Бюллетень по безопасности Nexus – октябрь 2015 г.

Опубликовано 5 октября 2015 года | Обновлено 12 октября 2015 года

К выходу ежемесячного бюллетеня о безопасности Android мы выпустили автоматическое обновление системы безопасности для устройств Nexus и опубликовали образы прошивок Nexus на сайте для разработчиков . Перечисленные проблемы устранены в сборке LMY48T и более поздних версиях (например, LMY48W), а также в Android 6.0 Marshmallow с исправлением от 1 октября 2015 года. Узнать о том, как проверить уровень обновления системы безопасности, можно в документации по Nexus .

Мы сообщили партнерам об уязвимостях 10 сентября 2015 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP).

Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS).

Обнаруженные уязвимости не эксплуатировались. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android. Мы рекомендуем всем пользователям установить перечисленные в разделе обновления.

Перечень уязвимостей


В таблице ниже перечислены уязвимости, их идентификаторы (CVE) и уровни серьезности. Уровень зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

Уязвимость CVE Уровень серьезности
Удаленное выполнение кода в libstagefright CVE-2015-3873
CVE-2015-3872
CVE-2015-3871
CVE-2015-3868
CVE-2015-3867
CVE-2015-3869
CVE-2015-3870
CVE-2015-3823
CVE-2015-6598
CVE-2015-6599
CVE-2015-6600
CVE-2015-6603
CVE-2015-6601
CVE-2015-3876
CVE-2015-6604
Критический
Удаленное выполнение кода в Sonivox CVE-2015-3874 Критический
Удаленное выполнение кода в libutils CVE-2015-3875
CVE-2015-6602
Критический
Удаленное выполнение кода в Skia CVE-2015-3877 Критический
Удаленное выполнение кода в libFLAC CVE-2014-9028 Критический
Повышение привилегий через Keystore CVE-2015-3863 Высокий
Повышение привилегий через фреймворк медиапроигрывателя CVE-2015-3879 Высокий
Повышение привилегий через Android Runtime CVE-2015-3865 Высокий
Повышение привилегий через mediaserver CVE-2015-6596 Высокий
Повышение привилегий через SEEK CVE-2015-6606 Высокий
Повышение привилегий через Media Projection CVE-2015-3878 Средний
Повышение привилегий через Bluetooth CVE-2015-3847 Средний
Повышение привилегий через SQLite CVE-2015-6607 Средний
Отказ в обслуживании в mediaserver CVE-2015-6605
CVE-2015-3862
Низкий

Предотвращение атак


Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

  • Использование многих уязвимостей затрудняется в новых версиях Android, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг- приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже установлено, система уведомит об этом пользователя и попытается удалить приложение.
  • Компания Google обновила приложения Hangouts и Messenger. Теперь они не передают медиафайлы уязвимым процессам, таким как mediaserver, автоматически.

Благодарности


Благодарим всех, кто помог обнаружить уязвимости:

  • Бреннан Лотнер: CVE-2015-3863.
  • Яцзинь Чжоу, Лэй Ву и Сюйсянь Цзян из C0re Team, Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
  • Дэниел Микей (daniel.micay@copperhead.co) из Copperhead Security: CVE-2015-3875.
  • dragonltx из Alibaba Mobile Security Team: CVE-2015-6599.
  • Иан Бир и Стивен Виттито из Google Project Zero: CVE-2015-6604.
  • Жуакин Ринауду (@xeroxnir) и Иван Арсе (@4Dgifts), участники Программы безопасности ИКТ Фонда доктора Мануэля Садоски, Буэнос-Айрес, Аргентина: CVE-2015-3870.
  • Джош Дрейк из Zimperium: CVE-2015-3876, CVE-2015-6602.
  • Джордан Грусковняк (@jgrusko) из Exodus Intelligence: CVE-2015-3867.
  • Питер Пи из Trend Micro: CVE-2015-3872, CVE-2015-3871.
  • Пин Ли из Qihoo 360 Technology Co. Ltd: CVE-2015-3878
  • Севен Шен: CVE-2015-6600, CVE-2015-3847.
  • Вантао (Neobyte) из Baidu X-Team: CVE-2015-6598.
  • Виш Ву (@wish_wu) из Trend Micro Inc.: CVE-2015-3823.

Мы также благодарим отдел безопасности Chrome, отдел безопасности Google, Project Zero и остальных сотрудников Google, которые помогли обнаружить уязвимости, перечисленные в этом бюллетене.

Описание уязвимостей


В этом разделе вы найдете подробную информацию обо всех перечисленных выше уязвимостях: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми версиями и датой сообщения об ошибке. Где возможно, мы приводим основную ссылку на сообщение в AOSP, связанное с идентификатором ошибки, и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода в libstagefright

Уязвимость libstagefright позволяет во время обработки медиафайла и его данных нарушить целостность информации в памяти и удаленно выполнить код в сервисе mediaserver.

Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода от имени привилегированного сервиса. У уязвимого компонента есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3873 ANDROID-20674086 [ 2 , 3 , 4 ] Критический 5.1 и ниже Доступно только сотрудникам Google
ANDROID-20674674 [ 2 , 3 , 4 ]
ANDROID-20718524
ANDROID-21048776
ANDROID-21443020
ANDROID-21814993
ANDROID-22008959
ANDROID-22077698
ANDROID-22388975
ANDROID-22845824
ANDROID-23016072
ANDROID-23247055
ANDROID-23248776
ANDROID-20721050 Критический 5.0 и 5.1 Доступно только сотрудникам Google
CVE-2015-3823 ANDROID-21335999 Критический 5.1 и ниже 20 мая 2015 г.
CVE-2015-6600 ANDROID-22882938 Критический 5.1 и ниже 31 июля 2015 г.
CVE-2015-6601 ANDROID-22935234 Критический 5.1 и ниже 3 августа 2015 г.
CVE-2015-3869 ANDROID-23036083 Критический 5.1 и ниже 4 августа 2015 г.
CVE-2015-3870 ANDROID-22771132 Критический 5.1 и ниже 5 августа 2015 г.
CVE-2015-3871 ANDROID-23031033 Критический 5.1 и ниже 6 августа 2015 г.
CVE-2015-3868 ANDROID-23270724 Критический 5.1 и ниже 6 августа 2015 г.
CVE-2015-6604 ANDROID-23129786 Критический 5.1 и ниже 11 августа 2015 г.
CVE-2015-3867 ANDROID-23213430 Критический 5.1 и ниже 14 августа 2015 г.
CVE-2015-6603 ANDROID-23227354 Критический 5.1 и ниже 15 августа 2015 г.
CVE-2015-3876 ANDROID-23285192 Критический 5.1 и ниже 15 августа 2015 г.
CVE-2015-6598 ANDROID-23306638 Критический 5.1 и ниже 18 августа 2015 г.
CVE-2015-3872 ANDROID-23346388 Критический 5.1 и ниже 19 августа 2015 г
CVE-2015-6599 ANDROID-23416608 Критический 5.1 и ниже 21 августа 2015 г.

Удаленное выполнение кода в Sonivox

Уязвимость Sonivox позволяет во время обработки медиафайла и его данных нарушить целостность информации в памяти и удаленно выполнить код в сервисе mediaserver. Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода от имени привилегированного сервиса. У уязвимого компонента есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3874 ANDROID-23335715 Критический 5.1 и ниже Разные
ANDROID-23307276 [ 2 ]
ANDROID-23286323

Удаленное выполнение кода в libutils

В универсальной библиотеке libutils обнаружена уязвимость обработки аудиофайлов. При обработке специально созданного файла злоумышленник может нарушить целостность информации в памяти и удаленно выполнить код в сервисе, использующем эту библиотеку (например, mediaserver).

Уязвимая функция является частью API. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней. Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в привилегированном сервисе. У уязвимого компонента есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3875 ANDROID-22952485 Критический 5.1 и ниже 15 августа 2015 г.
CVE-2015-6602 ANDROID-23290056 [ 2 ] Критический 5.1 и ниже 15 августа 2015 г.

Удаленное выполнение кода в Skia

Уязвимость Skia позволяет во время обработки специально созданного медиафайла нарушить целостность информации в памяти и удаленно выполнить код в привилегированном процессе. Уязвимости присвоен критический уровень, поскольку она позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS).

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3877 ANDROID-20723696 Критический 5.1 и ниже 30 июля 2015 г.

Удаленное выполнение кода в libFLAC

В libFLAC обнаружена уязвимость обработки медиафайлов. При обработке специально созданного файла злоумышленник может нарушить целостность информации в памяти и удаленно выполнить код.

Уязвимая функция является частью API. Многие приложения позволяют контенту, особенно воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней. Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в привилегированном сервисе. У уязвимого компонента есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2014-9028 ANDROID-18872897 [ 2 ] Критический 5.1 и ниже 14 ноября 2015 г.

Повышение привилегий через Keystore

Вредоносное приложение может использовать уязвимость Keystore при вызове Keystore API, а затем нарушить целостность информации в памяти и выполнить произвольный код в контексте хранилища ключей. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3863 ANDROID-22802399 Высокий 5.1 и ниже 28 июля 2015 г.

Повышение привилегий через фреймворк медиапроигрывателя

Уязвимость фреймворка медиапроигрывателя позволяет вредоносному ПО выполнять произвольный код в контексте процесса mediaserver. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3879 ANDROID-23223325 [2]* Высокий 5.1 и ниже 14 августа 2015 г.

*Второе изменение не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков .

Повышение привилегий через Android Runtime

Уязвимость Android Runtime позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem ).

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3865 ANDROID-23050463 [ 2 ] Высокий 5.1 и ниже 8 августа 2015 г.

Повышение привилегий через mediaserver

В mediaserver есть несколько уязвимостей, которые позволяют локальному вредоносному приложению выполнять произвольный код в контексте встроенного сервиса. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6596 ANDROID-20731946 Высокий 5.1 и ниже Разные
ANDROID-20719651*
ANDROID-19573085 Высокий 5.0–6.0 Доступно только сотрудникам Google

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков .

Повышение привилегий через SEEK

Уязвимость SEEK (Secure Element Evaluation Kit, он же SmartCard API) позволяет приложению получить расширенные права доступа, не запрашивая их. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem ).

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6606 ANDROID-22301786* Высокий 5.1 и ниже 30 июня 2015 г.

*Эту проблему можно решить, скачав обновление с сайта SEEK for Android .

Повышение привилегий через Media Projection

Уязвимость компонента Media Projection позволяет перехватывать данные пользователей, создавая скриншоты. Если пользователь установит вредоносное приложение со слишком длинным названием (они поддерживаются операционной системой), то предупреждение о записи данных может быть скрыто. Уязвимости присвоен средний уровень серьезности, поскольку с ее помощью можно получить расширенные права доступа.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3878 ANDROID-23345192 Средний 5.0–6.0 18 августа 2015 г.

Повышение привилегий через Bluetooth

Уязвимость Bluetooth позволяет приложениям удалять сохраненные SMS. Уязвимости присвоен средний уровень серьезности, поскольку с ее помощью можно повысить привилегии.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3847 ANDROID-22343270 Средний 5.1 и ниже 8 июля 2015 г.

Повышение привилегий через SQLite

В инструменте синтаксического анализа SQLite обнаружен ряд уязвимостей. Если их атакует локальное приложение, то другое ПО сможет выполнять произвольные SQL-команды. В результате успешной атаки в контексте целевого приложения может выполняться произвольный код.

Исправление загружено на сайт AOSP 8 апреля 2015 года: https://android-review.googlesource.com/#/c/145961/ . Оно позволяет обновить SQLite до версии 3.8.9.

В этом бюллетене содержатся исправления для SQLite в Android 4.4 (SQLite 3.7.11), а также Android 5.0 и 5.1 (SQLite 3.8.6).

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6607 ANDROID-20099586 Средний 5.1 и ниже 7 апреля 2015 г.
Общеизвестная

Отказ в обслуживании в mediaserver

В mediaserver есть несколько уязвимостей, с помощью которых можно вызвать сбой процесса mediaserver, что приведет к временному отказу в обслуживании на устройстве. Уязвимостям присвоен низкий уровень серьезности.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6605 ANDROID-20915134 Низкий 5.1 и ниже Доступно только сотрудникам Google
ANDROID-23142203
ANDROID-22278703 Низкий 5.0–6.0 Доступно только сотрудникам Google
CVE-2015-3862 ANDROID-22954006 Низкий 5.1 и ниже 2 августа 2015 г.

Версии


  • 5 октября 2015 года: опубликовано впервые.
  • 7 октября 2015 года: в бюллетень добавлены ссылки на AOSP и уточненные сведения об уязвимости CVE-2014-9028.
  • 12 октября 2015 года: обновлены благодарности обнаружившим уязвимости CVE-2015-3868, CVE-2015-3869, CVE-2015-3865 и CVE-2015-3862.