Бюллетень по безопасности Android – май 2016 г.

Опубликовано 2 мая 2016 г. | Обновлено 4 мая 2016 г.

В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Nexus и опубликовали образы прошивок Nexus на сайте для разработчиков. Перечисленные проблемы устранены в исправлении от 1 мая 2016 года или более новом. О том, как узнать дату последнего обновления системы безопасности, рассказывается в документации Nexus.

Мы сообщили партнерам об уязвимостях 4 апреля 2016 года или ранее. Исправления проблем загружены в хранилище Android Open Source Project (AOSP).

Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS).

Обнаруженные уязвимости не эксплуатировались. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android.

Мы рекомендуем всем пользователям установить перечисленные в разделе обновления.

Объявления

  • Мы переименовали Бюллетень по безопасности Nexus в Бюллетень по безопасности Android. Теперь он содержит информацию об уязвимостях, которые встречаются на всех устройствах Android, а не только на устройствах Nexus.
  • На основании данных, собранных за последние 6 месяцев, мы обновили уровни серьезности уязвимостей. Теперь они лучше отражают реальный риск для безопасности пользователей.

Перечень уязвимостей

В таблице ниже перечислены уязвимости, их идентификаторы (CVE) и уровни серьезности, а также указано, затрагивает ли проблема устройства Nexus. Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

Уязвимость CVE Уровень серьезности Затрагивает устройства Nexus?
Удаленное выполнение кода через mediaserver CVE-2016-2428
CVE-2016-2429
Критический Да
Повышение привилегий через Debuggerd CVE-2016-2430 Критический Да
Повышение привилегий через TrustZone процессора Qualcomm CVE-2016-2431
CVE-2016-2432
Критический Да
Повышение привилегий через Wi-Fi-драйвер Qualcomm CVE-2015-0569
CVE-2015-0570
Критический Да
Повышение привилегий через видеодрайвер NVIDIA CVE-2016-2434
CVE-2016-2435
CVE-2016-2436
CVE-2016-2437
Критический Да
Повышение привилегий через ядро CVE-2015-1805 Критический Да
Удаленное выполнение кода через ядро CVE-2016-2438 Высокий Да
Раскрытие информации через контроллер точек доступа Qualcomm CVE-2016-2060 Высокий Нет
Удаленное выполнение кода через Bluetooth CVE-2016-2439 Высокий Да
Повышение привилегий через Binder CVE-2016-2440 Высокий Да
Повышение привилегий через Buspm-драйвер Qualcomm CVE-2016-2441
CVE-2016-2442
Высокий Да
Повышение привилегий через MDP-драйвер Qualcomm CVE-2016-2443 Высокий Да
Повышение привилегий через Wi-Fi-драйвер Qualcomm CVE-2015-0571 Высокий Да
Повышение привилегий через видеодрайвер NVIDIA CVE-2016-2444
CVE-2016-2445
CVE-2016-2446
Высокий Да
Повышение привилегий через Wi-Fi CVE-2016-4477 Высокий Да
Повышение привилегий через mediaserver CVE-2016-2448
CVE-2016-2449
CVE-2016-2450
CVE-2016-2451
CVE-2016-2452
Высокий Да
Повышение привилегий через Wi-Fi-драйвер MediaTek CVE-2016-2453 Высокий Да
Отказ в обслуживании в аппаратном кодеке Qualcomm CVE-2016-2454 Высокий Да
Повышение привилегий через Conscrypt CVE-2016-2461
CVE-2016-2462
Средний Да
Повышение привилегий через OpenSSL и BoringSSL CVE-2016-0705 Средний Да
Повышение привилегий через Wi-Fi-драйвер MediaTek CVE-2016-2456 Средний Да
Повышение привилегий через Wi-Fi CVE-2016-2457 Средний Да
Раскрытие информации через почтовый клиент AOSP CVE-2016-2458 Средний Да
Раскрытие информации через mediaserver CVE-2016-2459
CVE-2016-2460
Средний Да
Отказ в обслуживании в ядре CVE-2016-0774 Низкий Да

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

  • Использование многих уязвимостей затрудняется в новых версиях Android, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Проверка приложений включена по умолчанию на всех устройствах с мобильными сервисами Google. Она особенно важна, если пользователь устанавливает ПО из сторонних источников. Хотя в Google Play инструменты для рутинга запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
  • Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

  • Абхишек Арья, Оливер Чен и Мартин Барбелла из команды безопасности Google Chrome: CVE-2016-2454
  • Энди Тайлер (@ticarpi) из e2e-assure: CVE-2016-2457
  • Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-2441, CVE-2016-2442
  • Дмитрий Лукьяненко (www.linkedin.com/in/dzima): CVE-2016-2458
  • Гэл Бениамини: CVE-2016-2431
  • Хао Чэнь из Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2016-2456
  • Джейк Валлетта из Mandiant, дочерней компании FireEye: CVE-2016-2060
  • Цзяньцян Чжао (@jianqiangzhao) и pjf (weibo.com/jfpan) из IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, CVE-2016-2442, CVE-2016-2444, CVE-2016-2445, CVE-2016-2446
  • Имре Рад из Search-Lab Ltd.: CVE-2016-4477
  • Джереми Джослин из Google: CVE-2016-2461
  • Кенни Рут из Google: CVE-2016-2462
  • Марко Грасси (@marcograss) из KeenLab (@keen_lab), Tencent: CVE-2016-2443
  • Михал Беднарский (https://github.com/michalbednarski): CVE-2016-2440
  • Минцзянь Чжоу (@Mingjian_Zhou), Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451, CVE-2016-2452
  • Питер Пи (@heisecode) из Trend Micro: CVE-2016-2459, CVE-2016-2460
  • Вэйчао Сунь (@sunblate) из Alibaba Inc.: CVE-2016-2428, CVE-2016-2429
  • Юань-Цун Ло, Лубо Чжан, Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-2437
  • Юйлун Чжан и Тао (Ленкс) Вэй из Baidu X-Lab: CVE-2016-2439
  • Зак Риггл (@ebeip90) из команды безопасности Android: CVE-2016-2430

Описание уязвимостей

В этом разделе вы найдете подробную информацию обо всех перечисленных выше уязвимостях: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми устройствами Nexus и версиями AOSP (при наличии) и датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на сообщение в AOSP, связанное с идентификатором ошибки, и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода через mediaserver

При обработке медиафайлов и данных в специально созданном файле злоумышленник может нарушать целостность информации в памяти и удаленно выполнять код как процесс mediaserver.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

Уязвимости присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2428 26751339 Критический Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 января 2016 г.
CVE-2016-2429 27211885 Критический Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 февраля 2016 г.

Повышение привилегий через Debuggerd

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте отладчика Android. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ошибка Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2430 27299236 Критический Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 февраля 2016 г.

Повышение привилегий через TrustZone процессора Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра TrustZone. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2431 24968809* Критический Nexus 5, Nexus 6, Nexus 7 (2013), Android One 15 октября 2015 г.
CVE-2016-2432 25913059* Критический Nexus 6, Android One 28 ноября 2015 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через Wi-Fi-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО повышать привилегии пользователя и выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2015-0569 26754117* Критический Nexus 5X, Nexus 7 (2013) 23 января 2016 г.
CVE-2015-0570 26764809* Критический Nexus 5X, Nexus 7 (2013) 25 января 2016 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через видеодрайвер NVIDIA

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2434 27251090* Критический Nexus 9 17 февраля 2016 г.
CVE-2016-2435 27297988* Критический Nexus 9 20 февраля 2016 г.
CVE-2016-2436 27299111* Критический Nexus 9 22 февраля 2016 г.
CVE-2016-2437 27436822* Критический Nexus 9 1 марта 2016 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через ядро

Уязвимость позволяет локальному вредоносному ПО повышать привилегии пользователя и выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС. Узнайте больше об этой уязвимости в Примечании по безопасности Android от 18 марта 2016 года.

CVE Ошибка Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2015-1805 27275324* Критический Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9 19 февраля 2016 г.

*Исправление опубликовано в AOSP для следующих версий ядра: 3.14 3.10 3.4

Удаленное выполнение кода через ядро

Уязвимость в подсистеме аудио позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту привилегированного сервиса, вызывающего подсистему аудио, поэтому уровень был снижен до высокого.

CVE Ошибка Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2438 26636060* Высокий Nexus 9 Доступно только сотрудникам Google

*Исправление опубликовано в сообществе Linux.

Раскрытие информации через контроллер точек доступа Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к информации, используя которую можно установить личность пользователя. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибка Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2060 27942588* Высокий Нет 23 марта 2016 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних драйверах для устройств, на которых присутствует уязвимость.

Удаленное выполнение кода через Bluetooth

Уязвимость позволяет находящемуся поблизости злоумышленнику выполнять произвольный код во время подключения устройства Bluetooth. Из-за этого проблеме присвоен высокий уровень серьезности.

CVE Ошибка Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2439 27411268 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 февраля 2016 г.

Повышение привилегий через Binder

Уязвимость позволяет вредоносному ПО выполнять произвольный код в контексте процесса другого приложения (при очистке памяти). Из-за этого проблеме присвоен высокий уровень серьезности.

CVE Ошибка Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2440 27252896 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 18 февраля 2016 г.

Повышение привилегий через Buspm-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер, поэтому уровень был снижен до высокого.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2441 26354602* Высокий Nexus 5X, Nexus 6, Nexus 6P 30 декабря 2015 г.
CVE-2016-2442 26494907* Высокий Nexus 5X, Nexus 6, Nexus 6P 30 декабря 2015 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через MDP-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер, поэтому уровень был снижен до высокого.

CVE Ошибка Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2443 26404525* Высокий Nexus 5, Nexus 7 (2013) 5 января 2016 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через Wi-Fi-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять несанкционированные системные вызовы для изменения настроек и работы устройства. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибка Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2015-0571 26763920* Высокий Nexus 5X, Nexus 7 (2013) 25 января 2016 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через видеодрайвер NVIDIA

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту высокопривилегированного сервиса, вызывающего драйвер, поэтому уровень был снижен до высокого.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2444 27208332* Высокий Nexus 9 16 февраля 2016 г.
CVE-2016-2445 27253079* Высокий Nexus 9 17 февраля 2016 г.
CVE-2016-2446 27441354* Высокий Nexus 9 1 марта 2016 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через Wi-Fi

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Ей присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

Примечание. По запросу компании MITRE идентификатор уязвимости (CVE) был изменен с CVE-2016-2447 на CVE-2016-4477.

CVE Ошибка Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-4477 27371366 [2] Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 февраля 2016 г.

Повышение привилегий через mediaserver

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2448 27533704 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 марта 2016 г.
CVE-2016-2449 27568958 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9 марта 2016 г.
CVE-2016-2450 27569635 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9 марта 2016 г.
CVE-2016-2451 27597103 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 марта 2016 г.
CVE-2016-2452 27662364 [2] [3] Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 марта 2016 г.

Повышение привилегий через Wi-Fi-драйвер MediaTek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер, поэтому уровень был снижен до высокого.

CVE Ошибка Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2453 27549705* Высокий Android One 8 марта 2016 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Отказ в обслуживании в аппаратном кодеке Qualcomm

При обработке медиафайлов и данных в специально созданном файле злоумышленник может блокировать доступ к пораженному устройству, выполняя его перезагрузку. Уязвимости присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.

CVE Ошибка Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2454 26221024* Высокий Nexus 5 16 декабря 2015 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через Conscrypt

Уязвимость позволяет подделывать аутентификацию сообщений для локального ПО. Проблеме присвоен средний уровень серьезности, поскольку для ее использования требуются скоординированные действия на нескольких устройствах.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2461 27324690 [2] Средний Все устройства 6.0, 6.0.1 Доступно только сотрудникам Google
CVE-2016-2462 27371173 Средний Все устройства 6.0, 6.0.1 Доступно только сотрудникам Google

Повышение привилегий через OpenSSL и BoringSSL

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Как правило, таким ошибкам присваивают высокий уровень серьезности, но в этом случае для использования уязвимости требуется редкая конфигурация, установленная вручную. Поэтому уровень был снижен до среднего.

CVE Ошибка Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-0705 27449871 Средний Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 февраля 2016 г.

Повышение привилегий через Wi-Fi-драйвер MediaTek

Уязвимость позволяет локальному вредоносному ПО вызвать отказ в обслуживании. Как правило, таким ошибкам присваивают высокий уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту системного сервиса, поэтому уровень был снижен до среднего.

CVE Ошибка Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2456 27275187* Средний Android One 19 февраля 2016 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через Wi-Fi

Уязвимость позволяет гостевому аккаунту менять настройки Wi-Fi для основного пользователя. Уязвимости присвоен средний уровень серьезности, поскольку с ее помощью можно получить разрешения уровня dangerous (опасные).

CVE Ошибка Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2457 27411179 Средний Все устройства 5.0.2, 5.1.1, 6.0, 6.0.1 29 февраля 2016 г.

Раскрытие информации через почтовый клиент AOSP

Уязвимость позволяет локальному вредоносному ПО получить несанкционированный доступ к конфиденциальным данным пользователя. Из-за этого проблеме присвоен средний уровень серьезности.

CVE Ошибка Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2458 27335139 [2] Средний Все устройства 5.0.2, 5.1.1, 6.0, 6.0.1 23 февраля 2016 г.

Раскрытие информации через mediaserver

Уязвимость позволяет ПО получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний уровень серьезности.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2459 27556038 Средний Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 марта 2016 г.
CVE-2016-2460 27555981 Средний Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 марта 2016 г.

Отказ в обслуживании в ядре

Уязвимость позволяет локальному вредоносному ПО выполнять перезагрузку устройства. Ей присвоен низкий уровень серьезности, поскольку она приводит к временному отказу в обслуживании.

CVE Ошибка Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-0774 27721803* Низкий Все устройства 17 марта 2016 г.

*Исправление опубликовано в сообществе Linux.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Перечисленные проблемы устранены в исправлении от 1 мая 2016 года или более новом. О том, как узнать дату последнего обновления системы безопасности, рассказывается в документации Nexus. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2016-05-01].

2. Как определить, на каких устройствах Nexus присутствует уязвимость?

В каждой таблице из раздела Описание уязвимостей есть столбец "Обновленные устройства Nexus". В нем указано, на каких устройствах присутствует уязвимость.

  • Все устройства. Проблема возникает на следующих поддерживаемых устройствах Nexus: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player и Pixel C.
  • Некоторые устройства. Перечислены устройства, на которых присутствует уязвимость.
  • Нет. Проблема не возникает ни на одном устройстве Nexus.

3. Почему в этот бюллетень добавлена информация об уязвимости CVE-2015-1805?

Примечание по безопасности Android от 18 марта 2016 года было опубликовано незадолго до выхода апрельского Бюллетеня по безопасности Nexus. Из-за сжатых сроков производители устройств, использующие обновление системы безопасности от 1 апреля 2016 года, могли предоставить исправления для проблем из указанного бюллетеня, не устраняя уязвимость CVE-2015-1805. Информация о ней была снова включена в этот Бюллетень, поскольку проблему необходимо исправить для установки обновления системы безопасности от 1 мая 2016 года.

Версии

  • 2 мая 2016 года. Бюллетень опубликован.
  • 4 мая 2016 года.
    • Добавлены ссылки на AOSP.
    • Указано, присутствуют ли уязвимости на устройствах Nexus Player и Pixel C.
    • По запросу компании MITRE идентификатор CVE-2016-2447 изменен на CVE-2016-4477.