Бюллетень по безопасности Nexus – март 2016 г.

Опубликован 7 марта 2016 г. | Обновлен 8 марта 2016 г.

К выходу ежемесячного бюллетеня по безопасности Android мы выпустили беспроводное обновление системы безопасности для устройств Nexus и опубликовали образы встроенного ПО Nexus на сайте Google Developers. Перечисленные проблемы устранены в сборке LMY49H и более поздних версиях, а также в Android M с исправлением от 1 марта 2016 года или более новым. Сведения о том, как проверить версию системы безопасности, можно найти в документации Nexus.

Мы сообщили партнерам об уязвимостях 1 февраля 2016 года или ранее. По возможности исправления были опубликованы в хранилище Android Open Source Project (AOSP).

Самая серьезная из проблем – критическая уязвимость, которая позволяет удаленно выполнять код на затронутом устройстве во время обработки медиафайлов (например, при просмотре сайтов в интернете и работе с электронной почтой или MMS). Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

У нас нет информации об активном использовании обнаруженных уязвимостей. Сведения о том, как платформа безопасности Android и средства защиты сервисов, например SafetyNet, помогают снизить вероятность успешного использования уязвимостей Android, можно найти в разделе Предотвращение атак. Мы рекомендуем всем пользователям установить перечисленные в бюллетене обновления.

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг-приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
  • Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

  • Абхишек Арья, Оливер Чен и Мартин Барбелла из команды безопасности Google Chrome: CVE-2016-0815.
  • Анестис Бехтсудис (@anestisb) из CENSUS S.A.: CVE-2016-0816, CVE-2016-0824.
  • Чед Брубейкер из команды безопасности Android: CVE-2016-0818.
  • Марк Бренд из Google Project Zero: CVE-2016-0820.
  • Минцзянь Чжоу (@Mingjian_Zhou), Чиачи Ву (@chiachih_wu) и Сюйсянь Цзян из C0RE Team, Qihoo 360: CVE-2016-0826.
  • Питер Пи (@heisecode) из Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829.
  • Скотт Бауэр (sbauer@eng.utah.edu, sbauer@plzdonthack.me): CVE-2016-0822.
  • Виш Ву (@wish_wu) из Trend Micro Inc.: CVE-2016-0819.
  • Юнчжен Ву и Тиян Ли из Huawei: CVE-2016-0831.
  • Су Мон Кив и Инцзю Ли из Сингапурского университета управления: CVE-2016-0831.
  • Зак Риггл (@ebeip90) из команды безопасности Android: CVE-2016-0821.

Описание уязвимостей

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2016-03-01: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми версиями и датой сообщения об ошибке. Где возможно, мы приводим ссылку на изменение в AOSP, связанное с идентификатором ошибки. Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Удаленное выполнение кода через mediaserver

При обработке медиафайлов и данных в специально созданном файле злоумышленник может воспользоваться уязвимостью mediaserver, нарушить целостность информации в памяти и удаленно выполнить код как процесс mediaserver.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

Уязвимости присвоен критический уровень серьезности из-за возможности удаленно выполнять код в контексте сервиса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0815 ANDROID-26365349 Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google
CVE-2016-0816 ANDROID-25928803 Критический 6.0, 6.0.1 Доступно только сотрудникам Google

Удаленное выполнение кода через libvpx

При обработке медиафайлов и данных в специально созданном файле злоумышленник может воспользоваться уязвимостью mediaserver, нарушить целостность информации в памяти и удаленно выполнить код как процесс mediaserver.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

Уязвимостям присвоен критический уровень из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к правам, закрытым для сторонних приложений.

CVE Ошибка со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-1621 ANDROID-23452792 [2] [3] Критический 4.4.4, 5.0.2, 5.1.1, 6.0 Доступно только сотрудникам Google

Повышение привилегий через Conscrypt

Уязвимость в Conscrypt позволяет определенным видам недействительных сертификатов, выданных промежуточным центром сертификации, проходить проверку подлинности. Это может стать причиной атак типа "человек посередине". Уязвимости присвоен критический уровень из-за возможности повышения привилегий и удаленного выполнения произвольного кода.

CVE Ошибка со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0818 ANDROID-26232830 [2] Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google

Повышение привилегий через компонент производительности процессора Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень, поскольку из-за нее нарушается работа системы безопасности. Для устранения проблемы нужно переустановить ОС.

CVE Ошибка Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0819 ANDROID-25364034* Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 октября 2015 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение уровня прав доступа через Wi-Fi-драйвер ядра MediaTek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра и повышать привилегии. Из-за этого ей присвоен критический уровень.

CVE Ошибка Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0820 ANDROID-26267358* Критический 6.0.1 18 декабря 2015 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение уровня прав доступа через компонент ядра Keyring

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в ядре. Ей присвоен критический уровень, поскольку из-за нее нарушается работа системы безопасности. Для устранения проблемы нужно переустановить ОС. Однако в Android 5.0 и более поздних версиях правила SELinux не позволяют сторонним приложениям оперировать с кодом.

Примечание. Исправление опубликовано в AOSP для следующих версий ядра: 4.1, 3.18, 3.14 и 3.10.

CVE Ошибка Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0728 ANDROID-26636379 Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 января 2016 г.

Обход ограничения уязвимости ядра

Уязвимость позволяет обойти защиту, предотвращающую атаки на платформу. По этой причине проблеме присвоен высокий уровень серьезности.

Примечание. Обновленная информация о проблеме опубликована в сообществе Linux.

CVE Ошибка Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0821 ANDROID-26186802 Высокий 6.0.1 Доступно только сотрудникам Google

Повышение привилегий через драйвер ядра MediaTek для подключения

Уязвимость обнаружена в драйвере ядра MediaTek для подключения. Она позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень, но в этом случае уязвимость требует сначала нарушить защиту сервиса conn_launcher, поэтому уровень был снижен до высокого.

CVE Ошибка Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0822 ANDROID-25873324* Высокий 6.0.1 24 ноября 2015 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Раскрытие информации через ядро

Уязвимость в ядре позволяет обойти защиту, предотвращающую атаки на платформу, и раскрыть конфиденциальную информацию. Ей присвоен высокий уровень из-за возможности обхода местной защиты, такой как ASLR, с помощью привилегированного процесса.

Примечание. Решение этой проблемы опубликовано в сообществе Linux.

CVE Ошибка Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0823 ANDROID-25739721* Высокий 6.0.1 Доступно только сотрудникам Google

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Раскрытие информации через libstagefright

Уязвимость позволяет обойти защиту, предотвращающую атаки на платформу, и раскрыть конфиденциальную информацию. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно также получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибка со ссылкой на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0824 ANDROID-25765591 Высокий 6.0, 6.0.1 18 ноября 2015 г.

Раскрытие информации через Widevine

Уязвимость Widevine Trusted Application позволяет коду, работающему в контексте ядра, получить информацию из защищенного хранилища TrustZone. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить такие разрешения, как Signature и SignatureOrSystem.

CVE Ошибки Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0825 ANDROID-20860039* Высокий 6.0.1 Доступно только сотрудникам Google

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение уровня прав доступа через mediaserver

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0826 ANDROID-26265403 [2] Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 декабря 2015 г.
CVE-2016-0827 ANDROID-26347509 Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 декабря 2015 г.

Раскрытие информации через mediaserver

Уязвимость позволяет обойти защиту, предотвращающую атаки на платформу, и раскрыть конфиденциальную информацию. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно также получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки со ссылками на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0828 ANDROID-26338113 Высокий 5.0.2, 5.1.1, 6.0, 6.0.1 27 декабря 2015 г.
CVE-2016-0829 ANDROID-26338109 Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 декабря 2015 г.

Удаленный отказ в обслуживании через уязвимость в Bluetooth

Уязвимость позволяет находящемуся поблизости злоумышленнику временно заблокировать доступ к пораженному устройству. Через компонент Bluetooth он может вызвать избыток опознанных устройств, что приводит к сбою памяти и остановке сервиса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее происходит отказ в обслуживании. Это можно исправить только путем переустановки операционной системы.

CVE Ошибка со ссылкой на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0830 ANDROID-26071376 Высокий 6.0, 6.0.1 Доступно только сотрудникам Google

Раскрытие информации через телефонию

Уязвимость компонента телефонии позволяет ПО получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний уровень серьезности.

CVE Ошибка со ссылкой на AOSP Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0831 ANDROID-25778215 Средний 5.0.2, 5.1.1, 6.0, 6.0.1 16 ноября 2015 г.

Повышение привилегий через мастер настройки

Уязвимость в мастере настройки позволяет злоумышленнику, в руки которого попало устройство, получить доступ к настройкам и выполнить их сброс. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно обойти защиту от сброса.

CVE Ошибки Уровень серьезности Обновленные версии Дата сообщения об ошибке
CVE-2016-0832 ANDROID-25955042* Средний 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google

*Исправления уязвимости в этом обновлении нет.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройстве обновление, в котором устранены эти проблемы?

Перечисленные проблемы устранены в сборке LMY49H и более поздних, а также в Android 6.0 с исправлением от 1 марта 2016 года или более новым. Сведения о том, как проверить версию системы безопасности, можно найти в документации Nexus. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2016-03-01].

Версии

  • 7 марта 2016 года. Бюллетень опубликован.
  • 8 марта 2016 года. Добавлены ссылки на AOSP.