Бюллетень по безопасности Nexus – октябрь 2015 г.

Опубликовано 5 октября 2015 г. | Обновлено 28 апреля 2016 г.

К выходу ежемесячного бюллетеня по безопасности Android мы выпустили автоматическое обновление системы безопасности для устройств Nexus и опубликовали образы прошивок Nexus на сайте для разработчиков. Перечисленные проблемы устранены в сборке LMY48T и более поздних версиях (например, LMY48W), а также в Android 6.0 Marshmallow с исправлением от 1 октября 2015 года. Информацию о том, как проверить обновления системы безопасности, можно найти в документации Nexus.

Мы сообщили партнерам об уязвимостях 10 сентября 2015 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP).

Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS). Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android. Мы рекомендуем всем пользователям установить перечисленные здесь обновления.

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг-приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже установлено, система уведомит об этом пользователя и попытается удалить приложение.
  • Компания Google обновила приложения Hangouts и Messenger. Теперь они не передают медиафайлы уязвимым процессам, таким как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

  • Бреннан Лотнер: CVE-2015-3863.
  • Чиачи У и Сюйсянь Цзян из C0RE Team, Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862.
  • Яцзинь Чжоу, Лэй Ву и Сюйсянь Цзян из C0RE Team, Qihoo 360: CVE-2015-3865.
  • Дэниел Микей (daniel.micay@copperhead.co) из Copperhead Security: CVE-2015-3875.
  • dragonltx из Alibaba Mobile Security Team: CVE-2015-6599.
  • Иан Бир и Стивен Виттито из Google Project Zero: CVE-2015-6604.
  • Хоакин Ринаудо (@xeroxnir) и Иван Арсе (@4Dgifts), участники Программы безопасности ИКТ Фонда доктора Мануэля Садоски, Буэнос-Айрес, Аргентина: CVE-2015-3870.
  • Джош Дрейк из Zimperium: CVE-2015-3876, CVE-2015-6602.
  • Джордан Грусковняк (@jgrusko) из Exodus Intelligence: CVE-2015-3867.
  • Питер Пи из Trend Micro: CVE-2015-3872, CVE-2015-3871.
  • Пин Ли из Qihoo 360 Technology Co. Ltd: CVE-2015-3878.
  • Севен Шэнь: CVE-2015-6600, CVE-2015-3847.
  • Вантао (Neobyte) из Baidu X-Team: CVE-2015-6598.
  • Виш Ву (@wish_wu) из Trend Micro Inc.: CVE-2015-3823.
  • Майкл Роланд из JR-Center u'smile, Университет прикладных наук Верхней Австрии, Хагенберг: CVE-2015-6606.

Мы также благодарим команду безопасности Chrome, команду безопасности Google, Project Zero и других сотрудников Google, которые помогли обнаружить уязвимости, перечисленные в этом бюллетене.

Описание уязвимостей

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2015-10-01: описание и обоснование серьезности, таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми версиями и датой сообщения об ошибке. Где возможно, мы приводим основную ссылку на изменение в AOSP, связанное с идентификатором ошибки, и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода через libstagefright

Уязвимости позволяют злоумышленнику во время обработки специально созданного медиафайла и его данных нарушить целостность информации в памяти и удаленно выполнить код в привилегированном сервисе mediaserver.

Из-за этого проблеме присвоен критический уровень. У затронутых компонентов есть доступ к аудио- и видеопотокам, а также к разрешениям, недоступным сторонним приложениям.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3873 ANDROID-20674086 [2, 3, 4] Критический 5.1 и ниже Доступно только сотрудникам Google
ANDROID-20674674 [2, 3, 4]
ANDROID-20718524
ANDROID-21048776
ANDROID-21443020
ANDROID-21814993
ANDROID-22008959
ANDROID-22077698
ANDROID-22388975
ANDROID-22845824
ANDROID-23016072
ANDROID-23247055
ANDROID-23248776
ANDROID-20721050 Критический 5.0 и 5.1 Доступно только сотрудникам Google
CVE-2015-3823 ANDROID-21335999 Критический 5.1 и ниже 20 мая 2015 г.
CVE-2015-6600 ANDROID-22882938 Критический 5.1 и ниже 31 июля 2015 г.
CVE-2015-6601 ANDROID-22935234 Критический 5.1 и ниже 3 августа 2015 г.
CVE-2015-3869 ANDROID-23036083 Критический 5.1 и ниже 4 августа 2015 г.
CVE-2015-3870 ANDROID-22771132 Критический 5.1 и ниже 5 августа 2015 г.
CVE-2015-3871 ANDROID-23031033 Критический 5.1 и ниже 6 августа 2015 г.
CVE-2015-3868 ANDROID-23270724 Критический 5.1 и ниже 6 августа 2015 г.
CVE-2015-6604 ANDROID-23129786 Критический 5.1 и ниже 11 августа 2015 г.
CVE-2015-3867 ANDROID-23213430 Критический 5.1 и ниже 14 августа 2015 г.
CVE-2015-6603 ANDROID-23227354 Критический 5.1 и ниже 15 августа 2015 г.
CVE-2015-3876 ANDROID-23285192 Критический 5.1 и ниже 15 августа 2015 г.
CVE-2015-6598 ANDROID-23306638 Критический 5.1 и ниже 18 августа 2015 г.
CVE-2015-3872 ANDROID-23346388 Критический 5.1 и ниже 19 августа 2015 г
CVE-2015-6599 ANDROID-23416608 Критический 5.1 и ниже 21 августа 2015 г.

Удаленное выполнение кода через Sonivox

Уязвимости позволяют злоумышленнику во время обработки специально созданного медиафайла и его данных нарушить целостность информации в памяти и удаленно выполнить код в привилегированном сервисе mediaserver. Из-за этого проблеме присвоен критический уровень. У затронутого компонента есть доступ к аудио- и видеопотокам, а также к разрешениям, недоступным сторонним приложениям.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3874 ANDROID-23335715 Критический 5.1 и ниже Разные
ANDROID-23307276 [2]
ANDROID-23286323

Удаленное выполнение кода в libutils

В универсальной библиотеке libutils обнаружена уязвимость обработки аудиофайлов. При обработке специально созданного файла злоумышленник может нарушить целостность информации в памяти и удаленно выполнить код в сервисе, использующем эту библиотеку (например, mediaserver).

Уязвимая функция является частью API. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней. Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в привилегированном сервисе. У уязвимого компонента есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3875 ANDROID-22952485 Критический 5.1 и ниже 15 августа 2015 г.
CVE-2015-6602 ANDROID-23290056 [2] Критический 5.1 и ниже 15 августа 2015 г.

Удаленное выполнение кода через Skia

Уязвимость позволяет во время обработки специально созданного медиафайла нарушить целостность информации в памяти и удаленно выполнить код в привилегированном процессе. Проблеме присвоен критический уровень, поскольку из-за нее можно удаленно выполнять код на пораженном устройстве (например, при просмотре сайтов в Интернете, обработке медиафайлов MMS и работе с электронной почтой).

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3877 ANDROID-20723696 Критический 5.1 и ниже 30 июля 2015 г.

Удаленное выполнение кода в libFLAC

В libFLAC обнаружена уязвимость обработки медиафайлов. При обработке специально созданного файла злоумышленник может нарушить целостность информации в памяти и удаленно выполнить код.

Уязвимая функция является частью API. Многие приложения позволяют контенту, особенно воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней. Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в привилегированном сервисе. У затронутого компонента есть доступ к аудио- и видеопотокам, а также к разрешениям, недоступным сторонним приложениям.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2014-9028 ANDROID-18872897 [2] Критический 5.1 и ниже 14 ноября 2014 г.

Повышение привилегий через хранилище ключей

Уязвимость позволяет вредоносному ПО при вызове KeyStore API нарушить целостность информации в памяти и выполнить произвольный код в контексте хранилища ключей. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3863 ANDROID-22802399 Высокий 5.1 и ниже 28 июля 2015 г.

Повышение привилегий через фреймворк медиапроигрывателя

Уязвимость фреймворка медиапроигрывателя позволяет вредоносному ПО выполнять произвольный код в контексте процесса mediaserver. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3879 ANDROID-23223325 [2]* Высокий 5.1 и ниже 14 августа 2015 г.

*Второе изменение не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через Android Runtime

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3865 ANDROID-23050463 [2] Высокий 5.1 и ниже 8 августа 2015 г.

Повышение привилегий через mediaserver

Уязвимости позволяют локальному вредоносному ПО выполнять произвольный код в контексте привилегированного оригинального сервиса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6596 ANDROID-20731946 Высокий 5.1 и ниже Разные
ANDROID-20719651*
ANDROID-19573085 Высокий 5.0–6.0 Доступно только сотрудникам Google

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через SEEK

Уязвимость SEEK (Secure Element Evaluation Kit, он же SmartCard API) позволяет приложению получить расширенные права доступа, не запрашивая их. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6606 ANDROID-22301786* Высокий 5.1 и ниже 30 июня 2015 г.

*Эту проблему устраняет обновление, которое можно скачать на сайте.

Повышение привилегий через Media Projection

Уязвимость позволяет перехватывать данные пользователей, делая скриншоты. Если пользователь установит вредоносное ПО со слишком длинным названием (они поддерживаются операционной системой), то предупреждение о записи данных может быть скрыто. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно получить расширенные права доступа.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3878 ANDROID-23345192 Средний 5.0–6.0 18 августа 2015 г.

Повышение привилегий через Bluetooth

Уязвимость позволяет приложениям удалять сохраненные SMS. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно получить расширенные права доступа.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-3847 ANDROID-22343270 Средний 5.1 и ниже 8 июля 2015 г.

Повышение привилегий через SQLite

В инструменте синтаксического анализа SQLite обнаружен ряд уязвимостей. Если локальное приложение использует их для атаки, то другое приложение или сервис смогут выполнять произвольные SQL-запросы. Это может привести к выполнению произвольного кода в контексте целевого приложения.

Исправление загружено на сайт AOSP 8 апреля 2015 года: https://android-review.googlesource.com/#/c/145961/. Оно позволяет обновить SQLite до версии 3.8.9.

В этом бюллетене содержатся исправления для SQLite в Android 4.4 (SQLite 3.7.11), а также в Android 5.0 и 5.1 (SQLite 3.8.6).

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6607 ANDROID-20099586 Средний 5.1 и ниже 7 апреля 2015 г.
Общеизвестная

Отказ в обслуживании в mediaserver

В mediaserver есть несколько уязвимостей, из-за которых можно вызвать сбой процесса mediaserver, что приведет к временному отказу в обслуживании на устройстве. Проблемам присвоен низкий уровень серьезности.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6605 ANDROID-20915134 Низкий 5.1 и ниже Доступно только сотрудникам Google
ANDROID-23142203
ANDROID-22278703 Низкий 5.0–6.0 Доступно только сотрудникам Google
CVE-2015-3862 ANDROID-22954006 Низкий 5.1 и ниже 2 августа 2015 г.

Версии

  • 5 октября 2015 года. Бюллетень опубликован.
  • 7 октября 2015 года. Добавлены ссылки на AOSP и уточненные сведения об уязвимости CVE-2014-9028.
  • 12 октября 2015 года. Добавлены благодарности обнаружившим уязвимости CVE-2015-3868, CVE-2015-3869, CVE-2015-3865 и CVE-2015-3862.
  • 22 января 2016 года. Добавлена благодарность обнаружившим уязвимость CVE-2015-6606.
  • 28 апреля 2016 года. Добавлена информация об уязвимости CVE-2015-6603 и исправлена опечатка в CVE-2014-9028.