Бюллетень по безопасности Nexus – декабрь 2015 г.

К выходу ежемесячного бюллетеня о безопасности Android мы выпустили автоматическое обновление системы безопасности для устройств Nexus и опубликовали образы прошивок Nexus на сайте для разработчиков . Перечисленные проблемы устранены в сборке LMY48Z и более поздних версиях, а также в Android 6.0 с исправлением от 1 декабря 2015 года или более новым. Подробнее…

Мы сообщили партнерам об уязвимостях и предоставили им обновления 2 ноября 2015 года или ранее. Исправления уязвимостей загружены в хранилище Android Open Source Project (AOSP).

Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS).

Обнаруженные уязвимости не эксплуатировались. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android. Мы рекомендуем всем пользователям установить перечисленные в разделе обновления.

Перечень уязвимостей


В таблице ниже перечислены уязвимости, их идентификаторы (CVE) и уровни серьезности. Уровень зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

Уязвимость CVE Уровень серьезности
Удаленное выполнение кода через mediaserver CVE-2015-6616 Критический
Удаленное выполнение кода через Skia CVE-2015-6617 Критический
Повышение привилегий через ядро CVE-2015-6619 Критический
Удаленное выполнение кода через драйверы экрана CVE-2015-6633
CVE-2015-6634
Критический
Удаленное выполнение кода через Bluetooth CVE-2015-6618 Высокий
Повышение привилегий через libstagefright CVE-2015-6620 Высокий
Повышение привилегий через SystemUI CVE-2015-6621 Высокий
Раскрытие информации через библиотеку фреймворков Android CVE-2015-6622 Высокий
Повышение привилегий через Wi-Fi CVE-2015-6623 Высокий
Повышение привилегий через SystemServer CVE-2015-6624 Высокий
Раскрытие информации через libstagefright CVE-2015-6626
CVE-2015-6631
CVE-2015-6632
Высокий
Раскрытие информации через Audio CVE-2015-6627 Высокий
Раскрытие информации через Media Framework CVE-2015-6628 Высокий
Раскрытие информации через Wi-Fi CVE-2015-6629 Высокий
Повышение привилегий через SystemServer CVE-2015-6625 Средний
Раскрытие информации через SystemUI CVE-2015-6630 Средний

Предотвращение атак


Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

  • Использование многих уязвимостей затрудняется в новых версиях Android, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг- приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже установлено, система уведомит об этом пользователя и попытается удалить приложение.
  • Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности


Благодарим всех, кто помог обнаружить уязвимости:

  • Абхишек Арья, Оливер Чен и Мартин Барбелла из команды безопасности Google Chrome: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633, CVE-2015-6634.
  • Флэнкер ( @flanker_hqd ) из KeenTeam ( @K33nTeam ): CVE-2015-6620.
  • Гуан Гун (龚广) ( @oldfresher , higongguang@gmail.com) из Qihoo 360 Technology Co.Ltd : CVE-2015-6626.
  • Марк Картер ( @hanpingchinese ) из EmberMitre Ltd: CVE-2015-6630.
  • Михал Беднарский ( https://github.com/michalbednarski ): CVE-2015-6621.
  • Натали Сильванович из Google Project Zero: CVE-2015-6616.
  • Питер Пи из Trend Micro: CVE-2015-6616, CVE-2015-6628.
  • Цидань Хэ ( @flanker_hqd ) и Марко Грасси ( @marcograss ) из KeenTeam ( @K33nTeam ): CVE-2015-6622.
  • Цзу-Инь (Нина) Тай: CVE-2015-6627.
  • Жуакин Ринауду ( @xeroxnir ), участник Программы безопасности ИКТ Фонда доктора Мануэля Садоски, Буэнос-Айрес, Аргентина: CVE-2015-6631.

Описание уязвимостей


В этом разделе вы найдете подробную информацию обо всех перечисленных выше уязвимостях: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, датой сообщения об ошибке и номерами версий, получивших обновление системы безопасности. Где возможно, мы приведем основную ссылку на сообщение в AOSP, связанное с идентификатором ошибки, и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода через mediaserver

При обработке медиафайлов и данных в специально созданном файле злоумышленник может воспользоваться уязвимостью mediaserver, нарушить целостность информации в памяти и удаленно выполнить код как процесс mediaserver.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2015-6616 ANDROID-24630158 Критический 6.0 и ниже Доступно только сотрудникам Google
ANDROID-23882800 Критический 6.0 и ниже Доступно только сотрудникам Google
ANDROID-17769851 Критический 5.1 и ниже Доступно только сотрудникам Google
ANDROID-24441553 Критический 6.0 и ниже 22 сентября 2015 г.
ANDROID-24157524 Критический 6.0 8 сентября 2015 г.

Удаленное выполнение кода через Skia

Уязвимость Skia позволяет во время обработки специально созданного медиафайла нарушить целостность информации в памяти и удаленно выполнить код в привилегированном процессе. Уязвимости присвоен критический уровень, поскольку она позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS).

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2015-6617 ANDROID-23648740 Критический 6.0 и ниже Доступно только сотрудникам Google

Повышение привилегий через ядро

Уязвимость в ядре позволяет локальному вредоносному ПО выполнять произвольный код на устройстве, используя root-права. Уязвимости присвоен критический уровень, поскольку из-за нее нарушается работа системы безопасности. Для устранения проблемы нужно переустановить ОС.

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2015-6619 ANDROID-23520714 Критический 6.0 и ниже 7 июня 2015 г.

Удаленное выполнение кода через драйверы экрана

Уязвимости обнаружены в драйверах экрана. При обработке медиафайла можно нарушить целостность информации в памяти и выполнить произвольный код в контексте драйвера, загружаемого сервисом mediaserver в пользовательском режиме. Уязвимостям присвоен критический уровень, поскольку они позволяют удаленно выполнять код на пораженном устройстве (в частности, при обработке медиафайлов во время работы с электронной почтой или MMS, а также просмотра сайтов в Интернете).

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2015-6633 ANDROID-23987307* Критический 6.0 и ниже Доступно только сотрудникам Google
CVE-2015-6634 ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] Критический 5.1 и ниже Доступно только сотрудникам Google

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков .

Удаленное выполнение кода через Bluetooth

Если на устройстве используется профиль PAN (например, при работе Bluetooth-модема), то злоумышленник может выполнить произвольный код при том условии, что он подключится к устройству по Bluetooth. Удаленное выполнение кода – это привилегия Bluetooth. Эксплуатация уязвимости возможна только в том случае, если злоумышленник находится рядом с устройством и подключен к нему.

Уязвимости присвоен высокий уровень серьезности, поскольку злоумышленник, ранее получивший разрешение на подключение по Bluetooth, может удаленно выполнить произвольный код, находясь рядом с устройством и совершив несколько действий.

CVE Ошибка Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2015-6618 ANDROID-24595992* Высокий 4.4, 5.0, 5.1 28 сентября 2015 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков .

Повышение привилегий через libstagefright

В libstagefright есть несколько уязвимостей, которые позволяют локальному вредоносному приложению выполнять произвольный код в контексте mediaserver. Уязвимостям присвоен высокий уровень серьезности, поскольку с их помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem ).

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2015-6620 ANDROID-24123723 Высокий 6.0 и ниже 10 сентября 2015 г.
ANDROID-24445127 Высокий 6.0 и ниже 2 сентября 2015 г.

Повышение привилегий через SystemUI

Уязвимость обнаружена в компоненте SystemUI. При установке будильника в "Часах" другое приложение может получить разрешение на выполнение привилегированной задачи. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem ).

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2015-6621 ANDROID-23909438 Высокий 5.0, 5.1, 6.0 7 сентября 2015 г.

Раскрытие информации через библиотеку фреймворков Android

Уязвимость библиотеки фреймворков Android позволяет обойти защиту, предотвращающую атаки на платформу, и раскрыть конфиденциальную информацию. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem ).

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2015-6622 ANDROID-23905002 Высокий 6.0 и ниже 7 сентября 2015 г.

Повышение привилегий через Wi-Fi

Уязвимость Wi-Fi позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem ).

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2015-6623 ANDROID-24872703 Высокий 6.0 Доступно только сотрудникам Google

Повышение привилегий через SystemServer

Уязвимость компонента SystemServer позволяет локальному вредоносному ПО получить доступ к сведениям о сервисах. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem ).

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2015-6624 ANDROID-23999740 Высокий 6.0 Доступно только сотрудникам Google

Раскрытие информации через libstagefright

При обмене данными с mediaserver уязвимости libstagefright позволяют обойти защиту, предотвращающую атаки на платформу, и раскрыть конфиденциальную информацию. Уязвимостям присвоен высокий уровень серьезности, поскольку с их помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem ).

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2015-6632 ANDROID-24346430 Высокий 6.0 и ниже Доступно только сотрудникам Google
CVE-2015-6626 ANDROID-24310423 Высокий 6.0 и ниже 2 сентября 2015 г.
CVE-2015-6631 ANDROID-24623447 Высокий 6.0 и ниже 21 августа 2015 г.

Раскрытие информации через Audio

Уязвимость компонента Audio позволяет локальному вредоносному ПО получить конфиденциальную информацию при обработке специально созданного аудиофайла. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem ).

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2015-6627 ANDROID-24211743 Высокий 6.0 и ниже Доступно только сотрудникам Google

Раскрытие информации через Media Framework

При обмене данными с mediaserver уязвимость Media Framework позволяет обойти защиту, предотвращающую атаки на платформу, и раскрыть конфиденциальную информацию. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem ).

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2015-6628 ANDROID-24074485 Высокий 6.0 и ниже 8 сентября 2015 г.

Раскрытие информации через Wi-Fi

Уязвимость компонента Wi-Fi позволяет злоумышленнику раскрыть конфиденциальную информацию. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem ).

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2015-6629 ANDROID-22667667 Высокий 5.1 и 5.0 Доступно только сотрудникам Google

Повышение привилегий через SystemServer

Уязвимость SystemServer позволяет локальному вредоносному ПО получить доступ к данным службы Wi-Fi. Уязвимости присвоен средний уровень серьезности, поскольку с ее помощью можно получить разрешения уровня dangerous (опасно).

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2015-6625 ANDROID-23936840 Средний 6.0 Доступно только сотрудникам Google

Раскрытие информации через SystemUI

Уязвимость SystemUI позволяет локальному вредоносному ПО получить доступ к скриншотам. Уязвимости присвоен средний уровень серьезности, поскольку с ее помощью можно получить разрешения уровня dangerous (опасно).

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2015-6630 ANDROID-19121797 Средний 5.0, 5.1, 6.0 22 января 2015 г.

Часто задаваемые вопросы

В этом разделе мы ответим на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Перечисленные проблемы устранены в сборке LMY48Z и более поздних версиях, а также в Android 6.0 с исправлением от 1 декабря 2015 года или более новым. О том, как узнать дату последнего обновления системы безопасности, рассказывается в Справочном центре Nexus . Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2015-12-01].

Версии


  • 7 декабря 2015 года. Опубликовано впервые.
  • 9 декабря 2015 года. Добавлены ссылки на AOSP.
  • 22 декабря 2015 года. Добавлены благодарности.