Biuletyn bezpieczeństwa Nexusa – marzec 2016

Opublikowano 07 marca 2016 | Zaktualizowano 08 marca 2016 r.

Wydaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA) w ramach procesu comiesięcznego wydawania biuletynów dotyczących bezpieczeństwa Androida. Obrazy oprogramowania sprzętowego Nexusa zostały również udostępnione w witrynie Google Developer . Te problemy rozwiązują kompilacje LMY49H lub nowsze oraz Androida M z poprawką zabezpieczeń na poziomie z 1 marca 2016 r. lub nowszą. Zapoznaj się z dokumentacją Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń.

Partnerzy zostali powiadomieni o problemach opisanych w biuletynie 1 lutego 2016 r. lub wcześniej. W stosownych przypadkach w repozytorium Android Open Source Project (AOSP) udostępniono poprawki kodu źródłowego dla tych problemów.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która podczas przetwarzania plików multimedialnych może umożliwić zdalne wykonanie kodu na zaatakowanym urządzeniu za pomocą wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS. Ocena dotkliwości opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy, przy założeniu, że platforma i usługi ograniczania zagrożeń są wyłączone w celach programistycznych lub pomyślnie ominięte.

Nie mamy doniesień o aktywnym wykorzystywaniu przez klientów tych nowo zgłoszonych problemów. Zapoznaj się z sekcją Ograniczenia , aby uzyskać szczegółowe informacje na temat zabezpieczeń platformy Android i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android. Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Łagodzenia

To jest podsumowanie środków łagodzących zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Te możliwości zmniejszają prawdopodobieństwo pomyślnego wykorzystania luk w zabezpieczeniach w systemie Android.

  • Wykorzystanie wielu problemów w systemie Android jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do aktualizacji do najnowszej wersji Androida tam, gdzie to możliwe.
  • Zespół Android Security aktywnie monitoruje pod kątem nadużyć za pomocą funkcji Verify Apps i SafetyNet, które będą ostrzegać o potencjalnie szkodliwych aplikacjach, które mają zostać zainstalowane. Narzędzia do rootowania urządzeń są zabronione w Google Play. Aby chronić użytkowników, którzy instalują aplikacje spoza Google Play, Weryfikacja aplikacji jest domyślnie włączona i będzie ostrzegać użytkowników o znanych aplikacjach do rootowania. Usługa Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji, które wykorzystują lukę umożliwiającą eskalację uprawnień. Jeśli taka aplikacja została już zainstalowana, Weryfikacja aplikacji powiadomi użytkownika i spróbuje usunąć takie aplikacje.
  • W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak mediaserver.

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

  • Abhishek Arya, Oliver Chang i Martin Barbella z zespołu ds. bezpieczeństwa przeglądarki Google Chrome: CVE-2016-0815
  • Anestis Bechtsoudis ( @anestisb ) z CENSUS SA: CVE-2016-0816, CVE-2016-0824
  • Chad Brubaker z Android Security: CVE-2016-0818
  • Oznacz markę Google Project Zero: CVE-2016-0820
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE z Qihoo 360 : CVE-2016-0826
  • Peter Pi ( @heisecode ) z firmy Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
  • Scott Bauer ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
  • Życzę Wu ( @wish_wu ) firmy Trend Micro Inc.: CVE-2016-0819
  • Yongzheng Wu i Tieyan Li z Huawei: CVE-2016-0831
  • Su Mon Kywe i Yingjiu Li z Singapore Management University: CVE-2016-0831
  • Zach Riggle ( @ebeip90 ) z zespołu ds. bezpieczeństwa systemu Android: CVE-2016-0821

Szczegóły luki w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje o każdej z luk w zabezpieczeniach, które mają zastosowanie do poziomu poprawki 2016-03-01. Dostępny jest opis problemu, uzasadnienie jego ważności oraz tabela z CVE, powiązanym błędem, ważnością, wersjami, których dotyczy problem, oraz datą zgłoszenia. Gdy będzie to możliwe, połączymy zmianę AOSP, która rozwiązała problem, z identyfikatorem błędu. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odniesienia AOSP są powiązane z liczbami następującymi po identyfikatorze błędu.

Luka umożliwiająca zdalne wykonanie kodu w Mediaserver

Podczas przetwarzania pliku multimedialnego i danych w specjalnie spreparowanym pliku luki w serwerze multimediów mogą umożliwić osobie atakującej uszkodzenie pamięci i zdalne wykonanie kodu jako procesu serwera multimediów.

Zakłócona funkcja jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności MMS i odtwarzanie multimediów w przeglądarce.

Ten problem jest oceniany jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście usługi mediaserver. Usługa mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie miałyby dostępu aplikacje innych firm.

CVE Błędy z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0815 ANDROID-26365349 Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google
CVE-2016-0816 ANDROID-25928803 Krytyczny 6.0, 6.0.1 Wewnętrzne Google

Luki w zabezpieczeniach zdalnego wykonania kodu w libvpx

Podczas przetwarzania pliku multimedialnego i danych w specjalnie spreparowanym pliku luki w serwerze multimediów mogą umożliwić osobie atakującej uszkodzenie pamięci i zdalne wykonanie kodu jako procesu serwera multimediów.

Zakłócona funkcja jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności MMS i odtwarzanie multimediów w przeglądarce.

Problemy są oceniane jako ważność krytyczna, ponieważ można je wykorzystać do zdalnego wykonania kodu w kontekście usługi mediaserver. Usługa mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie mają dostępu aplikacje innych firm.

CVE Błąd z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-1621 ANDROID-23452792 [2] [3] Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0 Wewnętrzne Google

Podniesienie przywileju w Conscrypt

Luka w Conscrypt może pozwolić na niewłaściwe zaufanie do określonego typu nieprawidłowego certyfikatu, wydanego przez pośredni urząd certyfikacji (CA). Może to umożliwić atak typu man-in-the-middle. Ten problem jest oceniany jako krytyczny ze względu na możliwość podniesienia uprawnień i zdalnego wykonania dowolnego kodu.

CVE Błąd z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0818 ANDROID-26232830 [2] Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

Podwyższenie luki związanej z uprawnieniami w komponencie wydajności Qualcomm

Luka umożliwiająca podniesienie uprawnień w składniku wydajności Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w jądrze. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego naruszenia bezpieczeństwa urządzenia, a urządzenie można naprawić tylko przez ponowne załadowanie systemu operacyjnego.

CVE Błąd Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0819 ANDROID-25364034* Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 paź 2015

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka w zabezpieczeniach uprawnień w sterowniku jądra MediaTek Wi-Fi

W sterowniku jądra MediaTek Wi-Fi istnieje luka, która może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość podniesienia uprawnień i wykonania dowolnego kodu w kontekście jądra.

CVE Błąd Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0820 ANDROID-26267358* Krytyczny 6.0.1 18 grudnia 2015

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka w zabezpieczeniach uprawnień w komponencie pęku kluczy jądra

Luka umożliwiająca podniesienie uprawnień w komponencie Kernel Keyring może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w jądrze. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego, trwałego złamania zabezpieczeń urządzenia, które potencjalnie może zostać naprawione tylko przez ponowne wgranie systemu operacyjnego. Jednak w systemie Android w wersji 5.0 i nowszych reguły SELinux uniemożliwiają aplikacjom innych firm dostęp do kodu, którego dotyczy problem.

Uwaga: Dla porównania, łatka w AOSP jest dostępna dla określonych wersji jądra: 4.1 , 3.18 , 3.14 i 3.10 .

CVE Błąd Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0728 ANDROID-26636379 Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 stycznia 2016

Podatność na obejście łagodzące w jądrze

Luka łagodząca w jądrze umożliwiająca obejście zabezpieczeń może pozwolić na obejście środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę. Ten problem jest oceniany jako wysoki, ponieważ może pozwolić na obejście stosowanych środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę.

Uwaga: aktualizacja dotycząca tego problemu znajduje się w nadrzędnym systemie Linux .

CVE Błąd Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0821 ANDROID-26186802 Wysoki 6.0.1 Wewnętrzne Google

Podniesienie uprawnień w sterowniku jądra MediaTek Connectivity

W sterowniku jądra łączności MediaTek występuje luka umożliwiająca podniesienie uprawnień, która może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Zwykle taki błąd wykonania kodu jądra zostałby oceniony jako krytyczny, ale ponieważ wymaga on uprzedniego naruszenia usługi conn_launcher, uzasadnia obniżenie poziomu ważności do wysokiego poziomu ważności.

CVE Błąd Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0822 ANDROID-25873324* Wysoki 6.0.1 24 listopada 2015

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w jądrze

Luka umożliwiająca ujawnienie informacji w jądrze może pozwolić na obejście stosowanych środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę. Problemy te mają wysoką wagę, ponieważ mogą umożliwić lokalne obejście technologii ograniczania zagrożeń, takich jak ASLR, w procesie uprzywilejowanym.

Uwaga: rozwiązanie tego problemu znajduje się w nadrzędnym systemie Linux .

CVE Błąd Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0823 ANDROID-25739721* Wysoki 6.0.1 Wewnętrzne Google

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w libstagefright

Luka umożliwiająca ujawnienie informacji w libstagefright może pozwolić na ominięcie stosowanych środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę. Te problemy są oceniane jako wysoki poziom ważności, ponieważ mogą być również używane do uzyskiwania podwyższonych możliwości, takich jak uprawnienia uprawnień podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.

CVE Błąd z linkiem AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0824 ANDROID-25765591 Wysoki 6.0, 6.0.1 18 listopada 2015 r.

Luka w zabezpieczeniach ujawniania informacji w Widevine

Luka umożliwiająca ujawnienie informacji w aplikacji Widevine Trusted może umożliwić kodowi działającemu w kontekście jądra uzyskanie dostępu do informacji w bezpiecznym magazynie TrustZone. Ten problem ma wysoki poziom ważności, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu.

CVE Błędy) Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0825 ANDROID-20860039* Wysoki 6.0.1 Wewnętrzne Google

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższenie luki w uprawnieniach w Mediaserver

Luka umożliwiająca podniesienie uprawnień w serwerze mediów może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem ma wysoki poziom ważności, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.

CVE Błędy z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0826 ANDROID-26265403 [2] Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 grudnia 2015
CVE-2016-0827 ANDROID-26347509 Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 grudnia 2015

Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w Mediaserver

Luka umożliwiająca ujawnienie informacji w mediaserver może pozwolić na obejście stosowanych środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę. Te problemy są oceniane jako wysoki poziom ważności, ponieważ mogą być również używane do uzyskiwania podwyższonych możliwości, takich jak uprawnienia uprawnień podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.

CVE Błędy z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0828 ANDROID-26338113 Wysoki 5.0.2, 5.1.1, 6.0, 6.0.1 27 grudnia 2015
CVE-2016-0829 ANDROID-26338109 Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 grudnia 2015

Luka w zabezpieczeniach zdalnego odmowy usługi w Bluetooth

Luka umożliwiająca zdalną odmowę usługi w komponencie Bluetooth może umożliwić atakującemu zablokowanie dostępu do urządzenia, którego dotyczy problem. Osoba atakująca może spowodować przepełnienie zidentyfikowanych urządzeń Bluetooth w komponencie Bluetooth, co prowadzi do uszkodzenia pamięci i zatrzymania usługi. Jest to oceniane jako wysoki poziom ważności, ponieważ prowadzi do odmowy usługi w usłudze Bluetooth, co potencjalnie można naprawić tylko za pomocą flashowania urządzenia.

CVE Błąd z linkiem AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0830 ANDROID-26071376 Wysoki 6.0, 6.0.1 Wewnętrzne Google

Luka w ujawnieniu informacji w telefonii

Luka umożliwiająca ujawnienie informacji w komponencie Telefonia może umożliwić aplikacji dostęp do poufnych informacji. Ten problem jest oceniany jako umiarkowana istotność, ponieważ może być używany do nieprawidłowego dostępu do danych bez pozwolenia.

CVE Błąd z linkiem AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0831 ANDROID-25778215 Umiarkowany 5.0.2, 5.1.1, 6.0, 6.0.1 16 listopada 2015 r.

Podniesienie poziomu luki w uprawnieniach w kreatorze konfiguracji

Luka w Kreatorze konfiguracji może umożliwić osobie atakującej, która miała fizyczny dostęp do urządzenia, uzyskanie dostępu do ustawień urządzenia i ręczne zresetowanie urządzenia. Ten problem jest oceniany jako umiarkowana istotność, ponieważ może być używany do nieprawidłowego obejścia ochrony przywracania ustawień fabrycznych.

CVE Błędy) Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0832 ANDROID-25955042* Umiarkowany 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

* Ta aktualizacja nie zawiera poprawki kodu źródłowego.

Często zadawane pytania i odpowiedzi

W tej sekcji przedstawiono odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Kompilacje LMY49H lub nowsze i Androida 6.0 z poprawką zabezpieczeń na poziomie 1 marca 2016 lub nowszą rozwiązują te problemy. Zapoznaj się z dokumentacją Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń. Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[2016-03-01]

Rewizje

  • 07 marca 2016: Biuletyn opublikowany.
  • 08 marca 2016 r.: Biuletyn zaktualizowany w celu uwzględnienia łączy AOSP.