Бюллетень по безопасности Nexus

Опубликовано 7 марта 2016 г. | Обновлено 8 марта 2016 г.

К выходу ежемесячного бюллетеня о безопасности Android мы выпустили автоматическое обновление системы безопасности для устройств Nexus и опубликовали образы прошивок Nexus на сайте для разработчиков. Перечисленные проблемы устранены в сборке LMY49H и более поздних версиях, а также в Android M с исправлением от 1 марта 2016 года или более новым. О том, как узнать дату последнего обновления системы безопасности, рассказывается в документации Nexus.

Мы сообщили партнерам об уязвимостях 1 февраля 2016 года или ранее. Исправления проблем будут загружены в хранилище Android Open Source Project (AOSP) в течение следующих 48 часов. Ссылки на AOSP появятся в этом бюллетене позже.

Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS).

Обнаруженные уязвимости не эксплуатировались. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android. Мы рекомендуем всем пользователям установить перечисленные в разделе обновления.

Перечень уязвимостей

В таблице ниже перечислены уязвимости, их идентификаторы (CVE) и уровни серьезности. Уровень зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

Уязвимость	CVE	Уровень серьезности
Удаленное выполнение кода через mediaserver	CVE-2016-0815 CVE-2016-0816	Критический
Удаленное выполнение кода через libvpx	CVE-2016-1621	Критический
Повышение привилегий через Conscrypt	CVE-2016-0818	Критический
Повышение привилегий через компонент производительности процессора Qualcomm	CVE-2016-0819	Критический
Повышение привилегий через Wi-Fi-драйвер MediaTek	CVE-2016-0820	Критический
Повышение привилегий через компонент Keyring	CVE-2016-0728	Критический
Обход ограничения уязвимости ядра	CVE-2016-0821	Высокий
Повышение привилегий через драйвер MediaTek для подключения	CVE-2016-0822	Высокий
Раскрытие информации через ядро	CVE-2016-0823	Высокий
Раскрытие информации через libstagefright	CVE-2016-0824	Высокий
Раскрытие информации через Widevine	CVE-2016-0825	Высокий
Повышение привилегий через mediaserver	CVE-2016-0826 CVE-2016-0827	Высокий
Раскрытие информации через mediaserver	CVE-2016-0828 CVE-2016-0829	Высокий
Удаленный отказ в обслуживании через уязвимость в Bluetooth	CVE-2016-0830	Высокий
Раскрытие информации через телефонию	CVE-2016-0831	Средний
Повышение привилегий через мастер настройки	CVE-2016-0832	Средний

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

Использование многих уязвимостей затрудняется в новых версиях Android, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг- приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже установлено, система уведомит об этом пользователя и попытается удалить приложение.
Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

Абхишек Арья, Оливер Чен и Мартин Барбелла из команды безопасности Google Chrome: CVE-2016-0815
Анестис Бехтсудис (@anestisb) из CENSUS S.A.: CVE-2016-0816, CVE-2016-0824
Чед Брубейкер из команды безопасности Android: CVE-2016-0818
Марк Бренд из Google Project Zero: CVE-2016-0820
Миньдзян Чжоу (@Mingjian_Zhou), Чиачи Ву (@chiachih_wu) и Сюсянь Цзянь из C0RE Team, Qihoo 360: CVE-2016-0826
Питер Пи (@heisecode) из Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
Скотт Бауэр (sbauer@eng.utah.edu, sbauer@plzdonthack.me): CVE-2016-0822
Виш Ву (@wish_wu) из Trend Micro Inc.: CVE-2016-0819
Юнчжен Ву и Тиян Ли из Huawei: CVE-2016-0831
Су Мон Кив и Инцзю Ли из Сингапурского университета управления: CVE-2016-0831
Зак Риггл (@ebeip90) из команды безопасности Android: CVE-2016-0821

Описание уязвимостей

В этом разделе вы найдете подробную информацию обо всех перечисленных выше уязвимостях: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми версиями и датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на сообщение в AOSP, связанное с идентификатором ошибки, и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода через mediaserver

При обработке медиафайлов и данных в специально созданном файле злоумышленник может воспользоваться уязвимостью mediaserver, нарушить целостность информации в памяти и удаленно выполнить код как процесс mediaserver.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0815	ANDROID-26365349	Критический	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	Доступно только сотрудникам Google
CVE-2016-0816	ANDROID-25928803	Критический	6.0, 6.0.1	Доступно только сотрудникам Google

Удаленное выполнение кода через libvpx

Уязвимостям присвоен критический уровень из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE	Ошибка со ссылками на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-1621	ANDROID-23452792 [2] [3]	Критический	4.4.4, 5.0.2, 5.1.1, 6.0	Доступно только сотрудникам Google

Повышение привилегий через Conscrypt

Уязвимость в Conscrypt позволяет определенным видам недействительных сертификатов, выданных промежуточным центром сертификации, проходить проверку подлинности. Это может стать причиной атак типа "человек посередине". Уязвимости присвоен критический уровень из-за возможности повышения привилегий и удаленного выполнения произвольного кода.

CVE	Ошибка со ссылками на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0818	ANDROID-26232830 [2]	Критический	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	Доступно только сотрудникам Google

Повышение привилегий через компонент производительности процессора Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень, поскольку из-за нее нарушается работа системы безопасности. Для устранения проблемы нужно переустановить ОС.

CVE	Ошибка	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0819	ANDROID-25364034*	Критический	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	29 октября 2015 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через Wi-Fi-драйвер ядра MediaTek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра и повышать привилегии. Из-за этого ей присвоен критический уровень.

CVE	Ошибка	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0820	ANDROID-26267358*	Критический	6.0.1	18 декабря 2015 г.

Повышение привилегий через компонент ядра Keyring

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в ядре. Ей присвоен критический уровень, поскольку из-за нее нарушается работа системы безопасности. Для устранения проблемы нужно переустановить ОС. Однако в Android 5.0 и более поздних версиях правила SELinux не позволяют сторонним приложениям оперировать с кодом.

Примечание. Исправление опубликовано в AOSP для следующих версий ядра: 4.1 3.18 3.14 3.10

CVE	Ошибка	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0728	ANDROID-26636379	Критический	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	11 января 2016 г.

Обход ограничения уязвимости ядра

Уязвимость позволяет обойти защиту, предотвращающую атаки на платформу. По этой причине проблеме присвоен высокий уровень серьезности.

Примечание. Обновленная информация о проблеме опубликована в сообществе Linux.

CVE	Ошибка	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0821	ANDROID-26186802	Высокий	6.0.1	Доступно только сотрудникам Google

Повышение привилегий через драйвер ядра MediaTek для подключения

Уязвимость обнаружена в драйвере ядра MediaTek для подключения. Она позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень, но в этом случае уязвимость требует сначала нарушить защиту сервиса conn_launcher, поэтому уровень был снижен до высокого.

CVE	Ошибка	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0822	ANDROID-25873324*	Высокий	6.0.1	24 ноября 2015 г.

Раскрытие информации через ядро

Уязвимость в ядре позволяет обойти защиту, предотвращающую атаки на платформу, и раскрыть конфиденциальную информацию. Ей присвоен высокий уровень из-за возможности обхода местной защиты, такой как ASLR, с помощью привилегированного процесса.

Примечание. Решение этой проблемы опубликовано в сообществе Linux.

CVE	Ошибка	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0823	ANDROID-25739721*	Высокий	6.0.1	Доступно только сотрудникам Google

Раскрытие информации через libstagefright

Уязвимость позволяет обойти защиту, предотвращающую атаки на платформу, и раскрыть конфиденциальную информацию. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0824	ANDROID-25765591	Высокий	6.0, 6.0.1	18 ноября 2015 г.

Раскрытие информации через Widevine

Уязвимость Widevine Trusted Application позволяет коду, работающему в контексте ядра, получить информацию из защищенного хранилища TrustZone. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить такие разрешения, как Signature и SignatureOrSystem.

CVE	Ошибка	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0825	ANDROID-20860039*	Высокий	6.0.1	Доступно только сотрудникам Google

Повышение привилегий через mediaserver

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0826	ANDROID-26265403 [2]	Высокий	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	17 декабря 2015 г.
CVE-2016-0827	ANDROID-26347509	Высокий	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	28 декабря 2015 г.

Раскрытие информации через mediaserver

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0828	ANDROID-26338113	Высокий	5.0.2, 5.1.1, 6.0, 6.0.1	27 декабря 2015 г.
CVE-2016-0829	ANDROID-26338109	Высокий	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	27 декабря 2015 г.

Удаленный отказ в обслуживании через уязвимость в Bluetooth

Уязвимость позволяет находящемуся поблизости злоумышленнику временно заблокировать доступ к пораженному устройству. Через компонент Bluetooth он может вызвать избыток опознанных устройств, что приводит к сбою памяти и остановке сервиса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее происходит отказ в обслуживании. Это можно исправить только путем переустановки операционной системы.

CVE	Ошибка со ссылками на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0830	ANDROID-26071376	Высокий	6.0, 6.0.1	Доступно только сотрудникам Google

Раскрытие информации через телефонию

Уязвимость компонента телефонии позволяет ПО получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний уровень серьезности.

CVE	Ошибка со ссылками на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0831	ANDROID-25778215	Средний	5.0.2, 5.1.1, 6.0, 6.0.1	16 ноября 2015 г.

Повышение привилегий через мастер настройки

Уязвимость в мастере настройки позволяет злоумышленнику, в руки которого попало устройство, получить доступ к настройкам и выполнить их сброс. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно обойти защиту от сброса.

CVE	Ошибка	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0832	ANDROID-25955042*	Средний	5.1.1, 6.0, 6.0.1	Доступно только сотрудникам Google

*Исправления уязвимости в этом обновлении нет.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Проблемы устранены в сборке LMY49H и более поздних версиях, а также в Android 6.0 с исправлением от 1 марта 2016 года или более новым. О том, как узнать дату последнего обновления системы безопасности, рассказывается в Справочном центре Nexus. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2016-03-01].

Версии

7 марта 2016 года. Бюллетень опубликован.
8 марта 2016 года. Добавлены ссылки на AOSP.