Опубликован 4 января 2016 г. | Обновлен 28 апреля 2016 г.
К выходу ежемесячного бюллетеня по безопасности Android мы выпустили беспроводное обновление системы безопасности для устройств Nexus и опубликовали образы встроенного ПО Nexus на сайте Google Developers. Перечисленные проблемы устранены в сборке LMY49F и более поздних версиях, а также в Android 6.0 с исправлением от 1 января 2016 года или более новым. С более подробной информацией можно ознакомиться в разделе Часто задаваемые вопросы.
Мы сообщили партнерам об уязвимостях и предоставили им обновления 7 декабря 2015 года или ранее. По возможности исправления исходного кода были опубликованы в хранилище Android Open Source Project (AOSP).
Самая серьезная из проблем – критическая уязвимость, которая позволяет удаленно выполнять код на пораженном устройстве во время обработки медиафайлов (например, при просмотре сайтов в интернете и работе с электронной почтой и MMS). Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.
У нас нет информации об активном использовании обнаруженных уязвимостей. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность успешной эксплуатации уязвимостей в Android. Мы рекомендуем всем пользователям установить перечисленные в бюллетене обновления.
Предотвращение атак
Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.
- В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем своевременно обновлять систему.
- Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг-приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
- Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.
Благодарности
Благодарим всех, кто помог обнаружить уязвимости:
- Абхишек Арья, Оливер Чан и Мартин Барбелла из команды безопасности Google Chrome: CVE-2015-6636.
- Сэнь Не (@nforest_) и jfang из KEEN lab, Tencent (@K33nTeam): CVE-2015-6637.
- Ябинь Цуй из Android Bionic Team: CVE-2015-6640.
- Том Крейг из Google X: CVE-2015-6641.
- Янн Хорн (https://thejh.net): CVE-2015-6642.
- Йоуни Малинен (PGP ID – EFC895FA): CVE-2015-5310.
- Куан Нгуен из команды Google по безопасности: CVE-2015-6644.
- Гэл Беньямини (@laginimaineb, http://bits-please.blogspot.com): CVE-2015-6639.
Описание уязвимостей
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2016-01-01: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, датой сообщения об ошибке и номерами версий, получивших обновление системы безопасности. Где возможно, мы приводим ссылку на изменение в AOSP, связанное с идентификатором ошибки. Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.
Удаленное выполнение кода через mediaserver
При обработке медиафайлов и данных в специально созданном файле уязвимость в mediaserver позволяет злоумышленнику вызвать повреждение памяти и удаленно выполнить код как процесс mediaserver.
Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.
Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У этого сервиса есть доступ к аудио- и видеопотокам, а также права, которыми обычно не могут обладать сторонние приложения.
| CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Обновленные версии | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-6636 | ANDROID-25070493 | Критический | 5.0, 5.1.1, 6.0, 6.0.1 | Доступно только сотрудникам Google |
| ANDROID-24686670 | Критический | 5.0, 5.1.1, 6.0, 6.0.1 | Доступно только сотрудникам Google |
Повышение привилегий через драйвер misc-sd
Уязвимость обнаружена в драйвере misc-sd от MediaTek. Она позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Уязвимости присвоен критический уровень, поскольку из-за нее может быть нарушена работа системы безопасности и для устранения проблемы потребуется переустановить ОС.
| CVE | Ошибки | Уровень серьезности | Обновленные версии | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-6637 | ANDROID-25307013* | Критический | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 26 октября 2015 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через драйвер Imagination Technologies
Уязвимость обнаружена в драйвере ядра от Imagination Technologies. Она позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Уязвимости присвоен критический уровень, поскольку из-за нее может быть нарушена работа системы безопасности и для устранения проблемы потребуется переустановить ОС.
| CVE | Ошибки | Уровень серьезности | Обновленные версии | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-6638 | ANDROID-24673908* | Критический | 5.0, 5.1.1, 6.0, 6.0.1 | Доступно только сотрудникам Google |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через Trustzone
Уязвимость обнаружена в приложении Widevine QSEE TrustZone. Она позволяет взломанному привилегированному приложению с доступом к QSEECOM выполнять произвольный код в контексте Trustzone. Уязвимости присвоен критический уровень, поскольку из-за нее может быть нарушена работа системы безопасности и для устранения проблемы потребуется переустановить ОС.
| CVE | Ошибки | Уровень серьезности | Обновленные версии | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-6639 | ANDROID-24446875* | Критический | 5.0, 5.1.1, 6.0, 6.0.1 | 23 сентября 2015 г. |
| CVE-2015-6647 | ANDROID-24441554* | Критический | 5.0, 5.1.1, 6.0, 6.0.1 | 27 сентября 2015 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через ядро
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Уязвимости присвоен критический уровень, поскольку из-за нее может быть нарушена работа системы безопасности и для устранения проблемы потребуется переустановить ОС.
| CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Обновленные версии | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-6640 | ANDROID-20017123 | Критический | 4.4.4, 5.0, 5.1.1, 6.0 | Доступно только сотрудникам Google |
Повышение привилегий через Bluetooth
Уязвимость обнаружена в компоненте Bluetooth. Она позволяет получить доступ к контактам пользователя через устройство, удаленно подключенное по Bluetooth. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения уровня dangerous (опасные). Обычно они доступны только сторонним приложениям, установленным на устройстве.
| CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Обновленные версии | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-6641 | ANDROID-23607427 [2] | Высокий | 6.0, 6.0.1 | Доступно только сотрудникам Google |
Раскрытие информации через ядро
Уязвимость в ядре позволяет обойти меры защиты, которые затрудняют эксплуатацию уязвимостей при атаке на платформу, и раскрыть конфиденциальную информацию. Проблемам присвоен высокий уровень серьезности, поскольку из-за них можно также получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).
| CVE | Ошибки | Уровень серьезности | Обновленные версии | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-6642 | ANDROID-24157888* | Высокий | 4.4.4, 5.0, 5.1.1, 6.0 | 12 сентября 2015 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через мастер настройки
Уязвимость позволяет злоумышленнику, в руки которого попало устройство, получить доступ к настройкам и выполнить их сброс. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно обойти защиту от сброса.
| CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Обновленные версии | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-6643 | ANDROID-25290269 [2] | Средний | 5.1.1, 6.0, 6.0.1 | Доступно только сотрудникам Google |
Повышение привилегий через Wi-Fi
Уязвимость компонента Wi-Fi позволяет злоумышленнику, находящемуся рядом с устройством, получить доступ к данным службы Wi-Fi. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно удаленно получить разрешения категории normal (стандартные). Обычно они доступны только сторонним приложениям, установленным на устройстве.
| CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Обновленные версии | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-5310 | ANDROID-25266660 | Средний | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 25 октября 2015 г. |
Раскрытие информации через Bouncy Castle
Уязвимость позволяет локальному вредоносному приложению получать доступ к конфиденциальным данным пользователя. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно получить разрешения уровня dangerous (опасные).
| CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Обновленные версии | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-6644 | ANDROID-24106146 | Средний | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | Доступно только сотрудникам Google |
Отказ в обслуживании в SyncManager
Уязвимость в SyncManager позволяет локальному вредоносному ПО вызвать бесконечную цепочку перезагрузок устройства. Уязвимости присвоен средний уровень серьезности, поскольку она способна вызвать временный локальный отказ отказ в обслуживании, для устранения которого может потребоваться сбросить настройки устройства.
| CVE | Ошибки со ссылками на AOSP | Уровень серьезности | Обновленные версии | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-6645 | ANDROID-23591205 | Средний | 4.4.4, 5.0, 5.1.1, 6.0 | Доступно только сотрудникам Google |
Уменьшение числа направлений атак в ядрах устройств Nexus
SysV IPC не поддерживается в ядрах Android. Мы удалили этот компонент из операционной системы, поскольку он не добавляет в нее функций, но увеличивает количество направлений атак и может использоваться вредоносными приложениями. Кроме того, компонент несовместим с жизненным циклом приложений Android: диспетчер памяти не может высвобождать выделенные ресурсы, что приводит к глобальной утечке ресурсов ядра. Обновление устраняет такие уязвимости, как CVE-2015-7613.
| CVE | Ошибки | Уровень серьезности | Обновленные версии | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-6646 | ANDROID-22300191* | Средний | 6.0 | Доступно только сотрудникам Google |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?
Указанные проблемы устранены в сборке LMY49F и более поздних, а также в Android 6.0 с исправлением от 1 января 2016 года или более новым. Информацию о том, как проверить уровень исправления системы безопасности, можно найти в документации Nexus. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2016-01-01].
Версии
- 4 января 2016 года. Опубликовано впервые.
- 6 января 2016 года. Добавлены ссылки на AOSP.
- 28 апреля 2016 года. Из раздела "Благодарности" удалена информация об уязвимости CVE-2015-6617. В сводную таблицу добавлены сведения о CVE-2015-6647.