Бюллетень по безопасности Nexus – ноябрь 2015 г.

Опубликовано 2 ноября 2015 г.

К выходу ежемесячного бюллетеня о безопасности Android мы выпустили автоматическое обновление системы безопасности для устройств Nexus и опубликовали образы прошивок Nexus на сайте для разработчиков. Перечисленные проблемы устранены в сборке LMY48X и более поздних версиях, а также в Android 6.0 Marshmallow с исправлением от 1 ноября 2015 года. Подробнее…

Мы сообщили партнерам об уязвимостях 5 октября 2015 года или ранее. Исправления уязвимостей будут доступны в хранилище Android Open Source Project (AOSP) в течение 48 часов. Позже мы дополним этот бюллетень ссылками на AOSP.

Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS). Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android. Мы рекомендуем всем пользователям установить перечисленные здесь обновления.

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

  • Использование многих уязвимостей затрудняется в новых версиях Android, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг-приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже установлено, система уведомит об этом пользователя и попытается удалить приложение.
  • Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

  • Абхишек Арья, Оливер Чен и Мартин Барбелла, из команды безопасности Google Chrome: CVE-2015-6608.
  • Дэниел Микей (daniel.micay@copperhead.co) из Copperhead Security: CVE-2015-6609.
  • Донкван Ким (dkay@kaist.ac.kr) из System Security Lab, KAIST: CVE-2015-6614.
  • Хонгиль Ким (hongilk@kaist.ac.kr) из System Security Lab, KAIST: CVE-2015-6614.
  • Джек Тэн (@jacktang310) из Trend Micro: CVE-2015-6611.
  • Питер Пи из Trend Micro: CVE-2015-6611.
  • Натали Сильванович из Google Project Zero: CVE-2015-6608.
  • Цидань Хэ (flanker_hqd) и Вэнь Сюй (@antlr7) из KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612.
  • Гуан Гун (龚广) (@oldfresher, higongguang@gmail.com) из Qihoo 360 Technology Co.Ltd: CVE-2015-6612.
  • Севен Шэнь из Trend Micro: CVE-2015-6610.

Описание уязвимостей

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2015-11-01: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми версиями и датой сообщения об ошибке. Где возможно, мы приводим основную ссылку на изменение в AOSP, связанное с идентификатором ошибки, и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода в mediaserver

При обработке медиафайлов и данных в специально созданном файле злоумышленник может воспользоваться уязвимостью mediaserver, нарушить целостность информации в памяти и удаленно выполнить код как процесс mediaserver.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6608 ANDROID-19779574 Критический 5.0, 5.1, 6.0 Доступно только сотрудникам Google
ANDROID-23680780
ANDROID-23876444
ANDROID-23881715 Критический 4.4, 5.0, 5.1, 6.0 Доступно только сотрудникам Google
ANDROID-14388161 Критический 4.4 и 5.1 Доступно только сотрудникам Google
ANDROID-23658148 Критический 5.0, 5.1, 6.0 Доступно только сотрудникам Google

Удаленное выполнение кода в libutils

Уязвимость универсальной библиотеки libutils можно использовать при обработке аудиофайлов. Она позволяет злоумышленнику во время обработки специально созданного файла нарушить целостность информации в памяти и удаленно выполнить код.

Уязвимая функция является частью API. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней. Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в привилегированном сервисе. У уязвимого компонента есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6609 ANDROID-22953624 [2] Критический 6.0 и ниже 3 августа 2015 г.

Раскрытие информации в mediaserver

Уязвимости mediaserver позволяют обойти защиту, предотвращающую атаки на платформу, и раскрыть конфиденциальную информацию.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6611 ANDROID-23905951 [2] [3] Высокий 6.0 и ниже 7 сентября 2015 г.
ANDROID-23912202*
ANDROID-23953967*
ANDROID-23696300 Высокий 6.0 и ниже 31 августа 2015 г.
ANDROID-23600291 Высокий 6.0 и ниже 26 августа 2015 г.
ANDROID-23756261 [2] Высокий 6.0 и ниже 26 августа 2015 г.
ANDROID-23540907 [2] Высокий 5.1 и ниже 25 августа 2015 г.
ANDROID-23541506 Высокий 6.0 и ниже 25 августа 2015 г.
ANDROID-23284974*
ANDROID-23542351*
ANDROID-23542352*
ANDROID-23515142 Высокий 5.1 и ниже 19 августа 2015 г.

*Исправление для этой уязвимости можно скачать по другим ссылкам в AOSP.

Повышение привилегий через libstagefright

Уязвимость libstagefright позволяет локальному вредоносному ПО нарушить целостность информации в памяти и выполнить произвольный код в контексте сервиса mediaserver. Подобным уязвимостям обычно присваивается критический уровень серьезности, однако мы указали высокий уровень из-за низкой вероятности удаленной атаки.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6610 ANDROID-23707088 [2] Высокий 6.0 и ниже 19 августа 2015 г.

Повышение привилегий через libmedia

Уязвимость libmedia позволяет локальному вредоносному ПО выполнять произвольный код в контексте сервиса mediaserver. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6612 ANDROID-23540426 Высокий 6.0 и ниже 23 августа 2015 г.

Повышение привилегий через Bluetooth

Уязвимость Bluetooth позволяет локальному приложению отправлять команды принимающему порту отладки на устройстве. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6613 ANDROID-24371736 Высокий 6.0 Доступно только сотрудникам Google

Повышение привилегий через телефонную связь

Уязвимость телефонной связи позволяет локальному вредоносному ПО передавать несанкционированные данные в закрытые сетевые интерфейсы. Это может привести к значительным расходам на мобильный трафик. Кроме того, злоумышленник сможет блокировать входящие звонки, а также контролировать отключение звука при звонках. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно получить разрешения уровня dangerous (опасно).

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6614 ANDROID-21900139 [2] [3] Средний 5.0, 5.1 8 июня 2015 г.

Часто задаваемые вопросы

В этом разделе мы ответим на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Проблемы устранены в сборке LMY48X и более поздних версиях, а также в Android 6.0 Marshmallow с исправлением от 1 ноября 2015 года. Информацию о том, как проверить обновления системы безопасности, можно найти в документации Nexus. Производители устройств, позволяющие установить эти обновления, должны присвоить им строку [ro.build.version.security_patch]:[2015-11-01].

Версии

  • 2 ноября 2015 года. Бюллетень опубликован.