Google jest zaangażowany w promowanie równości rasowej dla społeczności czarnych. Zobacz jak.
Ta strona została przetłumaczona przez Cloud Translation API.
Switch to English

Biuletyn zabezpieczeń Nexusa - marzec 2016 r

Opublikowano 7 marca 2016 r. | Zaktualizowano 08 marca 2016 r

Wydaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji OTA w ramach naszego comiesięcznego procesu wydawania biuletynów zabezpieczeń Androida. Obrazy oprogramowania układowego Nexusa zostały również udostępnione w witrynie Google Developer . Kompilacje LMY49H lub nowsze i system Android M z poziomem poprawek zabezpieczeń z 1 marca 2016 r. Lub nowszym rozwiązują te problemy. Zapoznaj się z dokumentacją Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń.

Partnerzy zostali powiadomieni o problemach opisanych w biuletynie 1 lutego 2016 r. Lub wcześniej. W stosownych przypadkach poprawki kodu źródłowego dotyczące tych problemów zostały opublikowane w repozytorium Android Open Source Project (AOSP).

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwić zdalne wykonanie kodu na urządzeniu, którego dotyczy luka, różnymi metodami, takimi jak poczta e-mail, przeglądanie sieci Web i wiadomości MMS podczas przetwarzania plików multimedialnych. Ocena istotności opiera się na wpływie, jaki wykorzystanie luki prawdopodobnie miałoby na urządzenie, którego dotyczy luka, przy założeniu, że platforma i narzędzia ograniczające zagrożenie są wyłączone do celów programistycznych lub po pomyślnym obejściu.

Nie otrzymaliśmy żadnych zgłoszeń dotyczących aktywnego wykorzystywania przez klientów tych nowo zgłoszonych problemów. Zapoznaj się z sekcją Ograniczenia, aby uzyskać szczegółowe informacje na temat zabezpieczeń platformy Android i zabezpieczeń usług, takich jak SafetyNet, które zwiększają bezpieczeństwo platformy Android. Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Środki łagodzące

To jest podsumowanie środków zaradczych zapewnianych przez platformę bezpieczeństwa systemu Android i zabezpieczenia usług, takie jak SafetyNet. Te możliwości zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach w systemie Android.

  • Wykorzystanie wielu problemów w systemie Android jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do aktualizacji do najnowszej wersji Androida, jeśli to możliwe.
  • Zespół bezpieczeństwa Androida aktywnie monitoruje nadużycia za pomocą Verify Apps i SafetyNet, które ostrzegają o potencjalnie szkodliwych aplikacjach, które mają zostać zainstalowane. Narzędzia do rootowania urządzeń są zabronione w Google Play. Aby chronić użytkowników, którzy instalują aplikacje spoza Google Play, funkcja Weryfikuj aplikacje jest domyślnie włączona i ostrzega użytkowników o znanych aplikacjach do rootowania. Weryfikuj aplikacje próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji, które wykorzystują lukę umożliwiającą eskalację uprawnień. Jeśli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i spróbuje usunąć wszelkie takie aplikacje.
  • W razie potrzeby aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak serwer mediów.

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

  • Abhishek Arya, Oliver Chang i Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome: CVE-2016-0815
  • Anestis Bechtsoudis ( @anestisb ) z CENSUS SA: CVE-2016-0816, CVE-2016-0824
  • Chad Brubaker z Android Security: CVE-2016-0818
  • Mark Brand of Google Project Zero: CVE-2016-0820
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z C0RE Team z Qihoo 360 : CVE-2016-0826
  • Peter Pi ( @heisecode ) firmy Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
  • Scott Bauer ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
  • Życzę Wu ( @wish_wu ) firmy Trend Micro Inc .: CVE-2016-0819
  • Yongzheng Wu i Tieyan Li z Huawei: CVE-2016-0831
  • Su Mon Kywe i Yingjiu Li z Singapore Management University: CVE-2016-0831
  • Zach Riggle ( @ ebeip90 ) z zespołu do spraw bezpieczeństwa Androida: CVE-2016-0821

Szczegóły luki w zabezpieczeniach

W poniższych sekcjach przedstawiamy szczegółowe informacje na temat każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek 2016-03-01. Znajduje się tam opis problemu, uzasadnienie ważności oraz tabela z CVE, powiązanym błędem, istotnością, wersjami, których dotyczy problem, i datą zgłoszenia. Gdy będzie dostępna, połączymy zmianę AOSP, która dotyczyła problemu, z identyfikatorem błędu. Gdy wiele zmian odnosi się do jednego błędu, dodatkowe odwołania AOSP są połączone z numerami po identyfikatorze błędu.

Luka umożliwiająca zdalne wykonanie kodu w serwerze mediów

Podczas przetwarzania pliku multimedialnego i danych specjalnie spreparowanego pliku luki w zabezpieczeniach serwera mediów mogą pozwolić osobie atakującej na uszkodzenie pamięci i zdalne wykonanie kodu jako proces serwera mediów.

Funkcjonalność, której dotyczy luka, jest podstawową częścią systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do zawartości zdalnej, w szczególności MMS-ów i odtwarzania multimediów w przeglądarce.

Ten problem jest oceniany jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście usługi serwera mediów. Usługa mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których aplikacje innych firm nie mają dostępu.

CVE Błędy z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0815 ANDROID-26365349 Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Internal
CVE-2016-0816 ANDROID-25928803 Krytyczny 6.0, 6.0.1 Google Internal

Luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu w libvpx

Podczas przetwarzania pliku multimedialnego i danych specjalnie spreparowanego pliku luki w zabezpieczeniach serwera mediów mogą pozwolić osobie atakującej na uszkodzenie pamięci i zdalne wykonanie kodu jako proces serwera mediów.

Funkcjonalność, której dotyczy problem, jest podstawową częścią systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do zawartości zdalnej, w szczególności MMS-ów i odtwarzania multimediów w przeglądarce.

Problemy są oceniane jako krytyczne, ponieważ mogą być używane do zdalnego wykonywania kodu w kontekście usługi serwera mediów. Usługa mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których aplikacje innych firm nie mają normalnie dostępu.

CVE Błąd z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-1621 ANDROID-23452792 [2] [3] Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0 Google Internal

Podniesienie uprawnień w Conscrypt

Luka w Conscrypt może pozwolić na niepoprawne zaufanie do określonego typu nieprawidłowego certyfikatu wydanego przez pośredni ośrodek certyfikacji (CA). Może to umożliwić atak typu man-in-the-middle. Ten problem jest oceniany jako krytyczny ze względu na możliwość podniesienia uprawnień i zdalnego wykonania dowolnego kodu.

CVE Błąd z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0818 ANDROID-26232830 [2] Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Internal

Podniesienie poziomu podatności na przywileje w komponencie wydajności Qualcomm

Luka umożliwiająca podniesienie uprawnień w składniku wydajności Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w jądrze. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego naruszenia bezpieczeństwa urządzenia, a urządzenie można naprawić tylko przez ponowne flashowanie systemu operacyjnego.

CVE Pluskwa Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0819 ANDROID-25364034 * Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 października 2015

* Łatka dotycząca tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podniesienie poziomu luki w zabezpieczeniach sterownika jądra MediaTek Wi-Fi

W sterowniku jądra MediaTek Wi-Fi występuje luka, która może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość podniesienia uprawnień i wykonania dowolnego kodu w kontekście jądra.

CVE Pluskwa Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0820 ANDROID-26267358 * Krytyczny 6.0.1 18 grudnia 2015

* Poprawka dotycząca tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podniesienie poziomu luki w zabezpieczeniach w składniku kluczy jądra

Luka w zabezpieczeniach składnika Kernel Keyring Component umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w jądrze. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego naruszenia bezpieczeństwa urządzenia, a urządzenie może zostać naprawione tylko przez ponowne flashowanie systemu operacyjnego. Jednak w wersji Androida 5.0 i nowszych reguły SELinux uniemożliwiają aplikacjom innych firm dotarcie do kodu, którego dotyczy problem.

Uwaga: Dla porównania, łatka w AOSP jest dostępna dla określonych wersji jądra: 4.1 , 3.18 , 3.14 i 3.10 .

CVE Pluskwa Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0728 ANDROID-26636379 Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 stycznia 2016 r

Luka w zabezpieczeniach jądra umożliwiająca obejście ograniczenia ryzyka

Luka w zabezpieczeniach jądra pozwalająca na obejście zabezpieczenia może pozwolić na ominięcie środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę. Ten problem jest oceniany jako bardzo poważny, ponieważ może pozwolić na ominięcie stosowanych środków bezpieczeństwa, aby zwiększyć trudność atakujących wykorzystujących platformę.

Uwaga: Aktualizacja dotycząca tego problemu znajduje się w źródłowym systemie Linux .

CVE Pluskwa Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0821 ANDROID-26186802 Wysoki 6.0.1 Google Internal

Podniesienie uprawnień w sterowniku jądra MediaTek Connectivity

W sterowniku jądra łączności MediaTek występuje luka w zabezpieczeniach umożliwiająca podniesienie uprawnień, która może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Zwykle błąd wykonania kodu jądra taki jak ten byłby oceniany jako krytyczny, ale ponieważ wymaga najpierw złamania zabezpieczeń usługi conn_launcher, uzasadnia obniżenie poziomu do wysokiego poziomu ważności.

CVE Pluskwa Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0822 ANDROID-25873324 * Wysoki 6.0.1 24 listopada 2015

* Łatka dotycząca tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Luka umożliwiająca ujawnienie informacji w jądrze

Luka w jądrze umożliwiająca ujawnienie informacji może pozwolić na ominięcie istniejących środków bezpieczeństwa, aby zwiększyć trudność atakujących wykorzystujących platformę. Te problemy są oceniane jako bardzo dotkliwe, ponieważ mogą pozwolić na lokalne ominięcie technologii ograniczających zagrożenie, takich jak ASLR, w procesie uprzywilejowanym.

Uwaga: poprawka dotycząca tego problemu znajduje się we wcześniejszej wersji systemu Linux .

CVE Pluskwa Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0823 ANDROID-25739721 * Wysoki 6.0.1 Google Internal

* Łatka dotycząca tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Luka umożliwiająca ujawnienie informacji w libstagefright

Luka umożliwiająca ujawnienie informacji w libstagefright może pozwolić na ominięcie środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę. Te problemy są oceniane jako bardzo dotkliwe, ponieważ mogą być również wykorzystywane do uzyskiwania podwyższonych możliwości, takich jak uprawnienia Signature lub SignatureOrSystem , które nie są dostępne dla aplikacji innych firm.

CVE Błąd z łączem AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0824 ANDROID-25765591 Wysoki 6.0, 6.0.1 18 listopada 2015

Luka umożliwiająca ujawnienie informacji w firmie Widevine

Luka umożliwiająca ujawnienie informacji w zaufanej aplikacji Widevine może umożliwić kodowi działającemu w kontekście jądra uzyskanie dostępu do informacji w bezpiecznym magazynie TrustZone. Ten problem jest oceniany jako bardzo istotny, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia Signature lub SignatureOrSystem .

CVE Robaki) Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0825 ANDROID-20860039 * Wysoki 6.0.1 Google Internal

* Łatka dotycząca tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podniesienie luki w zabezpieczeniach serwera Mediaserver

Luka w zabezpieczeniach serwera mediów umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem jest oceniany jako bardzo istotny, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia Signature lub SignatureOrSystem , które nie są dostępne dla aplikacji innych firm.

CVE Błędy z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0826 ANDROID-26265403 [2] Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 grudnia 2015
CVE-2016-0827 ANDROID-26347509 Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 grudnia 2015

Luka umożliwiająca ujawnienie informacji w serwerze Mediaserver

Luka umożliwiająca ujawnienie informacji w serwerze mediów może pozwolić na ominięcie stosowanych środków bezpieczeństwa, aby zwiększyć trudność atakujących wykorzystujących platformę. Te problemy są oceniane jako bardzo dotkliwe, ponieważ mogą być również wykorzystywane do uzyskiwania podwyższonych możliwości, takich jak uprawnienia Signature lub SignatureOrSystem , które nie są dostępne dla aplikacji innych firm.

CVE Błędy z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0828 ANDROID-26338113 Wysoki 5.0.2, 5.1.1, 6.0, 6.0.1 27 grudnia 2015 r
CVE-2016-0829 ANDROID-26338109 Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 grudnia 2015 r

Luka umożliwiająca zdalną odmowę usługi w Bluetooth

Luka w zabezpieczeniach umożliwiająca zdalną odmowę usługi w składniku Bluetooth może pozwolić osobie atakującej na proksymalnie na zablokowanie dostępu do urządzenia, którego dotyczy luka. Osoba atakująca może spowodować przepełnienie zidentyfikowanych urządzeń Bluetooth w składniku Bluetooth, co prowadzi do uszkodzenia pamięci i zatrzymania usługi. Jest to oceniane jako bardzo poważne, ponieważ prowadzi do odmowy usługi w usłudze Bluetooth, którą można potencjalnie naprawić tylko przez flashowanie urządzenia.

CVE Błąd z łączem AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0830 ANDROID-26071376 Wysoki 6.0, 6.0.1 Google Internal

Luka umożliwiająca ujawnienie informacji w telefonii

Luka umożliwiająca ujawnienie informacji w składniku Telefonia może pozwolić aplikacji na dostęp do poufnych informacji. Ten problem jest oceniany jako umiarkowany, ponieważ może zostać wykorzystany do nieprawidłowego dostępu do danych bez pozwolenia.

CVE Błąd z łączem AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0831 ANDROID-25778215 Umiarkowany 5.0.2, 5.1.1, 6.0, 6.0.1 16 listopada 2015

Podniesienie poziomu luki w zabezpieczeniach w kreatorze konfiguracji

Luka w kreatorze konfiguracji może umożliwić osobie atakującej, która miała fizyczny dostęp do urządzenia, uzyskanie dostępu do ustawień urządzenia i wykonanie ręcznego resetowania urządzenia. Ten problem jest oceniany jako umiarkowany, ponieważ może zostać użyty do nieprawidłowego obejścia ochrony przywracania ustawień fabrycznych.

CVE Robaki) Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0832 ANDROID-25955042 * Umiarkowany 5.1.1, 6.0, 6.0.1 Google Internal

* Nie ma poprawki kodu źródłowego dla tej aktualizacji.

Częste pytania i odpowiedzi

W tej sekcji omówiono odpowiedzi na typowe pytania, które mogą się pojawić po przeczytaniu tego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Kompilacje LMY49H lub nowsze i Android 6.0 z poziomem poprawek zabezpieczeń z 1 marca 2016 lub nowszym rozwiązują te problemy. Zapoznaj się z dokumentacją Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń. Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]: [2016-03-01]

Poprawki

  • 7 marca 2016 r .: Opublikowano biuletyn.
  • 8 marca 2016 r .: zaktualizowano biuletyn, tak aby zawierał łącza AOSP.