Бюллетень по безопасности Nexus – ноябрь 2015 г.

Опубликовано 2 ноября 2015 года

К выходу ежемесячного бюллетеня о безопасности Android мы выпустили автоматическое обновление системы безопасности для устройств Nexus и опубликовали образы прошивок Nexus на сайте для разработчиков . Перечисленные проблемы устранены в сборке LMY48X и более поздних версиях, а также в Android 6.0 Marshmallow с исправлением от 1 ноября 2015 года. Подробнее…

Мы сообщили партнерам об уязвимостях 5 октября 2015 года или ранее. Исправления уязвимостей будут доступны в хранилище Android Open Source Project (AOSP) в течение 48 часов. Позже мы дополним этот бюллетень ссылками на AOSP.

Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS).

Обнаруженные уязвимости не эксплуатировались. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android. Мы рекомендуем всем пользователям установить перечисленные в разделе обновления.

Перечень уязвимостей


В таблице ниже перечислены уязвимости, их идентификаторы (CVE) и уровни серьезности. Уровень зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

Уязвимость CVE Уровень серьезности
Удаленное выполнение кода в mediaserver CVE-2015-6608 Критический
Удаленное выполнение кода в libutils CVE-2015-6609 Критический
Раскрытие информации в mediaserver CVE-2015-6611 Высокий
Повышение привилегий через libstagefright CVE-2015-6610 Высокий
Повышение привилегий через libmedia CVE-2015-6612 Высокий
Повышение привилегий через Bluetooth CVE-2015-6613 Высокий
Повышение привилегий через телефонную связь CVE-2015-6614 Средний

Уровень зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

Предотвращение атак


Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

  • Использование многих уязвимостей затрудняется в новых версиях Android, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг- приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышении привилегий, и блокировать его установку. Если подобное ПО уже установлено, система уведомит об этом пользователя и попытается удалить приложение.
  • Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности


Благодарим всех, кто помог обнаружить уязвимости:

  • Абхишек Арья, Оливер Чен и Мартин Барбелла, Команда безопасности Google Chrome: CVE-2015-6608.
  • Дэниел Микей (daniel.micay@copperhead.co) из Copperhead Security: CVE-2015-6609.
  • Донкван Ким (dkay@kaist.ac.kr) из System Security Lab, KAIST: CVE-2015-6614.
  • Хонгиль Ким (hongilk@kaist.ac.kr) из System Security Lab, KAIST: CVE-2015-6614.
  • Джек Тэн (@jacktang310) из Trend Micro: CVE-2015-6611.
  • Питер Пи из Trend Micro: CVE-2015-6611.
  • Натали Сильванович из Google Project Zero: CVE-2015-6608.
  • Цидань Хэ (flanker_hqd) и Вэнь Сюй (@antlr7) из KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612.
  • Севен Шен из Trend Micro: CVE-2015-6610.

Описание уязвимостей


В этом разделе вы найдете подробную информацию обо всех перечисленных выше уязвимостях: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми версиями и датой сообщения об ошибке. Где возможно, мы приводим основную ссылку на сообщение в AOSP, связанное с идентификатором ошибки, и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода в mediaserver

При обработке медиафайлов и данных в специально созданном файле злоумышленник может воспользоваться уязвимостью mediaserver, нарушить целостность информации в памяти и удаленно выполнить код как процесс mediaserver.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6608 ANDROID-19779574 Критический 5.0, 5.1, 6.0 Доступно только сотрудникам Google
ANDROID-23680780
ANDROID-23876444
ANDROID-23881715 Критический 4.4, 5.0, 5.1, 6.0 Доступно только сотрудникам Google
ANDROID-14388161 Критический 4.4 и 5.1 Доступно только сотрудникам Google
ANDROID-23658148 Критический 5.0, 5.1, 6.0 Доступно только сотрудникам Google

Удаленное выполнение кода в libutils

Уязвимость универсальной библиотеки libutils можно использовать при обработке аудиофайлов. Она позволяет злоумышленнику во время обработки специально созданного файла нарушить целостность информации в памяти и удаленно выполнить код.

Уязвимая функция является частью API. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней. Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в привилегированном сервисе. У уязвимого компонента есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6609 ANDROID-22953624 [ 2 ] Критический 6.0 и ниже 3 августа 2015 г.

Раскрытие информации в mediaserver

Уязвимости mediaserver позволяют обойти защиту, предотвращающую атаки на платформу, и раскрыть конфиденциальную информацию.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6611 ANDROID-23905951 [ 2 ] [ 3 ] Высокий 6.0 и ниже 7 сентября 2015 г.
ANDROID-23912202*
ANDROID-23953967*
ANDROID-23696300 Высокий 6.0 и ниже 31 августа 2015 г.
ANDROID-23600291 Высокий 6.0 и ниже 26 августа 2015 г.
ANDROID-23756261 [ 2 ] Высокий 6.0 и ниже 26 августа 2015 г.
ANDROID-23540907 [ 2 ] Высокий 5.1 и ниже 25 августа 2015 г.
ANDROID-23541506 Высокий 6.0 и ниже 25 августа 2015 г.
ANDROID-23284974*
ANDROID-23542351*
ANDROID-23542352*
ANDROID-23515142 Высокий 5.1 и ниже 19 августа 2015 г.

*Исправление для этой уязвимости можно скачать по другим ссылкам в AOSP.

Повышение привилегий через libstagefright

Уязвимость libstagefright позволяет локальному вредоносному ПО нарушить целостность информации в памяти и выполнить произвольный код в контексте сервиса mediaserver. Подобным уязвимостям обычно присваивается критический уровень серьезности, однако мы указали высокий уровень из-за низкой вероятности удаленной атаки.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6610 ANDROID-23707088 [ 2 ] Высокий 6.0 и ниже 19 августа 2015 г.

Повышение привилегий через libmedia

Уязвимость libmedia позволяет локальному вредоносному ПО выполнять произвольный код в контексте сервиса mediaserver. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6612 ANDROID-23540426 Высокий 6.0 и ниже 23 августа 2015 г.

Повышение привилегий через Bluetooth

Уязвимость Bluetooth позволяет локальному приложению отправлять команды принимающему порту отладки на устройстве. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem ).

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6613 ANDROID-24371736 Высокий 6.0 Доступно только сотрудникам Google

Повышение привилегий через телефонную связь

Уязвимость телефонной связи позволяет локальному вредоносному ПО передавать несанкционированные данные в закрытые сетевые интерфейсы. Это может привести к значительным расходам на мобильный трафик. Кроме того, злоумышленник сможет блокировать входящие звонки, а также контролировать отключение звука при звонках. Уязвимости присвоен средний уровень серьезности, поскольку с ее помощью можно получить разрешения уровня dangerous (опасно).

CVE Ошибки со ссылками на AOSP Уровень серьезности Уязвимые версии Дата сообщения об ошибке
CVE-2015-6614 ANDROID-21900139 [ 2 ] [ 3 ] Средний 5.0, 5.1 8 июня 2015 г.

Часто задаваемые вопросы

В этом разделе мы ответим на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Проблемы устранены в сборке LMY48X и более поздних версиях, а также в Android 6.0 Marshmallow с исправлением от 1 ноября 2015 года. Узнать о том, как проверить уровень обновления системы безопасности, можно в документации по Nexus . Производители устройств, позволяющие установить эти обновления, должны присвоить им строку [ro.build.version.security_patch]:[2015-11-01].

Версии


  • 2 ноября 2015 года: опубликовано впервые