Google jest zaangażowany w promowanie równości rasowej dla społeczności czarnych. Zobacz jak.
Ta strona została przetłumaczona przez Cloud Translation API.
Switch to English

Biuletyn zabezpieczeń Nexusa - grudzień 2015 r

Opublikowano 7 grudnia 2015 | Zaktualizowano 7 marca 2016 r

Wydaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji OTA w ramach naszego comiesięcznego procesu wydawania biuletynów zabezpieczeń Androida. Obrazy oprogramowania układowego Nexusa zostały również udostępnione w witrynie Google Developer . Kompilacje LMY48Z lub nowsze i Android 6.0 z poziomem poprawek zabezpieczeń z 1 grudnia 2015 r. Lub nowszym rozwiązują te problemy. Więcej informacji można znaleźć w sekcji Często zadawane pytania i odpowiedzi .

Partnerzy zostali powiadomieni o tych problemach i udostępnili im aktualizacje 2 listopada 2015 r. Lub wcześniej. W stosownych przypadkach poprawki kodu źródłowego dotyczące tych problemów zostały opublikowane w repozytorium Android Open Source Project (AOSP).

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwić zdalne wykonanie kodu na urządzeniu, którego dotyczy luka, przy użyciu wielu metod, takich jak poczta e-mail, przeglądanie sieci Web i wiadomości MMS podczas przetwarzania plików multimedialnych. Ocena istotności opiera się na wpływie, jaki wykorzystanie luki prawdopodobnie miałoby na urządzenie, którego dotyczy luka, przy założeniu, że platforma i narzędzia ograniczające zagrożenie są wyłączone do celów programistycznych lub po pomyślnym obejściu.

Nie otrzymaliśmy żadnych zgłoszeń dotyczących aktywnego wykorzystywania przez klientów tych nowo zgłoszonych problemów. Zapoznaj się z sekcją Ograniczenia, aby uzyskać szczegółowe informacje na temat zabezpieczeń platformy Android i zabezpieczeń usług, takich jak SafetyNet, które zwiększają bezpieczeństwo platformy Android. Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Środki łagodzące

To jest podsumowanie środków zaradczych zapewnianych przez platformę bezpieczeństwa systemu Android i zabezpieczenia usług, takie jak SafetyNet. Te możliwości zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach w systemie Android.

  • Wykorzystanie wielu problemów w systemie Android jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do aktualizacji do najnowszej wersji Androida, jeśli to możliwe.
  • Zespół bezpieczeństwa Androida aktywnie monitoruje nadużycia za pomocą Verify Apps i SafetyNet, które ostrzegają o potencjalnie szkodliwych aplikacjach, które mają zostać zainstalowane. Narzędzia do rootowania urządzeń są zabronione w Google Play. Aby chronić użytkowników, którzy instalują aplikacje spoza Google Play, funkcja Weryfikuj aplikacje jest domyślnie włączona i ostrzega użytkowników o znanych aplikacjach do rootowania. Weryfikuj aplikacje próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji, które wykorzystują lukę umożliwiającą eskalację uprawnień. Jeśli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i spróbuje usunąć wszelkie takie aplikacje.
  • W razie potrzeby aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak serwer mediów.

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

  • Abhishek Arya, Oliver Chang i Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , CVE-2015-6634
  • Flanker ( @flanker_hqd ) z KeenTeam ( @ K33nTeam ): CVE-2015-6620
  • Guang Gong (龚 广) ( @oldfresher , higongguang@gmail.com) firmy Qihoo 360 Technology Co.Ltd : CVE-2015-6626
  • Mark Carter ( @hanpingchinese ) z EmberMitre Ltd: CVE-2015-6630
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2015-6621
  • Natalie Silvanovich z Google Project Zero: CVE-2015-6616
  • Peter Pi z firmy Trend Micro: CVE-2015-6616, CVE-2015-6628
  • Qidan He ( @flanker_hqd ) i Marco Grassi ( @marcograss ) z KeenTeam ( @ K33nTeam ): CVE-2015-6622
  • Tzu-Yin (Nina) Tai: CVE-2015-6627
  • Joaquín Rinaudo ( @xeroxnir ) z Programa STIC w Fundación Dr. Manuel Sadosky, Buenos Aires, Argentyna: CVE-2015-6631
  • Wangtao (neobyte) z Baidu X-Team: CVE-2015-6626

Szczegóły luki w zabezpieczeniach

W poniższych sekcjach przedstawiamy szczegółowe informacje na temat każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek 2015-12-01. Znajduje się tam opis problemu, uzasadnienie wagi oraz tabela z CVE, powiązanym błędem, istotnością, zaktualizowanymi wersjami i zgłoszoną datą. Gdy będzie dostępna, połączymy zmianę AOSP, która dotyczyła problemu, z identyfikatorem błędu. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odwołania AOSP są połączone z numerami po identyfikatorze błędu.

Luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu w serwerze mediów

Podczas przetwarzania pliku multimedialnego i danych specjalnie spreparowanego pliku luki w zabezpieczeniach serwera mediów mogą pozwolić osobie atakującej na uszkodzenie pamięci i zdalne wykonanie kodu jako proces serwera mediów.

Funkcjonalność, której dotyczy problem, jest podstawową częścią systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do zawartości zdalnej, w szczególności MMS-ów i odtwarzania multimediów w przeglądarce.

Ten problem jest oceniany jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście usługi serwera mediów. Usługa mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których aplikacje innych firm nie mają normalnie dostępu.

CVE Błąd (y) z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2015-6616 ANDROID-24630158 Krytyczny 6.0 i poniżej Google Internal
ANDROID-23882800 Krytyczny 6.0 i poniżej Google Internal
ANDROID-17769851 Krytyczny 5.1 i poniżej Google Internal
ANDROID-24441553 Krytyczny 6.0 i poniżej 22 września 2015
ANDROID-24157524 Krytyczny 6.0 08 września 2015

Luka umożliwiająca zdalne wykonanie kodu w Skia

Podczas przetwarzania specjalnie spreparowanego pliku multimedialnego może zostać wykorzystana luka w zabezpieczeniach składnika Skia, która może prowadzić do uszkodzenia pamięci i zdalnego wykonania kodu w procesie uprzywilejowanym. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu za pomocą wielu metod ataku, takich jak poczta e-mail, przeglądanie sieci Web i wiadomości MMS podczas przetwarzania plików multimedialnych.

CVE Błąd (y) z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2015-6617 ANDROID-23648740 Krytyczny 6.0 i poniżej Wewnętrzne Google

Podniesienie uprawnień w jądrze

Luka w zabezpieczeniach jądra systemu umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście katalogu głównego urządzenia. Ten problem został oceniony jako krytyczny ze względu na możliwość lokalnego, trwałego naruszenia bezpieczeństwa urządzenia, a urządzenie można było naprawić tylko przez ponowne flashowanie systemu operacyjnego.

CVE Błąd (y) z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2015-6619 ANDROID-23520714 Krytyczny 6.0 i poniżej 07 czerwca 2015

Luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu w sterowniku ekranu

Istnieją luki w sterownikach ekranu, które podczas przetwarzania pliku multimedialnego mogą powodować uszkodzenie pamięci i potencjalne wykonanie dowolnego kodu w kontekście sterownika trybu użytkownika załadowanego przez serwer mediów. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu za pomocą wielu metod ataku, takich jak poczta e-mail, przeglądanie sieci Web i wiadomości MMS podczas przetwarzania plików multimedialnych.

CVE Błąd (y) z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2015-6633 ANDROID-23987307 * Krytyczny 6.0 i poniżej Google Internal
CVE-2015-6634 ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] Krytyczny 5.1 i poniżej Google Internal

* Łatka dotycząca tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Luka umożliwiająca zdalne wykonanie kodu w Bluetooth

Luka w komponencie Bluetooth systemu Android umożliwia zdalne wykonanie kodu. Jednak zanim do tego dojdzie, potrzeba wielu ręcznych kroków. Aby to zrobić, wymagałoby to pomyślnego sparowania urządzenia, po włączeniu profilu sieci osobistej (PAN) (na przykład przy użyciu tetheringu Bluetooth) i sparowaniu urządzenia. Zdalne wykonanie kodu byłoby przywilejem usługi Bluetooth. Urządzenie jest narażone na ten problem tylko z pomyślnie sparowanego urządzenia znajdującego się w pobliżu.

Ten problem jest oceniany jako bardzo poważny, ponieważ osoba atakująca może zdalnie wykonać dowolny kod tylko po wykonaniu wielu ręcznych kroków i od lokalnego atakującego, któremu wcześniej zezwolono na sparowanie urządzenia.

CVE Robaki) Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2015-6618 ANDROID-24595992 * Wysoki 4.4, 5.0 i 5.1 28 września 2015

* Łatka dotycząca tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podniesienie poziomu luk w zabezpieczeniach w libstagefright

W libstagefright występuje wiele luk w zabezpieczeniach, które mogą umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście usługi serwera mediów. Ten problem jest oceniany jako bardzo istotny, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia Signature lub SignatureOrSystem , które nie są dostępne dla aplikacji innych firm.

CVE Błąd (y) z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2015-6620 ANDROID-24123723 Wysoki 6.0 i poniżej 10 września 2015
ANDROID-24445127 Wysoki 6.0 i poniżej 2 września 2015

Podniesienie luki w zabezpieczeniach przywilejów w SystemUI

Podczas ustawiania alarmu za pomocą aplikacji zegara luka w komponencie SystemUI może pozwolić aplikacji na wykonanie zadania z podwyższonym poziomem uprawnień. Ten problem jest oceniany jako bardzo istotny, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia Signature lub SignatureOrSystem , które nie są dostępne dla aplikacji innych firm.

CVE Błąd (y) z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2015-6621 ANDROID-23909438 Wysoki 5.0, 5.1 i 6.0 7 września 2015

Luka umożliwiająca ujawnienie informacji w bibliotece natywnych struktur

Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w bibliotece natywnych struktur systemu Android może pozwolić na ominięcie środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę. Te problemy są oceniane jako bardzo istotne, ponieważ mogą być również wykorzystywane do uzyskiwania podwyższonych możliwości, takich jak uprawnienia Signature lub SignatureOrSystem , które nie są dostępne dla aplikacji innych firm.

CVE Błąd (y) z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2015-6622 ANDROID-23905002 Wysoki 6.0 i poniżej 7 września 2015

Podniesienie poziomu luki w zabezpieczeniach Wi-Fi

Luka w zabezpieczeniach Wi-Fi umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście usługi systemowej z podwyższonym poziomem uprawnień. Ten problem jest oceniany jako bardzo istotny, ponieważ można go użyć do uzyskania podwyższonych możliwości, takich jak uprawnienia Signature lub SignatureOrSystem , które nie są dostępne dla aplikacji innych firm.

CVE Błąd (y) z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2015-6623 ANDROID-24872703 Wysoki 6.0 Google Internal

Podniesienie poziomu luki w zabezpieczeniach serwera systemowego

Luka w zabezpieczeniach składnika System Server umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji uzyskanie dostępu do informacji związanych z usługą. Ten problem jest oceniany jako bardzo istotny, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia Signature lub SignatureOrSystem , które nie są dostępne dla aplikacji innych firm.

CVE Błąd (y) z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2015-6624 ANDROID-23999740 Wysoki 6.0 Wewnętrzne Google

Luki w zabezpieczeniach związane z ujawnieniem informacji w libstagefright

W libstagefright istnieją luki w zabezpieczeniach umożliwiające ujawnienie informacji, które podczas komunikacji z serwerem mediów mogą pozwolić na ominięcie środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę. Te problemy są oceniane jako bardzo istotne, ponieważ mogą być również wykorzystywane do uzyskiwania podwyższonych możliwości, takich jak uprawnienia Signature lub SignatureOrSystem , które nie są dostępne dla aplikacji innych firm.

CVE Błąd (y) z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2015-6632 ANDROID-24346430 Wysoki 6.0 i poniżej Google Internal
CVE-2015-6626 ANDROID-24310423 Wysoki 6.0 i poniżej 2 września 2015
CVE-2015-6631 ANDROID-24623447 Wysoki 6.0 i poniżej 21 sierpnia 2015

Luka umożliwiająca ujawnienie informacji w audio

Luka w komponencie Audio może zostać wykorzystana podczas przetwarzania pliku audio. Ta luka w zabezpieczeniach może pozwolić lokalnej złośliwej aplikacji podczas przetwarzania specjalnie spreparowanego pliku na ujawnienie informacji. Ten problem jest oceniany jako bardzo istotny, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia Signature lub SignatureOrSystem , które nie są dostępne dla aplikacji innych firm.

CVE Błąd (y) z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2015-6627 ANDROID-24211743 Wysoki 6.0 i poniżej Google Internal

Luka umożliwiająca ujawnienie informacji w strukturze mediów

W programie Media Framework istnieje luka umożliwiająca ujawnienie informacji, która podczas komunikacji z serwerem mediów może pozwolić na ominięcie środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę. Ten problem jest oceniany jako bardzo istotny, ponieważ można go również wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia Signature lub SignatureOrSystem , które nie są dostępne dla aplikacji innych firm.

CVE Błąd (y) z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2015-6628 ANDROID-24074485 Wysoki 6.0 i poniżej 8 września 2015

Luka umożliwiająca ujawnienie informacji w Wi-Fi

Luka w składniku Wi-Fi może pozwolić osobie atakującej na spowodowanie ujawnienia informacji przez usługę Wi-Fi. Ten problem jest oceniany jako bardzo istotny, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia Signature lub SignatureOrSystem , które nie są dostępne dla aplikacji innych firm.

CVE Błąd (y) z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2015-6629 ANDROID-22667667 Wysoki 5.1 i 5.0 Google Internal

Podniesienie poziomu luki w zabezpieczeniach serwera systemowego

Luka w zabezpieczeniach serwera systemowego umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji uzyskanie dostępu do informacji związanych z usługą Wi-Fi. Ten problem jest oceniany jako umiarkowanie poważny, ponieważ może zostać wykorzystany do nieprawidłowego uzyskania „ niebezpiecznych ” uprawnień.

CVE Błąd (y) z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2015-6625 ANDROID-23936840 Umiarkowany 6.0 Google Internal

Luka umożliwiająca ujawnienie informacji w SystemUI

Luka umożliwiająca ujawnienie informacji w SystemUI może umożliwić lokalnej złośliwej aplikacji uzyskanie dostępu do zrzutów ekranu. Ten problem jest oceniany jako umiarkowany, ponieważ może zostać użyty do nieprawidłowego uzyskania „ niebezpiecznych ” uprawnień.

CVE Błąd (y) z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2015-6630 ANDROID-19121797 Umiarkowany 5.0, 5.1 i 6.0 22 stycznia 2015

Częste pytania i odpowiedzi

W tej sekcji omówiono odpowiedzi na typowe pytania, które mogą się pojawić po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Kompilacje LMY48Z lub nowsze i Android 6.0 z poziomem poprawek zabezpieczeń z 1 grudnia 2015 r. Lub nowszym rozwiązują te problemy. Zapoznaj się z dokumentacją Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń. Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]: [2015-12-01]

Poprawki

  • 7 grudnia 2015 r .: pierwotna publikacja
  • 9 grudnia 2015 r .: zaktualizowano biuletyn o linki AOSP.
  • 22 grudnia 2015: Dodano brakujące punkty do sekcji Podziękowania.
  • 7 marca 2016 r .: Dodano brakujący kredyt do sekcji Podziękowania.