Бюллетень по безопасности Nexus

Опубликовано 2 ноября 2015 года

К выходу ежемесячного бюллетеня о безопасности Android мы выпустили автоматическое обновление системы безопасности для устройств Nexus и опубликовали образы прошивок Nexus на сайте для разработчиков . Перечисленные проблемы устранены в сборке LMY48X и более поздних версиях, а также в Android 6.0 Marshmallow с исправлением от 1 ноября 2015 года. Подробнее…

Мы сообщили партнерам об уязвимостях 5 октября 2015 года или ранее. Исправления уязвимостей будут доступны в хранилище Android Open Source Project (AOSP) в течение 48 часов. Позже мы дополним этот бюллетень ссылками на AOSP.

Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS).

Обнаруженные уязвимости не эксплуатировались. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android. Мы рекомендуем всем пользователям установить перечисленные в разделе обновления.

Перечень уязвимостей

В таблице ниже перечислены уязвимости, их идентификаторы (CVE) и уровни серьезности. Уровень зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

Уязвимость	CVE	Уровень серьезности
Удаленное выполнение кода в mediaserver	CVE-2015-6608	Критический
Удаленное выполнение кода в libutils	CVE-2015-6609	Критический
Раскрытие информации в mediaserver	CVE-2015-6611	Высокий
Повышение привилегий через libstagefright	CVE-2015-6610	Высокий
Повышение привилегий через libmedia	CVE-2015-6612	Высокий
Повышение привилегий через Bluetooth	CVE-2015-6613	Высокий
Повышение привилегий через телефонную связь	CVE-2015-6614	Средний

Уровень зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

Использование многих уязвимостей затрудняется в новых версиях Android, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг- приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышении привилегий, и блокировать его установку. Если подобное ПО уже установлено, система уведомит об этом пользователя и попытается удалить приложение.
Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

Абхишек Арья, Оливер Чен и Мартин Барбелла, Команда безопасности Google Chrome: CVE-2015-6608.
Дэниел Микей (daniel.micay@copperhead.co) из Copperhead Security: CVE-2015-6609.
Донкван Ким (dkay@kaist.ac.kr) из System Security Lab, KAIST: CVE-2015-6614.
Хонгиль Ким (hongilk@kaist.ac.kr) из System Security Lab, KAIST: CVE-2015-6614.
Джек Тэн (@jacktang310) из Trend Micro: CVE-2015-6611.
Питер Пи из Trend Micro: CVE-2015-6611.
Натали Сильванович из Google Project Zero: CVE-2015-6608.
Цидань Хэ (flanker_hqd) и Вэнь Сюй (@antlr7) из KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612.
Севен Шен из Trend Micro: CVE-2015-6610.

Описание уязвимостей

В этом разделе вы найдете подробную информацию обо всех перечисленных выше уязвимостях: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми версиями и датой сообщения об ошибке. Где возможно, мы приводим основную ссылку на сообщение в AOSP, связанное с идентификатором ошибки, и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода в mediaserver

При обработке медиафайлов и данных в специально созданном файле злоумышленник может воспользоваться уязвимостью mediaserver, нарушить целостность информации в памяти и удаленно выполнить код как процесс mediaserver.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Уязвимые версии	Дата сообщения об ошибке
CVE-2015-6608	ANDROID-19779574	Критический	5.0, 5.1, 6.0	Доступно только сотрудникам Google
	ANDROID-23680780
	ANDROID-23876444
	ANDROID-23881715	Критический	4.4, 5.0, 5.1, 6.0	Доступно только сотрудникам Google
	ANDROID-14388161	Критический	4.4 и 5.1	Доступно только сотрудникам Google
	ANDROID-23658148	Критический	5.0, 5.1, 6.0	Доступно только сотрудникам Google

Удаленное выполнение кода в libutils

Уязвимость универсальной библиотеки libutils можно использовать при обработке аудиофайлов. Она позволяет злоумышленнику во время обработки специально созданного файла нарушить целостность информации в памяти и удаленно выполнить код.

Уязвимая функция является частью API. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней. Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в привилегированном сервисе. У уязвимого компонента есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Уязвимые версии	Дата сообщения об ошибке
CVE-2015-6609	ANDROID-22953624 [ 2 ]	Критический	6.0 и ниже	3 августа 2015 г.

Раскрытие информации в mediaserver

Уязвимости mediaserver позволяют обойти защиту, предотвращающую атаки на платформу, и раскрыть конфиденциальную информацию.

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Уязвимые версии	Дата сообщения об ошибке
CVE-2015-6611	ANDROID-23905951 [ 2 ] [ 3 ]	Высокий	6.0 и ниже	7 сентября 2015 г.
	ANDROID-23912202*
	ANDROID-23953967*
	ANDROID-23696300	Высокий	6.0 и ниже	31 августа 2015 г.
	ANDROID-23600291	Высокий	6.0 и ниже	26 августа 2015 г.
	ANDROID-23756261 [ 2 ]	Высокий	6.0 и ниже	26 августа 2015 г.
	ANDROID-23540907 [ 2 ]	Высокий	5.1 и ниже	25 августа 2015 г.
	ANDROID-23541506	Высокий	6.0 и ниже	25 августа 2015 г.
	ANDROID-23284974*
	ANDROID-23542351*
	ANDROID-23542352*
	ANDROID-23515142	Высокий	5.1 и ниже	19 августа 2015 г.

*Исправление для этой уязвимости можно скачать по другим ссылкам в AOSP.

Повышение привилегий через libstagefright

Уязвимость libstagefright позволяет локальному вредоносному ПО нарушить целостность информации в памяти и выполнить произвольный код в контексте сервиса mediaserver. Подобным уязвимостям обычно присваивается критический уровень серьезности, однако мы указали высокий уровень из-за низкой вероятности удаленной атаки.

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Уязвимые версии	Дата сообщения об ошибке
CVE-2015-6610	ANDROID-23707088 [ 2 ]	Высокий	6.0 и ниже	19 августа 2015 г.

Повышение привилегий через libmedia

Уязвимость libmedia позволяет локальному вредоносному ПО выполнять произвольный код в контексте сервиса mediaserver. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Уязвимые версии	Дата сообщения об ошибке
CVE-2015-6612	ANDROID-23540426	Высокий	6.0 и ниже	23 августа 2015 г.

Повышение привилегий через Bluetooth

Уязвимость Bluetooth позволяет локальному приложению отправлять команды принимающему порту отладки на устройстве. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem ).

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Уязвимые версии	Дата сообщения об ошибке
CVE-2015-6613	ANDROID-24371736	Высокий	6.0	Доступно только сотрудникам Google

Повышение привилегий через телефонную связь

Уязвимость телефонной связи позволяет локальному вредоносному ПО передавать несанкционированные данные в закрытые сетевые интерфейсы. Это может привести к значительным расходам на мобильный трафик. Кроме того, злоумышленник сможет блокировать входящие звонки, а также контролировать отключение звука при звонках. Уязвимости присвоен средний уровень серьезности, поскольку с ее помощью можно получить разрешения уровня dangerous (опасно).

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Уязвимые версии	Дата сообщения об ошибке
CVE-2015-6614	ANDROID-21900139 [ 2 ] [ 3 ]	Средний	5.0, 5.1	8 июня 2015 г.

Часто задаваемые вопросы

В этом разделе мы ответим на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Проблемы устранены в сборке LMY48X и более поздних версиях, а также в Android 6.0 Marshmallow с исправлением от 1 ноября 2015 года. Узнать о том, как проверить уровень обновления системы безопасности, можно в документации по Nexus . Производители устройств, позволяющие установить эти обновления, должны присвоить им строку [ro.build.version.security_patch]:[2015-11-01].

Версии

2 ноября 2015 года: опубликовано впервые