Бюллетень по безопасности Nexus

Опубликовано 1 февраля 2016 г. | Обновлено 7 марта 2016 г.

К выходу ежемесячного бюллетеня о безопасности Android мы выпустили автоматическое обновление системы безопасности для устройств Nexus и опубликовали образы прошивок Nexus на сайте для разработчиков. Перечисленные проблемы устранены в сборке LMY49G и более поздних версиях, а также в Android M с исправлением от 1 февраля 2016 года или более новым. О том, как узнать дату последнего обновления системы безопасности, рассказывается в документации Nexus.

Мы сообщили партнерам об уязвимостях 4 января 2016 года или ранее. Исправления проблем загружены в хранилище Android Open Source Project (AOSP).

Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS). Кроме того, критический уровень присвоен уязвимости Wi-Fi-драйвера Broadcom, поскольку она позволяет удаленно выполнять код на пораженном устройстве, когда пользователь и злоумышленник подключены к одной сети.

Обнаруженные уязвимости не эксплуатировались. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android. Мы рекомендуем всем пользователям установить перечисленные в разделе обновления.

Перечень уязвимостей

В таблице ниже перечислены уязвимости, их идентификаторы (CVE) и уровни серьезности. Уровень зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

Уязвимость	CVE	Уровень серьезности
Удаленное выполнение кода в Wi-Fi-драйвере Broadcom	CVE-2016-0801 CVE-2016-0802	Критический
Удаленное выполнение кода через mediaserver	CVE-2016-0803 CVE-2016-0804	Критический
Повышение привилегий через модуль производительности процессора Qualcomm	CVE-2016-0805	Критический
Повышение привилегий через Wi-Fi-драйвер Qualcomm	CVE-2016-0806	Критический
Повышение привилегий через Debuggerd	CVE-2016-0807	Критический
Отказ в обслуживании в Minikin	CVE-2016-0808	Высокий
Повышение привилегий через Wi-Fi	CVE-2016-0809	Высокий
Повышение привилегий через mediaserver	CVE-2016-0810	Высокий
Раскрытие информации в libmediaplayerservice	CVE-2016-0811	Высокий
Повышение привилегий через мастер настройки	CVE-2016-0812 CVE-2016-0813	Средний

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

Использование многих уязвимостей затрудняется в новых версиях Android, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг- приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже установлено, система уведомит об этом пользователя и попытается удалить приложение.
Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

Команды безопасности Android и Chrome: CVE-2016-0809, CVE-2016-0810
Команда Broadgate: CVE-2016-0801, CVE-2015-0802
Чиачи Ву (@chiachih_wu), Миньдзян Чжоу (@Mingjian_Zhou) и Сюсянь Цзянь из команды C0RE, Qihoo 360: CVE-2016-0804
Дэвид Райли из команды Google Pixel C: CVE-2016-0812
Гэнцзя Чэнь (@chengjia4574) из Lab IceSword, Qihoo 360: CVE-2016-0805
Цидань Хэ (@Flanker_hqd) из KeenLab (@keen_lab), Tencent: CVE-2016-0811
Севен Шень (@lingtongshen) из Trend Micro (www.trendmicro.com): CVE-2016-0803
Вэйчао Сунь (@sunblate) из Alibaba Inc: CVE-2016-0808
Зак Риггл (@ebeip90) из команды безопасности Android: CVE-2016-0807

Описание уязвимостей

В этом разделе вы найдете подробную информацию обо всех перечисленных выше уязвимостях: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми версиями и датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на сообщение в AOSP, связанное с идентификатором ошибки, и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода в Wi-Fi-драйвере Broadcom

В Wi-Fi-драйвере Broadcom обнаружено несколько уязвимостей. Они позволяют злоумышленнику нарушить целостность памяти в ядре с помощью вредоносных пакетов контрольных сообщений и удаленно выполнить код в контексте ядра. Это может произойти в том случае, если пользователь устройства и злоумышленник подключены к одной сети. Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в контексте ядра без вмешательства пользователя.

CVE	Ошибки	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0801	ANDROID-25662029 ANDROID-25662233	Критический	4.4.4, 5.0, 5.1.1, 6.0, 6.0.1	25 октября 2015 г.
CVE-2016-0802	ANDROID-25306181	Критический	4.4.4, 5.0, 5.1.1, 6.0, 6.0.1	26 октября 2015 г.

Удаленное выполнение кода через mediaserver

При обработке медиафайлов и данных в специально созданном файле злоумышленник может воспользоваться уязвимостью mediaserver, нарушить целостность информации в памяти и удаленно выполнить код как процесс mediaserver.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0803	ANDROID-25812794	Критический	4.4.4, 5.0, 5.1.1, 6.0, 6.0.1	19 ноября 2015 г.
CVE-2016-0804	ANDROID-25070434	Критический	5.0, 5.1.1, 6.0, 6.0.1	12 октября 2015 г.

Повышение привилегий через модуль производительности процессора Qualcomm

Уязвимость обнаружена в диспетчере событий производительности для ARM-процессоров Qualcomm. Она позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Уязвимости присвоен критический уровень, поскольку из-за нее нарушается работа системы безопасности. Для устранения проблемы нужно переустановить ОС.

CVE	Ошибка	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0805	ANDROID-25773204*	Критический	4.4.4, 5.0, 5.1.1, 6.0, 6.0.1	15 ноября 2015 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через Wi-Fi-драйвер Qualcomm

Уязвимость Wi-Fi-драйвера Qualcomm позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен критический уровень, поскольку из-за нее нарушается работа системы безопасности. Для устранения уязвимости нужно переустановить ОС.

CVE	Ошибка	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0806	ANDROID-25344453*	Критический	4.4.4, 5.0, 5.1.1, 6.0, 6.0.1	15 ноября 2015 г.

Повышение привилегий через Debuggerd

Уязвимость компонента Debuggerd позволяет локальному вредоносному ПО выполнять произвольный код на устройстве, используя root-права. Проблеме присвоен критический уровень, поскольку из-за нее нарушается работа системы безопасности. Для устранения уязвимости нужно переустановить ОС.

CVE	Ошибка со ссылкой на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0807	ANDROID-25187394	Критический	6.0, 6.0.1	Доступно только сотрудникам Google

Отказ в обслуживании в Minikin

Уязвимость в библиотеке Minikin позволяет локальному взломщику временно заблокировать доступ к пораженному устройству. Злоумышленник может инициировать загрузку ненадежного шрифта, что вызовет переполнение Minikin и сбой в работе устройства. Уязвимости присвоен высокий уровень серьезности, поскольку из-за отказа в обслуживании начинается бесконечная цепочка перезагрузок устройства.

CVE	Ошибка со ссылкой на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0808	ANDROID-25645298	Высокий	5.0, 5.1.1, 6.0, 6.0.1	3 ноября 2015 г.

Повышение привилегий через Wi-Fi

Уязвимость компонента Wi-Fi позволяет злоумышленнику, находящемуся рядом с устройством, выполнить произвольный код в контексте системы с помощью вредоносного ПО. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно удаленно получить разрешения уровня normal (стандартные). Как правило, они доступны только сторонним приложениям, установленным на устройстве.

CVE	Ошибка со ссылкой на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0809	ANDROID-25753768	Высокий	6.0, 6.0.1	Доступно только сотрудникам Google

Повышение привилегий через mediaserver

Уязвимость mediaserver позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE	Ошибка со ссылкой на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0810	ANDROID-25781119	Высокий	4.4.4, 5.0, 5.1.1, 6.0, 6.0.1	Доступно только сотрудникам Google

Раскрытие информации в libmediaplayerservice

Уязвимость libmediaplayerservice позволяет обойти защиту, предотвращающую атаки на платформу, и раскрыть конфиденциальную информацию. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE	Ошибка со ссылкой на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0811	ANDROID-25800375	Высокий	6.0, 6.0.1	16 ноября 2015 г.

Повышение привилегий через мастер настройки

Уязвимость в мастере настройки позволяет злоумышленнику, в руки которого попало устройство, получить доступ к настройкам и выполнить их сброс. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно обойти защиту от сброса.

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0812	ANDROID-25229538	Средний	5.1.1, 6.0	Доступно только сотрудникам Google
CVE-2016-0813	ANDROID-25476219	Средний	5.1.1, 6.0, 6.0.1	Доступно только сотрудникам Google

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Проблемы устранены в сборке LMY49G и более поздних версиях, а также в Android 6.0 с исправлением от 1 февраля 2016 года или более новым. О том, как узнать дату последнего обновления системы безопасности, рассказывается в Справочном центре Nexus. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2016-02-01].

Версии

1 февраля 2016 года. Бюллетень опубликован.
2 февраля 2016 года. Добавлены ссылки на AOSP.
7 марта 2016 года. Добавлены дополнительные ссылки на AOSP.