Бюллетень по безопасности Nexus – февраль 2016 г.

Опубликован 1 февраля 2016 г. | Обновлен 7 марта 2016 г.

К выходу ежемесячного бюллетеня по безопасности Android мы выпустили беспроводное обновление системы безопасности для устройств Nexus и опубликовали образы встроенного ПО Nexus на сайте для разработчиков. Перечисленные проблемы устранены в сборке LMY49G и более поздних версиях, а также в Android M с исправлением от 1 февраля 2016 года или более новым. Сведения о том, как проверить версию системы безопасности, можно найти в документации Nexus.

Мы сообщили партнерам об уязвимостях 4 января 2016 года или ранее. По возможности исправления публикуются в хранилище Android Open Source Project (AOSP).

Самая серьезная из проблем – критическая уязвимость, которая позволяет удаленно выполнять код на затрагиваемом устройстве во время обработки медиафайлов (например, при просмотре сайтов в интернете и работе с электронной почтой и MMS). Кроме того, критический уровень присвоен уязвимости Wi-Fi-драйвера Broadcom, поскольку она позволяет удаленно выполнять код на затрагиваемом устройстве, когда пользователь и злоумышленник подключены к одной сети. Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

У нас нет информации об активном использовании обнаруженных уязвимостей. Сведения о том, как платформа безопасности Android и средства защиты сервисов, например SafetyNet, помогают снизить вероятность успешного применения уязвимостей Android, можно найти в разделе Предотвращение атак. Мы рекомендуем всем пользователям установить перечисленные в бюллетене обновления.

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг-приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
  • Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

  • Команды безопасности Android и Chrome: CVE-2016-0809, CVE-2016-0810.
  • Команда Broadgate: CVE-2016-0801, CVE-2015-0802.
  • Чиачи У (@chiachih_wu), Минцзянь Чжоу (@Mingjian_Zhou) и Сюйсянь Цзян из C0RE Team, Qihoo 360: CVE-2016-0804.
  • Дэвид Райли из команды Google Pixel C: CVE-2016-0812.
  • Гэнцзя Чэнь (@chengjia4574) из Lab IceSword, Qihoo 360: CVE-2016-0805.
  • Цидань Хэ (@Flanker_hqd) из Keen Lab (@keen_lab), Tencent: CVE-2016-0811.
  • Севен Шэнь (@lingtongshen) из Trend Micro (www.trendmicro.com): CVE-2016-0803.
  • Вэйчао Сунь (@sunblate) из Alibaba Inc.: CVE-2016-0808.
  • Зак Риггл (@ebeip90) из команды безопасности Android: CVE-2016-0807.

Описание уязвимостей

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2016-02-01: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми версиями и датой сообщения об ошибке. Где возможно, мы приводим ссылку на изменение в AOSP, связанное с идентификатором ошибки. Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Удаленное выполнение кода через Wi-Fi-драйвер Broadcom

Уязвимости позволяют злоумышленнику нарушить целостность памяти ядра с помощью специально созданных пакетов управляющих сообщений для беспроводных сетей и удаленно выполнить код в контексте ядра. Это может произойти в том случае, если пользователь устройства и злоумышленник подключены к одной сети. Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в контексте ядра без вмешательства пользователя.

CVE Ошибки Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0801 ANDROID-25662029
ANDROID-25662233
Критический 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 октября 2015 г.
CVE-2016-0802 ANDROID-25306181 Критический 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26 октября 2015 г.

Удаленное выполнение кода через mediaserver

При обработке медиафайлов и данных в специально созданном файле злоумышленник может воспользоваться уязвимостью MediaServer, нарушить целостность информации в памяти и удаленно выполнить код как процесс MediaServer.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У этого сервиса есть доступ к аудио- и видеопотокам, а также права, которыми обычно не могут обладать сторонние приложения.

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0803 ANDROID-25812794 Критический 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 19 ноября 2015 г.
CVE-2016-0804 ANDROID-25070434 Критический 5.0, 5.1.1, 6.0, 6.0.1 12 октября 2015 г.

Повышение привилегий через модуль производительности процессора Qualcomm

Уязвимость обнаружена в диспетчере событий производительности для ARM-процессоров Qualcomm. Она позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Уязвимости присвоен критический уровень, поскольку из-за нее нарушается работа системы безопасности. Для устранения проблемы нужно переустановить ОС.

CVE Ошибка Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0805 ANDROID-25773204* Критический 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 15 ноября 2015 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение уровня прав доступа через Wi-Fi-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен критический уровень, поскольку из-за нее может нарушиться работа устройства и потребоваться переустановка ОС.

CVE Ошибка Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0806 ANDROID-25344453* Критический 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 15 ноября 2015 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение уровня прав доступа Debuggerd

Уязвимость компонента Debuggerd позволяет локальному вредоносному ПО выполнять произвольный код на устройстве, используя root-права. Проблеме присвоен критический уровень, поскольку из-за нее может нарушиться работа устройства и потребоваться переустановка ОС.

CVE Ошибка со ссылкой на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0807 ANDROID-25187394 Критический 6.0, 6.0.1 Доступно только сотрудникам Google

Отказ в обслуживании в Minikin

Уязвимость в библиотеке Minikin позволяет локальному взломщику временно заблокировать доступ к пораженному устройству. Злоумышленник может инициировать загрузку ненадежного шрифта, что вызовет переполнение Minikin и сбой в работе устройства. Уязвимости присвоен высокий уровень серьезности, поскольку из-за отказа в обслуживании начинается бесконечная цепочка перезагрузок устройства.

CVE Ошибка со ссылкой на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0808 ANDROID-25645298 Высокий 5.0, 5.1.1, 6.0, 6.0.1 3 ноября 2015 г.

Повышение привилегий через Wi-Fi

Уязвимость компонента Wi-Fi позволяет локальному вредоносному ПО выполнять произвольный код в контексте системы. Эксплуатация уязвимости возможна только в том случае, если злоумышленник находится рядом с устройством. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно удаленно получить разрешения уровня normal (стандартные). Как правило, они доступны только сторонним приложениям, установленным на устройстве.

CVE Ошибка со ссылкой на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0809 ANDROID-25753768 Высокий 6.0, 6.0.1 Доступно только сотрудникам Google

Повышение привилегий через mediaserver

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибка со ссылкой на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0810 ANDROID-25781119 Высокий 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google

Раскрытие информации в libmediaplayerservice

Уязвимость libmediaplayerservice позволяет обойти защиту, предотвращающую атаки на платформу, и раскрыть конфиденциальную информацию. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно также получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибка со ссылкой на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0811 ANDROID-25800375 Высокий 6.0, 6.0.1 16 ноября 2015 г.

Повышение привилегий через мастер настройки

Уязвимость в мастере настройки может помочь злоумышленнику обойти защиту от сброса настроек и получить доступ к устройству. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно обойти защиту от сброса.

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0812 ANDROID-25229538 Средний 5.1.1, 6.0 Доступно только сотрудникам Google
CVE-2016-0813 ANDROID-25476219 Средний 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные уязвимости?

Проблемы устранены в сборке LMY49G и более поздних версиях, а также в Android 6.0 с исправлением от 1 февраля 2016 года или более новым. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2016-02-01].

Версии

  • 1 февраля 2016 года. Бюллетень опубликован.
  • 2 февраля 2016 года. Добавлены ссылки на AOSP.
  • 7 марта 2016 года. Добавлены дополнительные ссылки на AOSP.