Бюллетень по безопасности Nexus

Опубликовано 5 октября 2015 года | Обновлено 12 октября 2015 года

К выходу ежемесячного бюллетеня о безопасности Android мы выпустили автоматическое обновление системы безопасности для устройств Nexus и опубликовали образы прошивок Nexus на сайте для разработчиков . Перечисленные проблемы устранены в сборке LMY48T и более поздних версиях (например, LMY48W), а также в Android 6.0 Marshmallow с исправлением от 1 октября 2015 года. Узнать о том, как проверить уровень обновления системы безопасности, можно в документации по Nexus .

Мы сообщили партнерам об уязвимостях 10 сентября 2015 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP).

Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS).

Обнаруженные уязвимости не эксплуатировались. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android. Мы рекомендуем всем пользователям установить перечисленные в разделе обновления.

Перечень уязвимостей

В таблице ниже перечислены уязвимости, их идентификаторы (CVE) и уровни серьезности. Уровень зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

Уязвимость	CVE	Уровень серьезности
Удаленное выполнение кода в libstagefright	CVE-2015-3873 CVE-2015-3872 CVE-2015-3871 CVE-2015-3868 CVE-2015-3867 CVE-2015-3869 CVE-2015-3870 CVE-2015-3823 CVE-2015-6598 CVE-2015-6599 CVE-2015-6600 CVE-2015-6603 CVE-2015-6601 CVE-2015-3876 CVE-2015-6604	Критический
Удаленное выполнение кода в Sonivox	CVE-2015-3874	Критический
Удаленное выполнение кода в libutils	CVE-2015-3875 CVE-2015-6602	Критический
Удаленное выполнение кода в Skia	CVE-2015-3877	Критический
Удаленное выполнение кода в libFLAC	CVE-2014-9028	Критический
Повышение привилегий через Keystore	CVE-2015-3863	Высокий
Повышение привилегий через фреймворк медиапроигрывателя	CVE-2015-3879	Высокий
Повышение привилегий через Android Runtime	CVE-2015-3865	Высокий
Повышение привилегий через mediaserver	CVE-2015-6596	Высокий
Повышение привилегий через SEEK	CVE-2015-6606	Высокий
Повышение привилегий через Media Projection	CVE-2015-3878	Средний
Повышение привилегий через Bluetooth	CVE-2015-3847	Средний
Повышение привилегий через SQLite	CVE-2015-6607	Средний
Отказ в обслуживании в mediaserver	CVE-2015-6605 CVE-2015-3862	Низкий

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

Использование многих уязвимостей затрудняется в новых версиях Android, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг- приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже установлено, система уведомит об этом пользователя и попытается удалить приложение.
Компания Google обновила приложения Hangouts и Messenger. Теперь они не передают медиафайлы уязвимым процессам, таким как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

Бреннан Лотнер: CVE-2015-3863.
Яцзинь Чжоу, Лэй Ву и Сюйсянь Цзян из C0re Team, Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
Дэниел Микей (daniel.micay@copperhead.co) из Copperhead Security: CVE-2015-3875.
dragonltx из Alibaba Mobile Security Team: CVE-2015-6599.
Иан Бир и Стивен Виттито из Google Project Zero: CVE-2015-6604.
Жуакин Ринауду (@xeroxnir) и Иван Арсе (@4Dgifts), участники Программы безопасности ИКТ Фонда доктора Мануэля Садоски, Буэнос-Айрес, Аргентина: CVE-2015-3870.
Джош Дрейк из Zimperium: CVE-2015-3876, CVE-2015-6602.
Джордан Грусковняк (@jgrusko) из Exodus Intelligence: CVE-2015-3867.
Питер Пи из Trend Micro: CVE-2015-3872, CVE-2015-3871.
Пин Ли из Qihoo 360 Technology Co. Ltd: CVE-2015-3878
Севен Шен: CVE-2015-6600, CVE-2015-3847.
Вантао (Neobyte) из Baidu X-Team: CVE-2015-6598.
Виш Ву (@wish_wu) из Trend Micro Inc.: CVE-2015-3823.

Мы также благодарим отдел безопасности Chrome, отдел безопасности Google, Project Zero и остальных сотрудников Google, которые помогли обнаружить уязвимости, перечисленные в этом бюллетене.

Описание уязвимостей

В этом разделе вы найдете подробную информацию обо всех перечисленных выше уязвимостях: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми версиями и датой сообщения об ошибке. Где возможно, мы приводим основную ссылку на сообщение в AOSP, связанное с идентификатором ошибки, и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода в libstagefright

Уязвимость libstagefright позволяет во время обработки медиафайла и его данных нарушить целостность информации в памяти и удаленно выполнить код в сервисе mediaserver.

Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода от имени привилегированного сервиса. У уязвимого компонента есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Уязвимые версии	Дата сообщения об ошибке
CVE-2015-3873	ANDROID-20674086 [ 2 , 3 , 4 ]	Критический	5.1 и ниже	Доступно только сотрудникам Google
	ANDROID-20674674 [ 2 , 3 , 4 ]
	ANDROID-20718524
	ANDROID-21048776
	ANDROID-21443020
	ANDROID-21814993
	ANDROID-22008959
	ANDROID-22077698
	ANDROID-22388975
	ANDROID-22845824
	ANDROID-23016072
	ANDROID-23247055
	ANDROID-23248776
	ANDROID-20721050	Критический	5.0 и 5.1	Доступно только сотрудникам Google
CVE-2015-3823	ANDROID-21335999	Критический	5.1 и ниже	20 мая 2015 г.
CVE-2015-6600	ANDROID-22882938	Критический	5.1 и ниже	31 июля 2015 г.
CVE-2015-6601	ANDROID-22935234	Критический	5.1 и ниже	3 августа 2015 г.
CVE-2015-3869	ANDROID-23036083	Критический	5.1 и ниже	4 августа 2015 г.
CVE-2015-3870	ANDROID-22771132	Критический	5.1 и ниже	5 августа 2015 г.
CVE-2015-3871	ANDROID-23031033	Критический	5.1 и ниже	6 августа 2015 г.
CVE-2015-3868	ANDROID-23270724	Критический	5.1 и ниже	6 августа 2015 г.
CVE-2015-6604	ANDROID-23129786	Критический	5.1 и ниже	11 августа 2015 г.
CVE-2015-3867	ANDROID-23213430	Критический	5.1 и ниже	14 августа 2015 г.
CVE-2015-6603	ANDROID-23227354	Критический	5.1 и ниже	15 августа 2015 г.
CVE-2015-3876	ANDROID-23285192	Критический	5.1 и ниже	15 августа 2015 г.
CVE-2015-6598	ANDROID-23306638	Критический	5.1 и ниже	18 августа 2015 г.
CVE-2015-3872	ANDROID-23346388	Критический	5.1 и ниже	19 августа 2015 г
CVE-2015-6599	ANDROID-23416608	Критический	5.1 и ниже	21 августа 2015 г.

Удаленное выполнение кода в Sonivox

Уязвимость Sonivox позволяет во время обработки медиафайла и его данных нарушить целостность информации в памяти и удаленно выполнить код в сервисе mediaserver. Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода от имени привилегированного сервиса. У уязвимого компонента есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Уязвимые версии	Дата сообщения об ошибке
CVE-2015-3874	ANDROID-23335715	Критический	5.1 и ниже	Разные
	ANDROID-23307276 [ 2 ]
	ANDROID-23286323

Удаленное выполнение кода в libutils

В универсальной библиотеке libutils обнаружена уязвимость обработки аудиофайлов. При обработке специально созданного файла злоумышленник может нарушить целостность информации в памяти и удаленно выполнить код в сервисе, использующем эту библиотеку (например, mediaserver).

Уязвимая функция является частью API. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней. Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в привилегированном сервисе. У уязвимого компонента есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Уязвимые версии	Дата сообщения об ошибке
CVE-2015-3875	ANDROID-22952485	Критический	5.1 и ниже	15 августа 2015 г.
CVE-2015-6602	ANDROID-23290056 [ 2 ]	Критический	5.1 и ниже	15 августа 2015 г.

Удаленное выполнение кода в Skia

Уязвимость Skia позволяет во время обработки специально созданного медиафайла нарушить целостность информации в памяти и удаленно выполнить код в привилегированном процессе. Уязвимости присвоен критический уровень, поскольку она позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS).

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Уязвимые версии	Дата сообщения об ошибке
CVE-2015-3877	ANDROID-20723696	Критический	5.1 и ниже	30 июля 2015 г.

Удаленное выполнение кода в libFLAC

В libFLAC обнаружена уязвимость обработки медиафайлов. При обработке специально созданного файла злоумышленник может нарушить целостность информации в памяти и удаленно выполнить код.

Уязвимая функция является частью API. Многие приложения позволяют контенту, особенно воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней. Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в привилегированном сервисе. У уязвимого компонента есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Уязвимые версии	Дата сообщения об ошибке
CVE-2014-9028	ANDROID-18872897 [ 2 ]	Критический	5.1 и ниже	14 ноября 2015 г.

Повышение привилегий через Keystore

Вредоносное приложение может использовать уязвимость Keystore при вызове Keystore API, а затем нарушить целостность информации в памяти и выполнить произвольный код в контексте хранилища ключей. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Уязвимые версии	Дата сообщения об ошибке
CVE-2015-3863	ANDROID-22802399	Высокий	5.1 и ниже	28 июля 2015 г.

Повышение привилегий через фреймворк медиапроигрывателя

Уязвимость фреймворка медиапроигрывателя позволяет вредоносному ПО выполнять произвольный код в контексте процесса mediaserver. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Уязвимые версии	Дата сообщения об ошибке
CVE-2015-3879	ANDROID-23223325 [2]*	Высокий	5.1 и ниже	14 августа 2015 г.

*Второе изменение не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков .

Повышение привилегий через Android Runtime

Уязвимость Android Runtime позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem ).

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Уязвимые версии	Дата сообщения об ошибке
CVE-2015-3865	ANDROID-23050463 [ 2 ]	Высокий	5.1 и ниже	8 августа 2015 г.

Повышение привилегий через mediaserver

В mediaserver есть несколько уязвимостей, которые позволяют локальному вредоносному приложению выполнять произвольный код в контексте встроенного сервиса. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Уязвимые версии	Дата сообщения об ошибке
CVE-2015-6596	ANDROID-20731946	Высокий	5.1 и ниже	Разные
	ANDROID-20719651*	Высокий	5.1 и ниже	Разные
	ANDROID-19573085	Высокий	5.0–6.0	Доступно только сотрудникам Google

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков .

Повышение привилегий через SEEK

Уязвимость SEEK (Secure Element Evaluation Kit, он же SmartCard API) позволяет приложению получить расширенные права доступа, не запрашивая их. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem ).

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Уязвимые версии	Дата сообщения об ошибке
CVE-2015-6606	ANDROID-22301786*	Высокий	5.1 и ниже	30 июня 2015 г.

*Эту проблему можно решить, скачав обновление с сайта SEEK for Android .

Повышение привилегий через Media Projection

Уязвимость компонента Media Projection позволяет перехватывать данные пользователей, создавая скриншоты. Если пользователь установит вредоносное приложение со слишком длинным названием (они поддерживаются операционной системой), то предупреждение о записи данных может быть скрыто. Уязвимости присвоен средний уровень серьезности, поскольку с ее помощью можно получить расширенные права доступа.

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Уязвимые версии	Дата сообщения об ошибке
CVE-2015-3878	ANDROID-23345192	Средний	5.0–6.0	18 августа 2015 г.

Повышение привилегий через Bluetooth

Уязвимость Bluetooth позволяет приложениям удалять сохраненные SMS. Уязвимости присвоен средний уровень серьезности, поскольку с ее помощью можно повысить привилегии.

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Уязвимые версии	Дата сообщения об ошибке
CVE-2015-3847	ANDROID-22343270	Средний	5.1 и ниже	8 июля 2015 г.

Повышение привилегий через SQLite

В инструменте синтаксического анализа SQLite обнаружен ряд уязвимостей. Если их атакует локальное приложение, то другое ПО сможет выполнять произвольные SQL-команды. В результате успешной атаки в контексте целевого приложения может выполняться произвольный код.

Исправление загружено на сайт AOSP 8 апреля 2015 года: https://android-review.googlesource.com/#/c/145961/ . Оно позволяет обновить SQLite до версии 3.8.9.

В этом бюллетене содержатся исправления для SQLite в Android 4.4 (SQLite 3.7.11), а также Android 5.0 и 5.1 (SQLite 3.8.6).

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Уязвимые версии	Дата сообщения об ошибке
CVE-2015-6607	ANDROID-20099586	Средний	5.1 и ниже	7 апреля 2015 г. Общеизвестная

Отказ в обслуживании в mediaserver

В mediaserver есть несколько уязвимостей, с помощью которых можно вызвать сбой процесса mediaserver, что приведет к временному отказу в обслуживании на устройстве. Уязвимостям присвоен низкий уровень серьезности.

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Уязвимые версии	Дата сообщения об ошибке
CVE-2015-6605	ANDROID-20915134	Низкий	5.1 и ниже	Доступно только сотрудникам Google
	ANDROID-23142203	Низкий	5.1 и ниже	Доступно только сотрудникам Google
	ANDROID-22278703	Низкий	5.0–6.0	Доступно только сотрудникам Google
CVE-2015-3862	ANDROID-22954006	Низкий	5.1 и ниже	2 августа 2015 г.

Версии

5 октября 2015 года: опубликовано впервые.
7 октября 2015 года: в бюллетень добавлены ссылки на AOSP и уточненные сведения об уязвимости CVE-2014-9028.
12 октября 2015 года: обновлены благодарности обнаружившим уязвимости CVE-2015-3868, CVE-2015-3869, CVE-2015-3865 и CVE-2015-3862.