы, как медиасервер.
Благодарности
Мы хотели бы поблагодарить этих исследователей за их вклад:
- Абхишек Арья, Оливер Чанг и Мартин Барбелла из группы безопасности Google Chrome: CVE-2016-0815.
- Анестис Бехцудис ( @anestisb ) из CENSUS SA: CVE-2016-0816, CVE-2016-0824
- Чад Брубейкер из Android Security: CVE-2016-0818.
- Марк Брэнд из Google Project Zero: CVE-2016-0820.
- Минцзянь Чжоу ( @Mingjian_Zhou ), Чиачи Ву ( @chiachih_wu ) и Сюсянь Цзян из команды C0RE из Qihoo 360 : CVE-2016-0826
- Питер Пи ( @heisecode ) из Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829.
- Скотт Бауэр ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
- Виш Ву ( @wish_wu ) из Trend Micro Inc.: CVE-2016-0819.
- Юнчжэн Ву и Тиеян Ли из Huawei: CVE-2016-0831.
- Су Мон Киве и Инцзю Ли из Сингапурского университета менеджмента: CVE-2016-0831.
- Зак Риггл ( @ebeip90 ) из команды безопасности Android: CVE-2016-0821.
Подробности об уязвимостях безопасности
В разделах ниже мы приводим подробную информацию о каждой уязвимости безопасности, применимой к уровню исправления 2016-03-01. Приведено описание проблемы, обоснование серьезности и таблица с CVE, связанной ошибкой, серьезностью, затронутыми версиями и датой сообщения. Когда оно станет доступным, мы свяжем изменение AOSP, устраняющее проблему, с идентификатором ошибки. Если несколько изменений относятся к одной ошибке, дополнительные ссылки AOSP связаны с номерами, следующими за идентификатором ошибки.
Уязвимость удаленного выполнения кода на медиасервере
Во время обработки медиафайла и данных специально созданного файла уязвимости в медиасервере могут позволить злоумышленнику вызвать повреждение памяти и удаленное выполнение кода в качестве процесса медиасервера.
Затронутая функциональность предоставляется как основная часть операционной системы, и существует множество приложений, которые позволяют получить доступ к ней с помощью удаленного контента, в первую очередь MMS и воспроизведения мультимедиа в браузере.
Этой проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте службы медиасервера. Служба медиасервера имеет доступ к аудио- и видеопотокам, а также доступ к привилегиям, к которым сторонние приложения обычно не имеют доступа.
| CVE | Баги с AOSP-ссылками | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0815 | АНДРОИД-26365349 | Критический | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Внутренний Google |
| CVE-2016-0816 | АНДРОИД-25928803 | Критический | 6.0, 6.0.1 | Внутренний Google |
Уязвимости удаленного выполнения кода в libvpx
Во время обработки медиафайла и данных специально созданного файла уязвимости в медиасервере могут позволить злоумышленнику вызвать повреждение памяти и удаленное выполнение кода в качестве процесса медиасервера.
Затронутая функциональность предоставляется как основная часть операционной системы, и существует множество приложений, которые позволяют получить доступ к ней с помощью удаленного контента, в первую очередь MMS и воспроизведения мультимедиа в браузере.
Проблемам присвоен критический уровень серьезности, поскольку их можно использовать для удаленного выполнения кода в контексте службы медиасервера. Служба медиасервера имеет доступ к аудио- и видеопотокам, а также доступ к привилегиям, к которым сторонние приложения обычно не имеют доступа.
| CVE | Ошибка со ссылками AOSP. | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-1621 | АНДРОИД-23452792 [2] [3] | Критический | 4.4.4, 5.0.2, 5.1.1, 6.0 | Внутренний Google |
Повышение привилегий в Conscrypt
Уязвимость в Conscrypt может привести к ошибочному признанию доверия к определенному типу недействительного сертификата, выданного промежуточным центром сертификации (CA). Это может привести к атаке «человек посередине». Проблеме присвоен уровень критической серьезности из-за возможности несанкционированного повышения привилегий и удаленного выполнения произвольного кода.
| CVE | Ошибка со ссылками AOSP. | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0818 | АНДРОИД-26232830 [2] | Критический | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Внутренний Google |
Уязвимость повышения привилегий в компоненте производительности Qualcomm
Уязвимость, связанная с несанкционированным повышением привилегий в компоненте производительности Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в ядре. Этой проблеме присвоен критический уровень серьезности из-за возможности локального постоянного компрометации устройства, и исправить устройство можно только путем перепрошивки операционной системы.
| CVE | Ошибка | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0819 | АНДРОИД-25364034* | Критический | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 октября 2015 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Повышение привилегий через драйвер ядра Wi-Fi MediaTek
В драйвере ядра MediaTek Wi-Fi существует уязвимость, которая может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен уровень критической серьезности из-за возможности повышения привилегий и выполнения произвольного кода в контексте ядра.
| CVE | Ошибка | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0820 | АНДРОИД-26267358* | Критический | 6.0.1 | 18 декабря 2015 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость, связанная с повышением привилегий в компоненте ядра Keyring
Уязвимость, связанная с несанкционированным повышением привилегий в компоненте Kernel Keyring, может позволить локальному вредоносному приложению выполнить произвольный код внутри ядра. Этой проблеме присвоен критический уровень серьезности из-за возможности локального постоянного компрометации устройства, и потенциально устройство можно восстановить только путем перепрошивки операционной системы. Однако в версиях Android 5.0 и выше правила SELinux не позволяют сторонним приложениям достигать затронутого кода.
Примечание. Для справки: патч в AOSP доступен для определенных версий ядра: 4.1 , 3.18 , 3.14 и 3.10 .
| CVE | Ошибка | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0728 | АНДРОИД-26636379 | Критический | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 января 2016 г. |
Уязвимость обхода смягчения последствий в ядре
Уязвимость обхода в ядре может позволить обойти существующие меры безопасности, чтобы усложнить злоумышленникам эксплуатацию платформы. Этой проблеме присвоен высокий уровень серьезности, поскольку она может позволить обойти существующие меры безопасности, чтобы усложнить злоумышленникам использование платформы.
Примечание. Обновление для этой проблемы находится в исходной версии Linux .
| CVE | Ошибка | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0821 | АНДРОИД-26186802 | Высокий | 6.0.1 | Внутренний Google |
Повышение привилегий в драйвере ядра MediaTek Connectivity
В драйвере ядра подключения MediaTek существует уязвимость, связанная с повышением привилегий, которая может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Обычно подобная ошибка выполнения кода ядра оценивается как критическая, но поскольку она требует сначала взлома службы conn_launcher, это оправдывает понижение уровня серьезности до высокого.
| CVE | Ошибка | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0822 | АНДРОИД-25873324* | Высокий | 6.0.1 | 24 ноября 2015 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость раскрытия информации в ядре
Уязвимость раскрытия информации в ядре может позволить обойти существующие меры безопасности, чтобы усложнить злоумышленникам эксплуатацию платформы. Этим проблемам присвоен высокий уровень серьезности, поскольку они могут позволить локально обойти технологии защиты от эксплойтов, такие как ASLR, в привилегированном процессе.
Примечание. Исправление этой проблемы находится в исходной версии Linux .
| CVE | Ошибка | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0823 | АНДРОИД-25739721* | Высокий | 6.0.1 | Внутренний Google |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость раскрытия информации в libstagefright
Уязвимость раскрытия информации в libstagefright может позволить обойти существующие меры безопасности, чтобы усложнить злоумышленникам использование платформы. Этим проблемам присвоен высокий уровень серьезности, поскольку они также могут использоваться для получения расширенных возможностей, таких как привилегии разрешений Signature или SignatureOrSystem , которые недоступны сторонним приложениям.
| CVE | Ошибка со ссылкой AOSP. | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0824 | АНДРОИД-25765591 | Высокий | 6.0, 6.0.1 | 18 ноября 2015 г. |
Уязвимость раскрытия информации в Widevine
Уязвимость раскрытия информации в доверенном приложении Widevine может позволить коду, работающему в контексте ядра, получить доступ к информации в безопасном хранилище TrustZone. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения расширенных возможностей, таких как права подписи или разрешения SignatureOrSystem .
| CVE | Ошибка(и) | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0825 | АНДРОИД-20860039* | Высокий | 6.0.1 | Внутренний Google |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость повышения привилегий на медиасервере
Уязвимость, связанная с несанкционированным повышением привилегий в медиасервере, может позволить локальному вредоносному приложению выполнить произвольный код в контексте системного приложения с повышенными правами. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения расширенных возможностей, таких как права подписи или разрешения SignatureOrSystem , которые недоступны стороннему приложению.
| CVE | Баги с AOSP-ссылками | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0826 | АНДРОИД-26265403 [2] | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 декабря 2015 г. |
| CVE-2016-0827 | АНДРОИД-26347509 | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 декабря 2015 г. |
Уязвимость раскрытия информации в медиасервере
Уязвимость раскрытия информации в медиасервере может позволить обойти существующие меры безопасности, чтобы усложнить злоумышленникам использование платформы. Этим проблемам присвоен высокий уровень серьезности, поскольку они также могут использоваться для получения расширенных возможностей, таких как привилегии разрешений Signature или SignatureOrSystem , которые недоступны сторонним приложениям.
| CVE | Баги с AOSP-ссылками | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0828 | АНДРОИД-26338113 | Высокий | 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 декабря 2015 г. |
| CVE-2016-0829 | АНДРОИД-26338109 | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 декабря 2015 г. |
Уязвимость удаленного отказа в обслуживании в Bluetooth
Уязвимость удаленного отказа в обслуживании в компоненте Bluetooth может позволить злоумышленнику заблокировать доступ к уязвимому устройству. Злоумышленник может вызвать переполнение идентифицированных устройств Bluetooth в компоненте Bluetooth, что приведет к повреждению памяти и остановке службы. Это имеет высокий уровень серьезности, поскольку приводит к отказу в обслуживании службы Bluetooth, который потенциально можно исправить только с помощью перепрошивки устройства.
| CVE | Ошибка со ссылкой AOSP. | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0830 | АНДРОИД-26071376 | Высокий | 6.0, 6.0.1 | Внутренний Google |
Уязвимость раскрытия информации в телефонии
Уязвимость раскрытия информации в компоненте «Телефония» может позволить приложению получить доступ к конфиденциальной информации. Этой проблеме присвоен средний уровень серьезности, поскольку она может быть использована для неправомерного доступа к данным без разрешения.
| CVE | Ошибка со ссылкой AOSP. | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0831 | АНДРОИД-25778215 | Умеренный | 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 ноября 2015 г. |
Уязвимость, связанная с повышением привилегий в мастере установки
Уязвимость в мастере установки может позволить злоумышленнику, имевшему физический доступ к устройству, получить доступ к настройкам устройства и выполнить его сброс вручную. Этой проблеме присвоен средний уровень серьезности, поскольку она может быть использована для неправильного обхода защиты от сброса настроек.
| CVE | Ошибка(и) | Строгость | Обновленные версии | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-0832 | АНДРОИД-25955042* | Умеренный | 5.1.1, 6.0, 6.0.1 | Внутренний Google |
* Для этого обновления не предусмотрено исправление исходного кода.
Общие вопросы и ответы
В этом разделе рассматриваются ответы на распространенные вопросы, которые могут возникнуть после прочтения этого бюллетеня.
1. Как определить, обновлено ли мое устройство для устранения этих проблем?
Сборки LMY49H или более поздней версии и Android 6.0 с уровнем исправления безопасности от 1 марта 2016 г. или более поздней версии устраняют эти проблемы. Инструкции по проверке уровня исправлений безопасности см. в документации Nexus . Производители устройств, включающие эти обновления, должны установить уровень строки исправления: [ro.build.version.security_patch]:[2016-03-01]
Редакции
- 7 марта 2016 г.: Бюллетень опубликован.
- 8 марта 2016 г.: в бюллетень добавлены ссылки на AOSP.