Бюллетень по безопасности Nexus – март 2016 г.

Опубликовано 7 марта 2016 г. | Обновлено 8 марта  2016 г.

К выходу ежемесячного бюллетеня о безопасности Android мы выпустили автоматическое обновление системы безопасности для устройств Nexus и опубликовали образы прошивок Nexus на сайте для разработчиков. Перечисленные проблемы устранены в сборке LMY49H и более поздних версиях, а также в Android M с исправлением от 1 марта 2016 года или более новым. О том, как узнать дату последнего обновления системы безопасности, рассказывается в документации Nexus.

Мы сообщили партнерам об уязвимостях 1 февраля 2016 года или ранее. Исправления проблем будут загружены в хранилище Android Open Source Project (AOSP) в течение следующих 48 часов. Ссылки на AOSP появятся в этом бюллетене позже.

Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS).

Обнаруженные уязвимости не эксплуатировались. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android. Мы рекомендуем всем пользователям установить перечисленные в разделе обновления.

Перечень уязвимостей

В таблице ниже перечислены уязвимости, их идентификаторы (CVE) и уровни серьезности. Уровень зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

Уязвимость CVE Уровень серьезности
Удаленное выполнение кода через mediaserver CVE-2016-0815
CVE-2016-0816
Критический
Удаленное выполнение кода через libvpx CVE-2016-1621 Критический
Повышение привилегий через Conscrypt CVE-2016-0818 Критический
Повышение привилегий через компонент
производительности процессора Qualcomm
CVE-2016-0819 Критический
Повышение привилегий через Wi-Fi-драйвер MediaTek CVE-2016-0820 Критический
Повышение привилегий через компонент Keyring CVE-2016-0728 Критический
Обход ограничения уязвимости ядра CVE-2016-0821 Высокий
Повышение привилегий через драйвер MediaTek для подключения CVE-2016-0822 Высокий
Раскрытие информации через ядро CVE-2016-0823 Высокий
Раскрытие информации через libstagefright CVE-2016-0824 Высокий
Раскрытие информации через Widevine CVE-2016-0825 Высокий
Повышение привилегий через mediaserver CVE-2016-0826
CVE-2016-0827
Высокий
Раскрытие информации через mediaserver CVE-2016-0828
CVE-2016-0829
Высокий
Удаленный отказ в обслуживании через уязвимость в Bluetooth CVE-2016-0830 Высокий
Раскрытие информации через телефонию CVE-2016-0831 Средний
Повышение привилегий через мастер настройки CVE-2016-0832 Средний

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

  • Использование многих уязвимостей затрудняется в новых версиях Android, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг- приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже установлено, система уведомит об этом пользователя и попытается удалить приложение.
  • Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

  • Абхишек Арья, Оливер Чен и Мартин Барбелла из команды безопасности Google Chrome: CVE-2016-0815
  • Анестис Бехтсудис (@anestisb) из CENSUS S.A.: CVE-2016-0816, CVE-2016-0824
  • Чед Брубейкер из команды безопасности Android: CVE-2016-0818
  • Марк Бренд из Google Project Zero: CVE-2016-0820
  • Миньдзян Чжоу (@Mingjian_Zhou), Чиачи Ву (@chiachih_wu) и Сюсянь Цзянь из C0RE Team, Qihoo 360: CVE-2016-0826
  • Питер Пи (@heisecode) из Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
  • Скотт Бауэр (sbauer@eng.utah.edu, sbauer@plzdonthack.me): CVE-2016-0822
  • Виш Ву (@wish_wu) из Trend Micro Inc.: CVE-2016-0819
  • Юнчжен Ву и Тиян Ли из Huawei: CVE-2016-0831
  • Су Мон Кив и Инцзю Ли из Сингапурского университета управления: CVE-2016-0831
  • Зак Риггл (@ebeip90) из команды безопасности Android: CVE-2016-0821

Описание уязвимостей

В этом разделе вы найдете подробную информацию обо всех перечисленных выше уязвимостях: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми версиями и датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на сообщение в AOSP, связанное с идентификатором ошибки, и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода через mediaserver

При обработке медиафайлов и данных в специально созданном файле злоумышленник может воспользоваться уязвимостью mediaserver, нарушить целостность информации в памяти и удаленно выполнить код как процесс mediaserver.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0815 ANDROID-26365349 Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google
CVE-2016-0816 ANDROID-25928803 Критический 6.0, 6.0.1 Доступно только сотрудникам Google

Удаленное выполнение кода через libvpx

При обработке медиафайлов и данных в специально созданном файле злоумышленник может воспользоваться уязвимостью mediaserver, нарушить целостность информации в памяти и удаленно выполнить код как процесс mediaserver.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

Уязвимостям присвоен критический уровень из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE Ошибка со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-1621 ANDROID-23452792 [2] [3] Критический 4.4.4, 5.0.2, 5.1.1, 6.0 Доступно только сотрудникам Google

Повышение привилегий через Conscrypt

Уязвимость в Conscrypt позволяет определенным видам недействительных сертификатов, выданных промежуточным центром сертификации, проходить проверку подлинности. Это может стать причиной атак типа "человек посередине". Уязвимости присвоен критический уровень из-за возможности повышения привилегий и удаленного выполнения произвольного кода.

CVE Ошибка со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0818 ANDROID-26232830 [2] Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google

Повышение привилегий через компонент производительности процессора Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень, поскольку из-за нее нарушается работа системы безопасности. Для устранения проблемы нужно переустановить ОС.

CVE Ошибка Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0819 ANDROID-25364034* Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 октября 2015 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через Wi-Fi-драйвер ядра MediaTek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра и повышать привилегии. Из-за этого ей присвоен критический уровень.

CVE Ошибка Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0820 ANDROID-26267358* Критический 6.0.1 18 декабря 2015 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через компонент ядра Keyring

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в ядре. Ей присвоен критический уровень, поскольку из-за нее нарушается работа системы безопасности. Для устранения проблемы нужно переустановить ОС. Однако в Android 5.0 и более поздних версиях правила SELinux не позволяют сторонним приложениям оперировать с кодом.

Примечание. Исправление опубликовано в AOSP для следующих версий ядра: 4.1 3.18 3.14 3.10

CVE Ошибка Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0728 ANDROID-26636379 Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 января 2016 г.

Обход ограничения уязвимости ядра

Уязвимость позволяет обойти защиту, предотвращающую атаки на платформу. По этой причине проблеме присвоен высокий уровень серьезности.

Примечание. Обновленная информация о проблеме опубликована в сообществе Linux.

CVE Ошибка Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0821 ANDROID-26186802 Высокий 6.0.1 Доступно только сотрудникам Google

Повышение привилегий через драйвер ядра MediaTek для подключения

Уязвимость обнаружена в драйвере ядра MediaTek для подключения. Она позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень, но в этом случае уязвимость требует сначала нарушить защиту сервиса conn_launcher, поэтому уровень был снижен до высокого.

CVE Ошибка Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0822 ANDROID-25873324* Высокий 6.0.1 24 ноября 2015 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Раскрытие информации через ядро

Уязвимость в ядре позволяет обойти защиту, предотвращающую атаки на платформу, и раскрыть конфиденциальную информацию. Ей присвоен высокий уровень из-за возможности обхода местной защиты, такой как ASLR, с помощью привилегированного процесса.

Примечание. Решение этой проблемы опубликовано в сообществе Linux.

CVE Ошибка Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0823 ANDROID-25739721* Высокий 6.0.1 Доступно только сотрудникам Google

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Раскрытие информации через libstagefright

Уязвимость позволяет обойти защиту, предотвращающую атаки на платформу, и раскрыть конфиденциальную информацию. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0824 ANDROID-25765591 Высокий 6.0, 6.0.1 18 ноября 2015 г.

Раскрытие информации через Widevine

Уязвимость Widevine Trusted Application позволяет коду, работающему в контексте ядра, получить информацию из защищенного хранилища TrustZone. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить такие разрешения, как Signature и SignatureOrSystem.

CVE Ошибка Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0825 ANDROID-20860039* Высокий 6.0.1 Доступно только сотрудникам Google

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через mediaserver

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0826 ANDROID-26265403 [2] Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 декабря 2015 г.
CVE-2016-0827 ANDROID-26347509 Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 декабря 2015 г.

Раскрытие информации через mediaserver

Уязвимость позволяет обойти защиту, предотвращающую атаки на платформу, и раскрыть конфиденциальную информацию. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0828 ANDROID-26338113 Высокий 5.0.2, 5.1.1, 6.0, 6.0.1 27 декабря 2015 г.
CVE-2016-0829 ANDROID-26338109 Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 декабря 2015 г.

Удаленный отказ в обслуживании через уязвимость в Bluetooth

Уязвимость позволяет находящемуся поблизости злоумышленнику временно заблокировать доступ к пораженному устройству. Через компонент Bluetooth он может вызвать избыток опознанных устройств, что приводит к сбою памяти и остановке сервиса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее происходит отказ в обслуживании. Это можно исправить только путем переустановки операционной системы.

CVE Ошибка со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0830 ANDROID-26071376 Высокий 6.0, 6.0.1 Доступно только сотрудникам Google

Раскрытие информации через телефонию

Уязвимость компонента телефонии позволяет ПО получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний уровень серьезности.

CVE Ошибка со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0831 ANDROID-25778215 Средний 5.0.2, 5.1.1, 6.0, 6.0.1 16 ноября 2015 г.

Повышение привилегий через мастер настройки

Уязвимость в мастере настройки позволяет злоумышленнику, в руки которого попало устройство, получить доступ к настройкам и выполнить их сброс. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно обойти защиту от сброса.

CVE Ошибка Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0832 ANDROID-25955042* Средний 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google

*Исправления уязвимости в этом обновлении нет.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Проблемы устранены в сборке LMY49H и более поздних версиях, а также в Android 6.0 с исправлением от 1 марта 2016 года или более новым. О том, как узнать дату последнего обновления системы безопасности, рассказывается в Справочном центре Nexus. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2016-03-01].

Версии

  • 7 марта 2016 года. Бюллетень опубликован.
  • 8 марта 2016 года. Добавлены ссылки на AOSP.