Бюллетень по безопасности Nexus – октябрь 2015 г.

Опубликовано 5 октября 2015 г. | Обновлено 28 апреля 2016 г.

К выходу ежемесячного бюллетеня по безопасности Android мы выпустили автоматическое обновление системы безопасности для устройств Nexus и опубликовали образы прошивок Nexus на сайте для разработчиков. Перечисленные проблемы устранены в сборке LMY48T и более поздних версиях (например, LMY48W), а также в Android 6.0 Marshmallow с исправлением от 1 октября 2015 года. Информацию о том, как проверить обновления системы безопасности, можно найти в документации Nexus.

Мы сообщили партнерам об уязвимостях 10 сентября 2015 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP).

Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS). Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android. Мы рекомендуем всем пользователям установить перечисленные здесь обновления.

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

  • Использование многих уязвимостей затрудняется в новых версиях Android, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг-приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже установлено, система уведомит об этом пользователя и попытается удалить приложение.
  • Компания Google обновила приложения Hangouts и Messenger. Теперь они не передают медиафайлы уязвимым процессам, таким как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

  • Бреннан Лотнер: CVE-2015-3863.
  • Чиачи У и Сюйсянь Цзян из C0RE Team, Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862.
  • Яцзинь Чжоу, Лэй Ву и Сюйсянь Цзян из C0RE Team, Qihoo 360: CVE-2015-3865.
  • Дэниел Микей (daniel.micay@copperhead.co) из Copperhead Security: CVE-2015-3875.
  • dragonltx из Alibaba Mobile Security Team: CVE-2015-6599.
  • Иан Бир и Стивен Виттито из Google Project Zero: CVE-2015-6604.
  • Хоакин Ринаудо (@xeroxnir) и Иван Арсе (@4Dgifts), участники Программы безопасности ИКТ Фонда доктора Мануэля Садоски, Буэнос-Айрес, Аргентина: CVE-2015-3870.
  • Джош Дрейк из Zimperium: CVE-2015-3876, CVE-2015-6602.
  • Джордан Грусковняк (@jgrusko) из Exodus Intelligence: CVE-2015-3867.
  • Питер Пи из Trend Micro: CVE-2015-3872, CVE-2015-3871.
  • Пин Ли из Qihoo 360 Technology Co. Ltd: CVE-2015-3878.
  • Севен Шэнь: CVE-2015-6600, CVE-2015-3847.
  • Вантао (Neobyte) из Baidu X-Team: CVE-2015-6598.
  • Виш Ву (@wish_wu) из Trend Micro Inc.: CVE-2015-3823.
  • Майкл Роланд из JR-Center u'smile, Университет прикладных наук Верхней Австрии, Хагенберг: CVE-2015-6606.

Мы также благодарим команду безопасности Chrome, команду безопасности Google, Project Zero и других сотрудников Google, которые помогли обнаружить уязвимости, перечисленные в этом бюллетене.

Описание уязвимостей

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2015-10-01: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми версиями и датой сообщения об ошибке. Где возможно, мы приводим основную ссылку на изменение в AOSP, связанное с идентификатором ошибки, и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода в libstagefright

Уязвимость libstagefright позволяет во время обработки медиафайла и его данных нарушить целостность информации в памяти и удаленно выполнить код в сервисе mediaserver.

Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода от имени привилегированного сервиса. У уязвимого компонента есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3873 ANDROID-20674086 [2, 3, 4] Критический 5.1 и ниже Доступно только сотрудникам Google
ANDROID-20674674 [2, 3, 4]
ANDROID-20718524
ANDROID-21048776
ANDROID-21443020
ANDROID-21814993
ANDROID-22008959
ANDROID-22077698
ANDROID-22388975
ANDROID-22845824
ANDROID-23016072
ANDROID-23247055
ANDROID-23248776
ANDROID-20721050 Критический 5.0 и 5.1 Доступно только сотрудникам Google
CVE-2015-3823 ANDROID-21335999 Критический 5.1 и ниже 20 мая 2015 г.
CVE-2015-6600 ANDROID-22882938 Критический 5.1 и ниже 31 июля 2015 г.
CVE-2015-6601 ANDROID-22935234 Критический 5.1 и ниже 3 августа 2015 г.
CVE-2015-3869 ANDROID-23036083 Критический 5.1 и ниже 4 августа 2015 г.
CVE-2015-3870 ANDROID-22771132 Критический 5.1 и ниже 5 августа 2015 г.
CVE-2015-3871 ANDROID-23031033 Критический 5.1 и ниже 6 августа 2015 г.
CVE-2015-3868 ANDROID-23270724 Критический 5.1 и ниже 6 августа 2015 г.
CVE-2015-6604 ANDROID-23129786 Критический 5.1 и ниже 11 августа 2015 г.
CVE-2015-3867 ANDROID-23213430 Критический 5.1 и ниже 14 августа 2015 г.
CVE-2015-6603 ANDROID-23227354 Критический 5.1 и ниже 15 августа 2015 г.
CVE-2015-3876 ANDROID-23285192 Критический 5.1 и ниже 15 августа 2015 г.
CVE-2015-6598 ANDROID-23306638 Критический 5.1 и ниже 18 августа 2015 г.
CVE-2015-3872 ANDROID-23346388 Критический 5.1 и ниже 19 августа 2015 г
CVE-2015-6599 ANDROID-23416608 Критический 5.1 и ниже 21 августа 2015 г.

Удаленное выполнение кода в Sonivox

Уязвимость Sonivox позволяет во время обработки медиафайла и его данных нарушить целостность информации в памяти и удаленно выполнить код в сервисе mediaserver. Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода от имени привилегированного сервиса. У уязвимого компонента есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3874 ANDROID-23335715 Критический 5.1 и ниже Разные
ANDROID-23307276 [2]
ANDROID-23286323

Удаленное выполнение кода в libutils

В универсальной библиотеке libutils обнаружена уязвимость обработки аудиофайлов. При обработке специально созданного файла злоумышленник может нарушить целостность информации в памяти и удаленно выполнить код в сервисе, использующем эту библиотеку (например, mediaserver).

Уязвимая функция является частью API. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней. Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в привилегированном сервисе. У уязвимого компонента есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3875 ANDROID-22952485 Критический 5.1 и ниже 15 августа 2015 г.
CVE-2015-6602 ANDROID-23290056 [2] Критический 5.1 и ниже 15 августа 2015 г.

Удаленное выполнение кода в Skia

Уязвимость Skia позволяет во время обработки специально созданного медиафайла нарушить целостность информации в памяти и удаленно выполнить код в привилегированном процессе. Уязвимости присвоен критический уровень, поскольку она позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS).

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3877 ANDROID-20723696 Критический 5.1 и ниже 30 июля 2015 г.

Удаленное выполнение кода в libFLAC

В libFLAC обнаружена уязвимость обработки медиафайлов. При обработке специально созданного файла злоумышленник может нарушить целостность информации в памяти и удаленно выполнить код.

Уязвимая функция является частью API. Многие приложения позволяют контенту, особенно воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней. Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в привилегированном сервисе. У уязвимого компонента есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2014-9028 ANDROID-18872897 [2] Критический 5.1 и ниже 14 ноября 2015 г.

Повышение привилегий через Keystore

Вредоносное приложение может использовать уязвимость Keystore при вызове Keystore API, а затем нарушить целостность информации в памяти и выполнить произвольный код в контексте хранилища ключей. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3863 ANDROID-22802399 Высокий 5.1 и ниже 28 июля 2015 г.

Повышение привилегий через фреймворк медиапроигрывателя

Уязвимость фреймворка медиапроигрывателя позволяет вредоносному ПО выполнять произвольный код в контексте процесса mediaserver. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3879 ANDROID-23223325 [2]* Высокий 5.1 и ниже 14 августа 2015 г.

*Второе изменение не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через Android Runtime

Уязвимость Android Runtime позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3865 ANDROID-23050463 [2] Высокий 5.1 и ниже 8 августа 2015 г.

Повышение привилегий через mediaserver

В mediaserver есть несколько уязвимостей, которые позволяют локальному вредоносному приложению выполнять произвольный код в контексте встроенного сервиса. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6596 ANDROID-20731946 Высокий 5.1 и ниже Разные
ANDROID-20719651*
ANDROID-19573085 Высокий 5.0–6.0 Доступно только сотрудникам Google

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через SEEK

Уязвимость SEEK (Secure Element Evaluation Kit, он же SmartCard API) позволяет приложению получить расширенные права доступа, не запрашивая их. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6606 ANDROID-22301786* Высокий 5.1 и ниже 30 июня 2015 г.

*Эту проблему можно решить, скачав обновление с сайта SEEK for Android.

Повышение привилегий через Media Projection

Уязвимость компонента Media Projection позволяет перехватывать данные пользователей, делая скриншоты. Если пользователь установит вредоносное приложение со слишком длинным названием (они поддерживаются операционной системой), то предупреждение о записи данных может быть скрыто. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно получить расширенные права доступа.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3878 ANDROID-23345192 Средний 5.0–6.0 18 августа 2015 г.

Повышение привилегий через Bluetooth

Уязвимость Bluetooth позволяет приложениям удалять сохраненные SMS. Уязвимости присвоен средний уровень серьезности, поскольку с ее помощью можно повысить привилегии.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3847 ANDROID-22343270 Средний 5.1 и ниже 8 июля 2015 г.

Повышение привилегий через SQLite

В инструменте синтаксического анализа SQLite обнаружен ряд уязвимостей. Если их атакует локальное приложение, то другое ПО сможет выполнять произвольные SQL-команды. В результате успешной атаки в контексте целевого приложения может выполняться произвольный код.

Исправление загружено на сайт AOSP 8 апреля 2015 года: https://android-review.googlesource.com/#/c/145961/. Оно позволяет обновить SQLite до версии 3.8.9.

В этом бюллетене содержатся исправления для SQLite в Android 4.4 (SQLite 3.7.11), а также Android 5.0 и 5.1 (SQLite 3.8.6).

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6607 ANDROID-20099586 Средний 5.1 и ниже 7 апреля 2015 г.
Общеизвестная

Отказ в обслуживании в mediaserver

В mediaserver есть несколько уязвимостей, с помощью которых можно вызвать сбой процесса mediaserver, что приведет к временному отказу в обслуживании на устройстве. Проблемам присвоен низкий уровень серьезности.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6605 ANDROID-20915134 Низкий 5.1 и ниже Доступно только сотрудникам Google
ANDROID-23142203
ANDROID-22278703 Низкий 5.0–6.0 Доступно только сотрудникам Google
CVE-2015-3862 ANDROID-22954006 Низкий 5.1 и ниже 2 августа 2015 г.

Версии

  • 5 октября 2015 года. Бюллетень опубликован.
  • 7 октября 2015 года. Добавлены ссылки на AOSP и уточненные сведения об уязвимости CVE-2014-9028.
  • 12 октября 2015 года. Добавлены благодарности обнаружившим уязвимости CVE-2015-3868, CVE-2015-3869, CVE-2015-3865 и CVE-2015-3862.
  • 22 января 2016 года. Добавлена благодарность обнаружившим уязвимость CVE-2015-6606.
  • 28 апреля 2016 года. Добавлена информация об уязвимости CVE-2015-6603 и исправлена опечатка в CVE-2014-9028.