Biuletyn Bezpieczeństwa Nexusa – marzec 2016 r

Opublikowano 07 marca 2016 | Zaktualizowano 8 marca 2016 r

Wydaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA) w ramach naszego comiesięcznego procesu wydawania biuletynu zabezpieczeń Androida. Obrazy oprogramowania sprzętowego Nexusa zostały także udostępnione w witrynie Google Developer . Kompilacje LMY49H lub nowsze oraz system Android M z poprawką zabezpieczeń z dnia 1 marca 2016 r. lub nowszą rozwiązują te problemy. Instrukcje dotyczące sprawdzania poziomu poprawki zabezpieczeń znajdziesz w dokumentacji Nexusa .

Partnerzy zostali powiadomieni o problemach opisanych w biuletynie 1 lutego 2016 roku lub wcześniej. W stosownych przypadkach w repozytorium Android Open Source Project (AOSP) udostępniono poprawki kodu źródłowego rozwiązujące te problemy.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwić zdalne wykonanie kodu na zagrożonym urządzeniu przy użyciu wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług są wyłączone na potrzeby programowania lub jeśli pomyślnie je ominiesz.

Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu przez klientów tych nowo zgłoszonych problemów. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Środki zaradcze . Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Łagodzenia

To jest podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.

  • Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
  • Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia za pomocą funkcji Verify Apps i SafetyNet, które ostrzegają o potencjalnie szkodliwych aplikacjach, które mają zostać zainstalowane. Narzędzia do rootowania urządzeń są zabronione w Google Play. Aby chronić użytkowników instalujących aplikacje spoza Google Play, opcja Weryfikuj aplikacje jest domyślnie włączona i ostrzega użytkowników o znanych aplikacjach powodujących rootowanie. Funkcja Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji wykorzystujących lukę umożliwiającą eskalację uprawnień. Jeśli taka aplikacja została już zainstalowana, funkcja Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wszelkich takich aplikacji.
  • W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak serwer multimediów.

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

  • Abhishek Arya, Oliver Chang i Martin Barbella z zespołu ds. bezpieczeństwa przeglądarki Google Chrome: CVE-2016-0815
  • Anestis Bechtsoudis ( @anestisb ) z CENSUS SA: CVE-2016-0816, CVE-2016-0824
  • Chad Brubaker z działu zabezpieczeń Androida: CVE-2016-0818
  • Oznacz markę Google Project Zero: CVE-2016-0820
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE z Qihoo 360 : CVE-2016-0826
  • Peter Pi ( @heisecode ) z Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
  • Scott Bauer ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
  • Wish Wu ( @wish_wu ) z Trend Micro Inc.: CVE-2016-0819
  • Yongzheng Wu i Tieyan Li z Huawei: CVE-2016-0831
  • Su Mon Kywe i Yingjiu Li z Uniwersytetu Zarządzania w Singapurze: CVE-2016-0831
  • Zach Riggle ( @ebeip90 ) z zespołu ds. bezpieczeństwa Androida: CVE-2016-0821

Szczegóły luki w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2016-03-01. Znajduje się tam opis problemu, uzasadnienie wagi oraz tabela zawierająca CVE, powiązany błąd, wagę, wersje, których dotyczy problem, oraz datę zgłoszenia. Jeśli będzie to możliwe, połączymy zmianę AOSP, która rozwiązała problem, z identyfikatorem błędu. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia AOSP są powiązane z liczbami następującymi po identyfikatorze błędu.

Luka w zabezpieczeniach serwera multimediów umożliwiająca zdalne wykonanie kodu

Podczas przetwarzania pliku multimedialnego i danych specjalnie spreparowanego pliku luki w zabezpieczeniach serwera multimediów mogą pozwolić osobie atakującej na spowodowanie uszkodzenia pamięci i zdalnego wykonania kodu w procesie serwera multimediów.

Funkcja, której to dotyczy, jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności wiadomości MMS i odtwarzania multimediów w przeglądarce.

Ten problem ma wagę krytyczną ze względu na możliwość zdalnego wykonania kodu w kontekście usługi serwera multimediów. Usługa serwera multimediów ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie mają dostępu aplikacje innych firm.

CVE Błędy z linkami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0815 ANDROID-26365349 Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google
CVE-2016-0816 ANDROID-25928803 Krytyczny 6.0, 6.0.1 Wewnętrzne Google

Luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu w libvpx

Podczas przetwarzania pliku multimedialnego i danych specjalnie spreparowanego pliku luki w zabezpieczeniach serwera multimediów mogą pozwolić osobie atakującej na spowodowanie uszkodzenia pamięci i zdalnego wykonania kodu w procesie serwera multimediów.

Funkcja, której to dotyczy, jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności wiadomości MMS i odtwarzania multimediów w przeglądarce.

Problemy mają wagę krytyczną, ponieważ mogą zostać wykorzystane do zdalnego wykonania kodu w kontekście usługi serwera multimediów. Usługa serwera multimediów ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których aplikacje innych firm zwykle nie mają dostępu.

CVE Błąd z linkami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-1621 ANDROID-23452792 [2] [3] Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0 Wewnętrzne Google

Podniesienie uprawnień w Conscrypt

Luka w Conscrypt może pozwolić na nieprawidłowe zaufanie określonemu typowi nieprawidłowego certyfikatu wydanego przez pośredni urząd certyfikacji (CA). Może to umożliwić atak typu man-in-the-middle. Ten problem ma wagę krytyczną ze względu na możliwość podniesienia uprawnień i zdalnego wykonania dowolnego kodu.

CVE Błąd z linkami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0818 ANDROID-26232830 [2] Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w komponencie wydajności Qualcomm

Luka w zabezpieczeniach komponentu wydajności Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w jądrze. Ten problem ma wagę krytyczną ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, a naprawę urządzenia można przeprowadzić jedynie poprzez ponowne flashowanie systemu operacyjnego.

CVE Błąd Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0819 ANDROID-25364034* Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 października 2015 r

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku jądra Wi-Fi MediaTek

W sterowniku jądra MediaTek Wi-Fi występuje luka, która może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma stopień ważności krytyczny ze względu na możliwość podniesienia uprawnień i wykonania dowolnego kodu w kontekście jądra.

CVE Błąd Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0820 ANDROID-26267358* Krytyczny 6.0.1 18 grudnia 2015 r

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w komponencie pęku kluczy jądra

Luka w zabezpieczeniach komponentu Kernel Keyring umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w jądrze. Ten problem ma wagę krytyczną ze względu na możliwość trwałego lokalnego uszkodzenia urządzenia i urządzenie można naprawić jedynie poprzez ponowne flashowanie systemu operacyjnego. Jednak w Androidzie w wersji 5.0 i nowszych reguły SELinux uniemożliwiają aplikacjom innych firm dotarcie do kodu, którego dotyczy problem.

Uwaga: dla porównania, łatka w AOSP jest dostępna dla określonych wersji jądra: 4.1 , 3.18 , 3.14 i 3.10 .

CVE Błąd Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0728 ANDROID-26636379 Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 stycznia 2016 r

Luka w jądrze umożliwiająca obejście ograniczenia ryzyka

Luka w jądrze umożliwiająca obejście ograniczenia ryzyka może pozwolić na ominięcie istniejących środków bezpieczeństwa, aby zwiększyć trudność atakujących w korzystaniu z platformy. Ten problem został sklasyfikowany jako wysoki, ponieważ może pozwolić na ominięcie istniejących środków bezpieczeństwa i zwiększyć trudność atakujących w korzystaniu z platformy.

Uwaga: aktualizacja rozwiązująca ten problem znajduje się w pakiecie źródłowym systemu Linux .

CVE Błąd Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0821 ANDROID-26186802 Wysoki 6.0.1 Wewnętrzne Google

Podniesienie uprawnień w sterowniku jądra MediaTek Connectivity

W sterowniku jądra łączności MediaTek występuje luka umożliwiająca podniesienie uprawnień, która może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Zwykle taki błąd wykonania kodu jądra zostałby oceniony jako krytyczny, ale ponieważ wymaga najpierw naruszenia bezpieczeństwa usługi conn_launcher, uzasadnia obniżenie oceny do poziomu Wysoka.

CVE Błąd Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0822 ANDROID-25873324* Wysoki 6.0.1 24 listopada 2015 r

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w jądrze umożliwiająca ujawnienie informacji

Luka w jądrze umożliwiająca ujawnienie informacji może pozwolić na ominięcie istniejących środków bezpieczeństwa i zwiększyć trudność atakujących w wykorzystaniu platformy. Problemy te mają klasę wysokiej wagi, ponieważ mogą umożliwić lokalne ominięcie technologii ograniczania exploitów, takich jak ASLR, w uprzywilejowanym procesie.

Uwaga: poprawka rozwiązująca ten problem znajduje się w wersji źródłowej systemu Linux .

CVE Błąd Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0823 ANDROID-25739721* Wysoki 6.0.1 Wewnętrzne Google

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach libstagefright umożliwiająca ujawnienie informacji

Luka w libstagefright umożliwiająca ujawnienie informacji może pozwolić na ominięcie istniejących środków bezpieczeństwa i zwiększyć trudność wykorzystania platformy przez atakujących. Problemy te są klasyfikowane jako Wysokie, ponieważ można je również wykorzystać do uzyskania zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.

CVE Błąd z łączem AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0824 ANDROID-25765591 Wysoki 6.0, 6.0.1 18 listopada 2015 r

Luka w zabezpieczeniach Widevine umożliwiająca ujawnienie informacji

Luka w zabezpieczeniach Widevine Trusted Application umożliwiająca ujawnienie informacji może umożliwić kodowi działającemu w kontekście jądra dostęp do informacji w bezpiecznym magazynie TrustZone. Ten problem został sklasyfikowany jako wysoki, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu .

CVE Błędy) Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0825 ANDROID-20860039* Wysoki 6.0.1 Wewnętrzne Google

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w serwerze multimediów

Luka w zabezpieczeniach serwera multimediów umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem został sklasyfikowany jako wysoki, ponieważ można go wykorzystać do uzyskania zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.

CVE Błędy z linkami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0826 ANDROID-26265403 [2] Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 grudnia 2015 r
CVE-2016-0827 ANDROID-26347509 Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 grudnia 2015 r

Luka w zabezpieczeniach serwera multimediów umożliwiająca ujawnienie informacji

Luka w zabezpieczeniach serwera multimediów umożliwiająca ujawnienie informacji może pozwolić na ominięcie istniejących środków bezpieczeństwa i zwiększyć trudność wykorzystania platformy przez osoby atakujące. Problemy te są klasyfikowane jako Wysokie, ponieważ można je również wykorzystać do uzyskania zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.

CVE Błędy z linkami AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0828 ANDROID-26338113 Wysoki 5.0.2, 5.1.1, 6.0, 6.0.1 27 grudnia 2015 r
CVE-2016-0829 ANDROID-26338109 Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 grudnia 2015 r

Luka w zabezpieczeniach Bluetooth umożliwiająca zdalną odmowę usługi

Luka w komponencie Bluetooth umożliwiająca zdalną odmowę usługi może umożliwić osobie atakującej zablokowanie dostępu do urządzenia, którego dotyczy luka. Osoba atakująca może spowodować przepełnienie zidentyfikowanych urządzeń Bluetooth w komponencie Bluetooth, co prowadzi do uszkodzenia pamięci i zatrzymania usługi. Ten problem jest oceniany jako wysoki, ponieważ prowadzi do odmowy usługi dla usługi Bluetooth, którą potencjalnie można naprawić jedynie za pomocą flashowania urządzenia.

CVE Błąd z łączem AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0830 ANDROID-26071376 Wysoki 6.0, 6.0.1 Wewnętrzne Google

Luka w zabezpieczeniach telefonii umożliwiająca ujawnienie informacji

Luka w komponencie Telefonia umożliwiająca ujawnienie informacji może umożliwić aplikacji dostęp do poufnych informacji. Ten problem ma wagę umiarkowaną, ponieważ może zostać wykorzystany do nieprawidłowego uzyskania dostępu do danych bez pozwolenia.

CVE Błąd z łączem AOSP Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0831 ANDROID-25778215 Umiarkowany 5.0.2, 5.1.1, 6.0, 6.0.1 16 listopada 2015 r

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w kreatorze instalacji

Luka w Kreatorze konfiguracji może umożliwić osobie atakującej, która ma fizyczny dostęp do urządzenia, uzyskanie dostępu do ustawień urządzenia i wykonanie ręcznego resetowania urządzenia. Ten problem ma wagę umiarkowaną, ponieważ można go wykorzystać do nieprawidłowego obejścia zabezpieczenia przywracania ustawień fabrycznych.

CVE Błędy) Powaga Zaktualizowane wersje Data zgłoszona
CVE-2016-0832 ANDROID-25955042* Umiarkowany 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

* Dla tej aktualizacji nie jest dostępna żadna poprawka kodu źródłowego.

Często zadawane pytania i odpowiedzi

W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Kompilacje LMY49H lub nowsze oraz system Android 6.0 z poprawką zabezpieczeń z dnia 1 marca 2016 r. lub nowszą rozwiązują te problemy. Instrukcje dotyczące sprawdzania poziomu poprawki zabezpieczeń znajdziesz w dokumentacji Nexusa . Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[2016-03-01]

Wersje

  • 07 marca 2016: Biuletyn opublikowany.
  • 8 marca 2016 r.: Biuletyn zmieniony w celu uwzględnienia łączy AOSP.