Бюллетень по безопасности Nexus – октябрь 2015 г.

Опубликовано 5 октября 2015 г. | Обновлено 28 апреля 2016 г.

Мы выпустили обновление безопасности для устройств Nexus посредством беспроводного обновления (OTA) в рамках ежемесячного выпуска бюллетеня по безопасности Android. Образы прошивки Nexus также были размещены на сайте разработчиков Google . Сборки LMY48T или более поздней версии (например, LMY48W) и Android M с уровнем исправления безопасности от 1 октября 2015 г. или более поздней версии устраняют эти проблемы. Инструкции по проверке уровня исправлений безопасности см. в документации Nexus .

Партнеры были уведомлены об этих проблемах 10 сентября 2015 года или ранее. Исправления исходного кода для этих проблем были выпущены в репозиторий Android Open Source Project (AOSP).

Наиболее серьезной из этих проблем является критическая уязвимость безопасности, которая может сделать возможным удаленное выполнение кода на уязвимом устройстве с помощью нескольких методов, таких как электронная почта, просмотр веб-страниц и MMS при обработке мультимедийных файлов. Оценка серьезности основана на влиянии, которое эксплуатация уязвимости может оказать на затронутое устройство, при условии, что средства защиты платформы и службы отключены в целях разработки или в случае успешного обхода.

У нас не было сообщений об активном использовании клиентами этих новых проблем. Подробную информацию о средствах защиты платформы безопасности Android и службах защиты, таких как SafetyNet, которые повышают безопасность платформы Android, можно найти в разделе «Средства снижения риска». Мы рекомендуем всем клиентам принять эти обновления на свои устройства.

Смягчения

Это краткий обзор мер, обеспечиваемых платформой безопасности Android и средствами защиты служб, такими как SafetyNet. Эти возможности снижают вероятность успешного использования уязвимостей безопасности на Android.

  • Использование многих проблем на Android усложняется из-за усовершенствований в новых версиях платформы Android. Мы рекомендуем всем пользователям по возможности обновиться до последней версии Android.
  • Команда безопасности Android активно отслеживает злоупотребления с помощью Verify Apps и SafetyNet, которые предупреждают о потенциально вредоносных приложениях, которые могут быть установлены. Инструменты рутирования устройств запрещены в Google Play. Чтобы защитить пользователей, которые устанавливают приложения из-за пределов Google Play, функция Verify Apps включена по умолчанию и предупреждает пользователей об известных приложениях с root-доступом. Verify Apps пытается идентифицировать и заблокировать установку известных вредоносных приложений, использующих уязвимость повышения привилегий. Если такое приложение уже установлено, Verify Apps уведомит пользователя и попытается удалить все такие приложения.
  • При необходимости Google обновил приложения Hangouts и Messenger, чтобы медиа не передавались автоматически уязвимым процессам (таким как медиасервер).

Благодарности

Мы хотели бы поблагодарить этих исследователей за их вклад:

  • Бреннан Лотнер: CVE-2015-3863.
  • Чиачи Ву и Сюсянь Цзян из команды C0RE из Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862.
  • Яджин Чжоу, Лэй Ву и Сюсянь Цзян из команды C0RE из Qihoo 360: CVE-2015-3865
  • Дэниел Микей (daniel.micay@copperhead.co) в Copperhead Security: CVE-2015-3875
  • Dragonltx из команды Alibaba Mobile Security: CVE-2015-6599.
  • Ян Бир и Стивен Виттито из Google Project Zero: CVE-2015-6604.
  • Хоакин Ринаудо (@xeroxnir) и Иван Арсе (@4Dgifts) из Programa STIC в Fundación Dr. Manuel Sadosky, Буэнос-Айрес, Аргентина: CVE-2015-3870
  • Джош Дрейк из Zimperium: CVE-2015-3876, CVE-2015-6602.
  • Джордан Грусковняк из Exodus Intelligence (@jgrusko): CVE-2015-3867
  • Питер Пи из Trend Micro: CVE-2015-3872, CVE-2015-3871.
  • Пинг Ли из Qihoo 360 Technology Co. Ltd: CVE-2015-3878.
  • Семь Шен: CVE-2015-6600, CVE-2015-3847.
  • Вангтао (необайт) из Baidu X-Team: CVE-2015-6598.
  • Уиш Ву из Trend Micro Inc. (@wish_wu): CVE-2015-3823
  • Майкл Роланд из JR-Center u'smile в Университете прикладных наук, Верхняя Австрия/Хагенберг: CVE-2015-6606.

Мы также хотели бы выразить признательность команде безопасности Chrome, команде безопасности Google, Project Zero и другим сотрудникам Google за сообщение о некоторых проблемах, исправленных в этом бюллетене.

Подробности об уязвимостях безопасности

В разделах ниже мы приводим подробную информацию о каждой уязвимости безопасности, применимой к уровню исправления 2015-10-01. Приведено описание проблемы, обоснование серьезности и таблица с CVE, связанной ошибкой, серьезностью, затронутыми версиями и датой сообщения. Там, где это возможно, мы связали изменение AOSP, устраняющее проблему, с идентификатором ошибки. Если несколько изменений относятся к одной ошибке, дополнительные ссылки AOSP связаны с номерами, следующими за идентификатором ошибки.

Уязвимости удаленного выполнения кода в libstagefright

В libstagefright существуют уязвимости, которые могут позволить злоумышленнику во время обработки медиафайла и данных специально созданного файла вызвать повреждение памяти и удаленное выполнение кода в службе медиасервера.

Этим проблемам присвоен уровень критической серьезности из-за возможности удаленного выполнения кода в качестве привилегированного сервиса. Затронутые компоненты имеют доступ к аудио- и видеопотокам, а также к привилегиям, к которым сторонние приложения обычно не имеют доступа.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии Дата сообщения
CVE-2015-3873 АНДРОИД-20674086 [ 2 , 3 , 4 ] Критический 5.1 и ниже Внутренний Google
АНДРОИД-20674674 [ 2 , 3 , 4 ]
АНДРОИД-20718524
АНДРОИД-21048776
АНДРОИД-21443020
АНДРОИД-21814993
АНДРОИД-22008959
АНДРОИД-22077698
АНДРОИД-22388975
АНДРОИД-22845824
АНДРОИД-23016072
АНДРОИД-23247055
АНДРОИД-23248776
АНДРОИД-20721050 Критический 5.0 и 5.1 Внутренний Google
CVE-2015-3823 АНДРОИД-21335999 Критический 5.1 и ниже 20 мая 2015 г.
CVE-2015-6600 АНДРОИД-22882938 Критический 5.1 и ниже 31 июля 2015 г.
CVE-2015-6601 АНДРОИД-22935234 Критический 5.1 и ниже 3 августа 2015 г.
CVE-2015-3869 АНДРОИД-23036083 Критический 5.1 и ниже 4 августа 2015 г.
CVE-2015-3870 АНДРОИД-22771132 Критический 5.1 и ниже 5 августа 2015 г.
CVE-2015-3871 АНДРОИД-23031033 Критический 5.1 и ниже 6 августа 2015 г.
CVE-2015-3868 АНДРОИД-23270724 Критический 5.1 и ниже 6 августа 2015 г.
CVE-2015-6604 АНДРОИД-23129786 Критический 5.1 и ниже 11 августа 2015 г.
CVE-2015-3867 АНДРОИД-23213430 Критический 5.1 и ниже 14 августа 2015 г.
CVE-2015-6603 АНДРОИД-23227354 Критический 5.1 и ниже 15 августа 2015 г.
CVE-2015-3876 АНДРОИД-23285192 Критический 5.1 и ниже 15 августа 2015 г.
CVE-2015-6598 АНДРОИД-23306638 Критический 5.1 и ниже 18 августа 2015 г.
CVE-2015-3872 АНДРОИД-23346388 Критический 5.1 и ниже 19 августа 2015 г.
CVE-2015-6599 АНДРОИД-23416608 Критический 5.1 и ниже 21 августа 2015 г.

Уязвимости удаленного выполнения кода в Sonivox

В Sonivox существуют уязвимости, которые могут позволить злоумышленнику во время обработки специально созданного медиафайла вызвать повреждение памяти и удаленное выполнение кода в службе медиасервера. Этой проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в качестве привилегированной службы. Затронутый компонент имеет доступ к аудио- и видеопотокам, а также доступ к привилегиям, к которым сторонние приложения обычно не имеют доступа.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии Дата сообщения
CVE-2015-3874 АНДРОИД-23335715 Критический 5.1 и ниже Несколько
АНДРОИД-23307276 [ 2 ]
АНДРОИД-23286323

Уязвимости удаленного выполнения кода в libutils

Уязвимости в универсальной библиотеке libutils существуют при обработке аудиофайлов. Эти уязвимости могут позволить злоумышленнику во время обработки специально созданного файла вызвать повреждение памяти и удаленное выполнение кода в службе, использующей эту библиотеку, например в медиасервере.

Затронутая функциональность предоставляется в виде API приложения, и существует множество приложений, которые позволяют получить доступ к ней с помощью удаленного контента, в первую очередь MMS и воспроизведения мультимедиа в браузере. Этой проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в привилегированном сервисе. Затронутый компонент имеет доступ к аудио- и видеопотокам, а также доступ к привилегиям, к которым сторонние приложения обычно не имеют доступа.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии Дата сообщения
CVE-2015-3875 АНДРОИД-22952485 Критический 5.1 и ниже 15 августа 2015 г.
CVE-2015-6602 АНДРОИД-23290056 [ 2 ] Критический 5.1 и ниже 15 августа 2015 г.

Уязвимость удаленного выполнения кода в Skia

Уязвимость в компоненте Skia может быть использована при обработке специально созданного медиафайла, что может привести к повреждению памяти и удаленному выполнению кода в привилегированном процессе. Этой проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода с помощью нескольких методов атаки, таких как электронная почта, просмотр веб-страниц и MMS при обработке мультимедийных файлов.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии Дата сообщения
CVE-2015-3877 АНДРОИД-20723696 Критический 5.1 и ниже 30 июля 2015 г.

Уязвимости удаленного выполнения кода в libFLAC

Уязвимость в libFLAC существует при обработке медиафайлов. Эти уязвимости могут позволить злоумышленнику во время обработки специально созданного файла вызвать повреждение памяти и удаленное выполнение кода.

Затронутая функциональность предоставляется в виде API-интерфейса приложения, и существует множество приложений, которые позволяют получить доступ к ней с помощью удаленного контента, например воспроизведения мультимедиа в браузере. Этой проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в привилегированном сервисе. Затронутый компонент имеет доступ к аудио- и видеопотокам, а также доступ к привилегиям, к которым сторонние приложения обычно не имеют доступа.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии Дата сообщения
CVE-2014-9028 АНДРОИД-18872897 [ 2 ] Критический 5.1 и ниже 14 ноября 2014 г.

Уязвимость, связанная с повышением привилегий в KeyStore

Уязвимость, делающая возможным несанкционированное повышение привилегий в компоненте KeyStore, может быть использована вредоносным приложением при вызове API-интерфейсов KeyStore. Это приложение может вызвать повреждение памяти и выполнение произвольного кода в контексте KeyStore. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для доступа к привилегиям, которые не доступны напрямую стороннему приложению.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии Дата сообщения
CVE-2015-3863 АНДРОИД-22802399 Высокий 5.1 и ниже 28 июля 2015 г.

Уязвимость, связанная с повышением привилегий в среде медиаплеера

Уязвимость, связанная с несанкционированным повышением привилегий в компоненте инфраструктуры медиаплеера, может позволить вредоносному приложению выполнить произвольный код в контексте медиасервера. Этой проблеме присвоен высокий уровень серьезности, поскольку она позволяет вредоносному приложению получить доступ к привилегиям, недоступным стороннему приложению.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии Дата сообщения
CVE-2015-3879 АНДРОИД-23223325 [2]* Высокий 5.1 и ниже 14 августа 2015 г.

* Второго изменения по этой проблеме нет в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Уязвимость, связанная с повышением привилегий в среде выполнения Android

Уязвимость, связанная с несанкционированным повышением привилегий в среде выполнения Android, может позволить локальному вредоносному приложению выполнить произвольный код в контексте системного приложения с повышенными правами. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения расширенных возможностей, таких как права подписи или разрешения SignatureOrSystem , которые недоступны стороннему приложению.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии Дата сообщения
CVE-2015-3865 АНДРОИД-23050463 [ 2 ] Высокий 5.1 и ниже 8 августа 2015 г.

Уязвимости повышения привилегий на медиасервере

В медиасервере имеется множество уязвимостей, которые могут позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированной собственной службы. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для доступа к привилегиям, которые не доступны напрямую стороннему приложению.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии Дата сообщения
CVE-2015-6596 АНДРОИД-20731946 Высокий 5.1 и ниже Несколько
АНДРОИД-20719651*
АНДРОИД-19573085 Высокий 5,0 - 6,0 Внутренний Google

* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Уязвимость, связанная с повышением привилегий в оценочном комплекте Secure Element

Уязвимость в плагине SEEK (Secure Element Evaluation Kit, также известном как SmartCard API) может позволить приложению получать повышенные разрешения, не запрашивая их. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения расширенных возможностей, таких как привилегии разрешений Signature или SignatureOrSystem , которые недоступны сторонним приложениям.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии Дата сообщения
CVE-2015-6606 АНДРОИД-22301786* Высокий 5.1 и ниже 30 июня 2015 г.

* Обновление, устраняющее эту проблему, находится на сайте SEEK для Android .

Повышение привилегий Уязвимость в медиапроекции

Уязвимость в компоненте Media Projection может позволить раскрыть пользовательские данные в виде снимков экрана. Проблема связана с тем, что операционная система допускает слишком длинные имена приложений. Использование этих длинных имен локальным вредоносным приложением может помешать пользователю увидеть предупреждение о записи экрана. Этой проблеме присвоен средний уровень серьезности, поскольку ее можно использовать для неправильного получения повышенных разрешений.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии Дата сообщения
CVE-2015-3878 АНДРОИД-23345192 Умеренный 5,0 - 6,0 18 августа 2015 г.

Уязвимость повышения привилегий в Bluetooth

Уязвимость в компоненте Bluetooth Android может позволить приложению удалить сохраненные SMS-сообщения. Этой проблеме присвоен средний уровень серьезности, поскольку ее можно использовать для неправильного получения повышенных разрешений.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии Дата сообщения
CVE-2015-3847 АНДРОИД-22343270 Умеренный 5.1 и ниже 8 июля 2015 г.

Уязвимости повышения привилегий в SQLite

В механизме синтаксического анализа SQLite было обнаружено множество уязвимостей. Эти уязвимости могут быть использованы локальным приложением, которое может заставить другое приложение или службу выполнять произвольные запросы SQL. Успешная эксплуатация может привести к выполнению произвольного кода в контексте целевого приложения.

Исправление было загружено в основной каталог AOSP 8 апреля 2015 г., обновив версию SQLite до 3.8.9: https://android-review.googlesource.com/#/c/145961/

В этом бюллетене содержатся исправления для версий SQLite в Android 4.4 (SQLite 3.7.11) и Android 5.0 и 5.1 (SQLite 3.8.6).

CVE Ошибки со ссылками AOSP Строгость Затронутые версии Дата сообщения
CVE-2015-6607 АНДРОИД-20099586 Умеренный 5.1 и ниже 7 апреля 2015 г.
общеизвестный

Уязвимости отказа в обслуживании в Mediaserver

В медиасервере имеется множество уязвимостей, которые могут вызвать отказ в обслуживании из-за сбоя процесса медиасервера. Этим проблемам присвоен низкий уровень серьезности, поскольку их последствия возникают в результате сбоя медиасервера, приводящего к локальному временному отказу в обслуживании.

CVE Ошибки со ссылками AOSP Строгость Затронутые версии Дата сообщения
CVE-2015-6605 АНДРОИД-20915134 Низкий 5.1 и ниже Внутренний Google
АНДРОИД-23142203
АНДРОИД-22278703 Низкий 5,0 - 6,0 Внутренний Google
CVE-2015-3862 АНДРОИД-22954006 Низкий 5.1 и ниже 2 августа 2015 г.

Редакции

  • 5 октября 2015 г.: Бюллетень опубликован.
  • 7 октября 2015 г.: в бюллетень добавлены ссылки на AOSP. Уточнены ссылки на ошибки для CVE-2014-9028.
  • 12 октября 2015 г.: обновлены благодарности за CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
  • 22 января 2016 г.: обновлены благодарности за CVE-2015-6606.
  • 28 апреля 2016 г.: добавлен CVE-2015-6603 и исправлена ​​опечатка CVE-2014-9028.