Opublikowano 07 marca 2016 | Zaktualizowano 08 marca 2016 r.
Wydaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA) w ramach procesu comiesięcznego wydawania biuletynów dotyczących bezpieczeństwa Androida. Obrazy oprogramowania sprzętowego Nexusa zostały również udostępnione w witrynie Google Developer . Te problemy rozwiązują kompilacje LMY49H lub nowsze oraz Androida M z poprawką zabezpieczeń na poziomie z 1 marca 2016 r. lub nowszą. Zapoznaj się z dokumentacją Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń.
Partnerzy zostali powiadomieni o problemach opisanych w biuletynie 1 lutego 2016 r. lub wcześniej. W stosownych przypadkach w repozytorium Android Open Source Project (AOSP) udostępniono poprawki kodu źródłowego dla tych problemów.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która podczas przetwarzania plików multimedialnych może umożliwić zdalne wykonanie kodu na zaatakowanym urządzeniu za pomocą wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS. Ocena dotkliwości opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy, przy założeniu, że platforma i usługi ograniczania zagrożeń są wyłączone w celach programistycznych lub pomyślnie ominięte.
Nie mamy doniesień o aktywnym wykorzystywaniu przez klientów tych nowo zgłoszonych problemów. Zapoznaj się z sekcją Ograniczenia , aby uzyskać szczegółowe informacje na temat zabezpieczeń platformy Android i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android. Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Łagodzenia
To jest podsumowanie środków łagodzących zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Te możliwości zmniejszają prawdopodobieństwo pomyślnego wykorzystania luk w zabezpieczeniach w systemie Android.
- Wykorzystanie wielu problemów w systemie Android jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do aktualizacji do najnowszej wersji Androida tam, gdzie to możliwe.
- Zespół Android Security aktywnie monitoruje pod kątem nadużyć za pomocą funkcji Verify Apps i SafetyNet, które będą ostrzegać o potencjalnie szkodliwych aplikacjach, które mają zostać zainstalowane. Narzędzia do rootowania urządzeń są zabronione w Google Play. Aby chronić użytkowników, którzy instalują aplikacje spoza Google Play, Weryfikacja aplikacji jest domyślnie włączona i będzie ostrzegać użytkowników o znanych aplikacjach do rootowania. Usługa Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji, które wykorzystują lukę umożliwiającą eskalację uprawnień. Jeśli taka aplikacja została już zainstalowana, Weryfikacja aplikacji powiadomi użytkownika i spróbuje usunąć takie aplikacje.
- W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak mediaserver.
Podziękowanie
Chcielibyśmy podziękować tym badaczom za ich wkład:
- Abhishek Arya, Oliver Chang i Martin Barbella z zespołu ds. bezpieczeństwa przeglądarki Google Chrome: CVE-2016-0815
- Anestis Bechtsoudis ( @anestisb ) z CENSUS SA: CVE-2016-0816, CVE-2016-0824
- Chad Brubaker z Android Security: CVE-2016-0818
- Oznacz markę Google Project Zero: CVE-2016-0820
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE z Qihoo 360 : CVE-2016-0826
- Peter Pi ( @heisecode ) z firmy Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
- Scott Bauer ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
- Życzę Wu ( @wish_wu ) firmy Trend Micro Inc.: CVE-2016-0819
- Yongzheng Wu i Tieyan Li z Huawei: CVE-2016-0831
- Su Mon Kywe i Yingjiu Li z Singapore Management University: CVE-2016-0831
- Zach Riggle ( @ebeip90 ) z zespołu ds. bezpieczeństwa systemu Android: CVE-2016-0821
Szczegóły luki w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje o każdej z luk w zabezpieczeniach, które mają zastosowanie do poziomu poprawki 2016-03-01. Dostępny jest opis problemu, uzasadnienie jego ważności oraz tabela z CVE, powiązanym błędem, ważnością, wersjami, których dotyczy problem, oraz datą zgłoszenia. Gdy będzie to możliwe, połączymy zmianę AOSP, która rozwiązała problem, z identyfikatorem błędu. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odniesienia AOSP są powiązane z liczbami następującymi po identyfikatorze błędu.
Luka umożliwiająca zdalne wykonanie kodu w Mediaserver
Podczas przetwarzania pliku multimedialnego i danych w specjalnie spreparowanym pliku luki w serwerze multimediów mogą umożliwić osobie atakującej uszkodzenie pamięci i zdalne wykonanie kodu jako procesu serwera multimediów.
Zakłócona funkcja jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności MMS i odtwarzanie multimediów w przeglądarce.
Ten problem jest oceniany jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście usługi mediaserver. Usługa mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie miałyby dostępu aplikacje innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0815 | ANDROID-26365349 | Krytyczny | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Wewnętrzne Google |
| CVE-2016-0816 | ANDROID-25928803 | Krytyczny | 6.0, 6.0.1 | Wewnętrzne Google |
Luki w zabezpieczeniach zdalnego wykonania kodu w libvpx
Podczas przetwarzania pliku multimedialnego i danych w specjalnie spreparowanym pliku luki w serwerze multimediów mogą umożliwić osobie atakującej uszkodzenie pamięci i zdalne wykonanie kodu jako procesu serwera multimediów.
Zakłócona funkcja jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności MMS i odtwarzanie multimediów w przeglądarce.
Problemy są oceniane jako ważność krytyczna, ponieważ można je wykorzystać do zdalnego wykonania kodu w kontekście usługi mediaserver. Usługa mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie mają dostępu aplikacje innych firm.
| CVE | Błąd z linkami AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-1621 | ANDROID-23452792 [2] [3] | Krytyczny | 4.4.4, 5.0.2, 5.1.1, 6.0 | Wewnętrzne Google |
Podniesienie przywileju w Conscrypt
Luka w Conscrypt może pozwolić na niewłaściwe zaufanie do określonego typu nieprawidłowego certyfikatu, wydanego przez pośredni urząd certyfikacji (CA). Może to umożliwić atak typu man-in-the-middle. Ten problem jest oceniany jako krytyczny ze względu na możliwość podniesienia uprawnień i zdalnego wykonania dowolnego kodu.
| CVE | Błąd z linkami AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0818 | ANDROID-26232830 [2] | Krytyczny | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Wewnętrzne Google |
Podwyższenie luki związanej z uprawnieniami w komponencie wydajności Qualcomm
Luka umożliwiająca podniesienie uprawnień w składniku wydajności Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w jądrze. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego naruszenia bezpieczeństwa urządzenia, a urządzenie można naprawić tylko przez ponowne załadowanie systemu operacyjnego.
| CVE | Błąd | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0819 | ANDROID-25364034* | Krytyczny | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 paź 2015 |
* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka w zabezpieczeniach uprawnień w sterowniku jądra MediaTek Wi-Fi
W sterowniku jądra MediaTek Wi-Fi istnieje luka, która może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość podniesienia uprawnień i wykonania dowolnego kodu w kontekście jądra.
| CVE | Błąd | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0820 | ANDROID-26267358* | Krytyczny | 6.0.1 | 18 grudnia 2015 |
* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka w zabezpieczeniach uprawnień w komponencie pęku kluczy jądra
Luka umożliwiająca podniesienie uprawnień w komponencie Kernel Keyring może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w jądrze. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego, trwałego złamania zabezpieczeń urządzenia, które potencjalnie może zostać naprawione tylko przez ponowne wgranie systemu operacyjnego. Jednak w systemie Android w wersji 5.0 i nowszych reguły SELinux uniemożliwiają aplikacjom innych firm dostęp do kodu, którego dotyczy problem.
Uwaga: Dla porównania, łatka w AOSP jest dostępna dla określonych wersji jądra: 4.1 , 3.18 , 3.14 i 3.10 .
| CVE | Błąd | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0728 | ANDROID-26636379 | Krytyczny | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 stycznia 2016 |
Podatność na obejście łagodzące w jądrze
Luka łagodząca w jądrze umożliwiająca obejście zabezpieczeń może pozwolić na obejście środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę. Ten problem jest oceniany jako wysoki, ponieważ może pozwolić na obejście stosowanych środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę.
Uwaga: aktualizacja dotycząca tego problemu znajduje się w nadrzędnym systemie Linux .
| CVE | Błąd | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0821 | ANDROID-26186802 | Wysoki | 6.0.1 | Wewnętrzne Google |
Podniesienie uprawnień w sterowniku jądra MediaTek Connectivity
W sterowniku jądra łączności MediaTek występuje luka umożliwiająca podniesienie uprawnień, która może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Zwykle taki błąd wykonania kodu jądra zostałby oceniony jako krytyczny, ale ponieważ wymaga on uprzedniego naruszenia usługi conn_launcher, uzasadnia obniżenie poziomu ważności do wysokiego poziomu ważności.
| CVE | Błąd | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0822 | ANDROID-25873324* | Wysoki | 6.0.1 | 24 listopada 2015 |
* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w jądrze
Luka umożliwiająca ujawnienie informacji w jądrze może pozwolić na obejście stosowanych środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę. Problemy te mają wysoką wagę, ponieważ mogą umożliwić lokalne obejście technologii ograniczania zagrożeń, takich jak ASLR, w procesie uprzywilejowanym.
Uwaga: rozwiązanie tego problemu znajduje się w nadrzędnym systemie Linux .
| CVE | Błąd | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0823 | ANDROID-25739721* | Wysoki | 6.0.1 | Wewnętrzne Google |
* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w libstagefright
Luka umożliwiająca ujawnienie informacji w libstagefright może pozwolić na ominięcie stosowanych środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę. Te problemy są oceniane jako wysoki poziom ważności, ponieważ mogą być również używane do uzyskiwania podwyższonych możliwości, takich jak uprawnienia uprawnień podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.
| CVE | Błąd z linkiem AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0824 | ANDROID-25765591 | Wysoki | 6.0, 6.0.1 | 18 listopada 2015 r. |
Luka w zabezpieczeniach ujawniania informacji w Widevine
Luka umożliwiająca ujawnienie informacji w aplikacji Widevine Trusted może umożliwić kodowi działającemu w kontekście jądra uzyskanie dostępu do informacji w bezpiecznym magazynie TrustZone. Ten problem ma wysoki poziom ważności, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu.
| CVE | Błędy) | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0825 | ANDROID-20860039* | Wysoki | 6.0.1 | Wewnętrzne Google |
* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższenie luki w uprawnieniach w Mediaserver
Luka umożliwiająca podniesienie uprawnień w serwerze mediów może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem ma wysoki poziom ważności, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0826 | ANDROID-26265403 [2] | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 grudnia 2015 |
| CVE-2016-0827 | ANDROID-26347509 | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 grudnia 2015 |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w Mediaserver
Luka umożliwiająca ujawnienie informacji w mediaserver może pozwolić na obejście stosowanych środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę. Te problemy są oceniane jako wysoki poziom ważności, ponieważ mogą być również używane do uzyskiwania podwyższonych możliwości, takich jak uprawnienia uprawnień podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy z linkami AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0828 | ANDROID-26338113 | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 grudnia 2015 |
| CVE-2016-0829 | ANDROID-26338109 | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 grudnia 2015 |
Luka w zabezpieczeniach zdalnego odmowy usługi w Bluetooth
Luka umożliwiająca zdalną odmowę usługi w komponencie Bluetooth może umożliwić atakującemu zablokowanie dostępu do urządzenia, którego dotyczy problem. Osoba atakująca może spowodować przepełnienie zidentyfikowanych urządzeń Bluetooth w komponencie Bluetooth, co prowadzi do uszkodzenia pamięci i zatrzymania usługi. Jest to oceniane jako wysoki poziom ważności, ponieważ prowadzi do odmowy usługi w usłudze Bluetooth, co potencjalnie można naprawić tylko za pomocą flashowania urządzenia.
| CVE | Błąd z linkiem AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0830 | ANDROID-26071376 | Wysoki | 6.0, 6.0.1 | Wewnętrzne Google |
Luka w ujawnieniu informacji w telefonii
Luka umożliwiająca ujawnienie informacji w komponencie Telefonia może umożliwić aplikacji dostęp do poufnych informacji. Ten problem jest oceniany jako umiarkowana istotność, ponieważ może być używany do nieprawidłowego dostępu do danych bez pozwolenia.
| CVE | Błąd z linkiem AOSP | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0831 | ANDROID-25778215 | Umiarkowany | 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 listopada 2015 r. |
Podniesienie poziomu luki w uprawnieniach w kreatorze konfiguracji
Luka w Kreatorze konfiguracji może umożliwić osobie atakującej, która miała fizyczny dostęp do urządzenia, uzyskanie dostępu do ustawień urządzenia i ręczne zresetowanie urządzenia. Ten problem jest oceniany jako umiarkowana istotność, ponieważ może być używany do nieprawidłowego obejścia ochrony przywracania ustawień fabrycznych.
| CVE | Błędy) | Surowość | Zaktualizowane wersje | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0832 | ANDROID-25955042* | Umiarkowany | 5.1.1, 6.0, 6.0.1 | Wewnętrzne Google |
* Ta aktualizacja nie zawiera poprawki kodu źródłowego.
Często zadawane pytania i odpowiedzi
W tej sekcji przedstawiono odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?
Kompilacje LMY49H lub nowsze i Androida 6.0 z poprawką zabezpieczeń na poziomie 1 marca 2016 lub nowszą rozwiązują te problemy. Zapoznaj się z dokumentacją Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń. Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[2016-03-01]
Rewizje
- 07 marca 2016: Biuletyn opublikowany.
- 08 marca 2016 r.: Biuletyn zaktualizowany w celu uwzględnienia łączy AOSP.