發佈日期:2015 年 8 月 13 日
Google 已透過 Android 安全性公佈欄每月公告程序中的 無線 (OTA) 更新, 發佈 Nexus 裝置的安全性更新。 此外,Nexus 韌體映像檔也已經發佈到 Google 開發人員網站 上。LMY48I 以上版本針對下列問題提供了解決之道。合作夥伴是 在 2015 年 6 月 25 日或之前收到有關這些問題的通知。
在下列問題中,最嚴重的就是「最高」等級的安全性漏洞。 當系統執行媒體檔案時,遠端程式碼可利用這類漏洞,透過電子郵件、 網頁瀏覽活動和多媒體訊息等方法,在受影響的裝置上執行。
下表列出各種安全性漏洞、相應的常見弱點與漏洞編號 (CVE) 及 評定嚴重程度。 嚴重程度評定標準 是假設平台與服務的因應防護措施基於開發目的而被停用,或是遭到有心人士破解,然後推算當有人惡意運用漏洞時,裝置會受到多大的影響,據此評定漏洞的嚴重程度。
| 問題 | CVE | 嚴重程度 |
|---|---|---|
| MP4 Atom 處理程序中的整數溢位現象 | CVE-2015-1538 | 最高 |
| ESDS 處理程序中的整數溢位現象 | CVE-2015-1539 | 最高 |
| 解析 MPEG4 tx3g Atom 時 libstagefright 中的整數溢位現象 | CVE-2015-3824 | 最高 |
| 處理 MPEG4 covr Atom 時 libstagefright 中的整數下溢現象 | CVE-2015-3827 | 最高 |
| 處理 3GPP 中繼資料時因尺寸小於 6 而導致 libstagefright 中產生 整數下溢現象 | CVE-2015-3828 | 最高 |
| libstagefright 處理 MPEG4 covr Atom 時因 chunk_data_size 等於 SIZE_MAX 而 產生整數溢位現象 | CVE-2015-3829 | 最高 |
| Sonivox Parse_wave 中的緩衝區溢位現象 | CVE-2015-3836 | 最高 |
| libstagefright MPEG4Extractor.cpp 中的緩衝區溢位現象 | CVE-2015-3832 | 最高 |
| 媒體伺服器 BpMediaHTTPConnection 中的緩衝區溢位現象 | CVE-2015-3831 | 高 |
| libpng 中的漏洞:png_Read_IDAT_data 中的溢位現象 | CVE-2015-0973 | 高 |
| wpa_supplicant 中 p2p_add_device() 的 memcpy() 溢位現象可供遠端程式惡意運用 | CVE-2015-1863 | 高 |
| OpenSSLX509Certificate 反序列化程序中的記憶體毀損 | CVE-2015-3837 | 高 |
| 媒體伺服器 BnHDCP 中的緩衝區溢位現象 | CVE-2015-3834 | 高 |
| libstagefright OMXNodeInstance::emptyBuffer 中的緩衝區溢位現象 | CVE-2015-3835 | 高 |
| 媒體伺服器 AudioPolicyManager::getInputForAttr() 中的堆積溢位現象 | CVE-2015-3842 | 高 |
| 應用程式可攔截或模擬對電話通訊系統發出的 SIM 指令 | CVE-2015-3843 | 高 |
| 點陣圖解組程序中的漏洞 | CVE-2015-1536 | 中 |
| AppWidgetServiceImpl 可利用系統權限建立 IntentSender | CVE-2015-1541 | 中 |
| 規避 getRecentTasks() 相關限制的因應措施 | CVE-2015-3833 | 中 |
| ActivityManagerService.getProcessRecordLocked() 會將系統 UID 應用程式載入錯誤的程序中 | CVE-2015-3844 | 中 |
| 解析 3GPP 中繼資料時 libstagefright 中的緩衝區讀取未設界限 | CVE-2015-3826 | 低 |
本節概要說明 Android 安全性平台 和 SafetyNet 等服務防護方案所提供的因應措施。這些措施 可有效防範有心人士在 Android 系統上惡意運用安全性漏洞來達到 他們的目的。
感謝以下研究人員做出的貢獻:
*Wish 同時是我們 Android 安全性維護獎 的首位得獎者!
libstagefright 中有數種可能會在 MP4 Atom 處理期間發生的整數溢位 現象,這些現象會造成記憶體損毀,且可能會讓遠端程式碼當做 媒體伺服器處理程序執行。
受影響的功能是以應用程式 API 形式提供使用,而多款應用程式 都允許遠端內容連到這項功能,其中最常見的內容是多媒體 訊息和瀏覽器中播放的媒體。
由於這個問題可能會讓遠端程式碼當做獲得授權的服務來 執行,因此被評定為「最高」的影響程度。儘管媒體伺服器 會受到 SELinux 保護,但它確實能夠存取音訊和視訊串流, 以及在許多裝置上獲得授權的核心驅動程式裝置節點 (這是 第三方應用程式一般無法存取的權限)。請注意,依據舊版的嚴重程度 評定規範,這項漏洞被評定為「高」的影響程度,並已據此回報給 合作夥伴。但依據我們 2015 年 6 月發佈的新版規範,這項漏洞卻屬於「最高」等級的問題。
| CVE | 錯誤 (附有 AOSP 連結) | 嚴重程度 | 受影響的版本 |
|---|---|---|---|
| CVE-2015-1538 | ANDROID-20139950 [ 2 ] | 最高 | 5.1 及以下版本 |
libstagefright 中有一種可能會在 ESDS Atom 處理期間發生的整數溢位 現象,這種現象會造成記憶體損毀,且可能會讓遠端程式碼當做 媒體伺服器處理程序執行。
受影響的功能是以應用程式 API 形式提供使用,而多款應用程式 都允許遠端內容連到這項功能,其中最常見的內容是多媒體 訊息和瀏覽器中播放的媒體。
由於這個問題可能會讓遠端程式碼當做獲得授權的服務來 執行,因此被評定為「最高」的影響程度。儘管媒體伺服器 會受到 SELinux 保護,但它確實能夠存取音訊和視訊串流, 以及在許多裝置上獲得授權的核心驅動程式裝置節點 (這是 第三方應用程式一般無法存取的權限)。請注意,依據舊版的嚴重程度 評定規範,這項漏洞被評定為「高」的影響程度,並已據此回報給 合作夥伴。但依據我們 2015 年 6 月發佈的新版規範,這項漏洞卻屬於「最高」等級的問題。
| CVE | 錯誤 (附有 AOSP 連結) | 嚴重程度 | 受影響的版本 |
|---|---|---|---|
| CVE-2015-1539 | ANDROID-20139950 | 最高 | 5.1 及以下版本 |
libstagefright 中有一種可能會在 MPEG4 tx3g 資料處理期間發生的整數 溢位現象,這種現象會造成記憶體損毀,且可能會讓遠端程式碼當做 媒體伺服器處理程序執行。
受影響的功能是以應用程式 API 形式提供使用,而多款應用程式 都允許遠端內容連到這項功能,其中最常見的內容是多媒體 訊息和瀏覽器中播放的媒體。
由於這個問題可能會讓遠端程式碼當做獲得授權的服務來 執行,因此被評定為「最高」的影響程度。儘管媒體伺服器 會受到 SELinux 保護,但它確實能夠存取音訊和視訊串流, 以及在許多裝置上獲得授權的核心驅動程式裝置節點 (這是 第三方應用程式一般無法存取的權限)。
請注意,依據舊版的嚴重程度評定規範,這項漏洞被評定為 「高」的影響程度,並已據此回報給合作夥伴。但依據 我們 2015 年 6 月發佈的新版規範,這項漏洞卻屬於「最高」等級的問題。
| CVE | 錯誤 (附有 AOSP 連結) | 嚴重程度 | 受影響的版本 |
|---|---|---|---|
| CVE-2015-3824 | ANDROID-20923261 | 最高 | 5.1 及以下版本 |
libstagefright 中有一種可能會在 MPEG4 資料處理期間發生的整數 下溢現象,這種現象會造成記憶體損毀,且可能會讓遠端程式碼當做 媒體伺服器處理程序執行。
受影響的功能是以應用程式 API 形式提供使用,而多款應用程式 都允許遠端內容連到這項功能,其中最常見的內容是多媒體 訊息和瀏覽器中播放的媒體。
由於這個問題可能會讓遠端程式碼當做獲得授權的服務來 執行,因此被評定為「最高」的影響程度。儘管媒體伺服器 會受到 SELinux 保護,但它確實能夠存取音訊和視訊串流, 以及在許多裝置上獲得授權的核心驅動程式裝置節點 (這是 第三方應用程式一般無法存取的權限)。
請注意,依據舊版的嚴重程度評定規範,這項漏洞被評定為 「高」的影響程度,並已據此回報給合作夥伴。但依據 我們 2015 年 6 月發佈的新版規範,這項漏洞卻屬於「最高」等級的問題。
| CVE | 錯誤 (附有 AOSP 連結) | 嚴重程度 | 受影響的版本 |
|---|---|---|---|
| CVE-2015-3827 | ANDROID-20923261 | 最高 | 5.1 及以下版本 |
libstagefright 中有一種可能會在 3GPP 資料處理期間發生的整數 下溢現象,這種現象會造成記憶體損毀,且可能會讓遠端程式碼當做 媒體伺服器處理程序執行。
受影響的功能是以應用程式 API 形式提供使用,而多款應用程式 都允許遠端內容連到這項功能,其中最常見的內容是多媒體 訊息和瀏覽器中播放的媒體。
由於這個問題可能會讓遠端程式碼當做獲得授權的服務來 執行,因此被評定為「最高」的影響程度。儘管媒體伺服器 會受到 SELinux 保護,但它確實能夠存取音訊和視訊串流, 以及在許多裝置上獲得授權的核心驅動程式裝置節點 (這是 第三方應用程式一般無法存取的權限)。請注意,依據舊版的嚴重程度 評定規範,這項漏洞被評定為「高」的影響程度,並已據此回報給 合作夥伴。但依據我們 2015 年 6 月發佈的新版規範,這項漏洞卻屬於「最高」等級的問題。
| CVE | 錯誤 (附有 AOSP 連結) | 嚴重程度 | 受影響的版本 |
|---|---|---|---|
| CVE-2015-3828 | ANDROID-20923261 | 最高 | 5.0 及以上版本 |
libstagefright 中有一種可能會在 MPEG4 covr 資料處理期間發生的整數 溢位現象,這種現象會造成記憶體損毀,且可能會讓遠端程式碼當做 媒體伺服器處理程序執行。
受影響的功能是以應用程式 API 形式提供使用,而多款應用程式 都允許遠端內容連到這項功能,其中最常見的內容是多媒體 訊息和瀏覽器中播放的媒體。
由於這個問題可能會讓遠端程式碼當做獲得授權的服務來 執行,因此被評定為「最高」的影響程度。儘管媒體伺服器 會受到 SELinux 保護,但它確實能夠存取音訊和視訊串流, 以及在許多裝置上獲得授權的核心驅動程式裝置節點 (這是 第三方應用程式一般無法存取的權限)。請注意,依據舊版的嚴重程度 評定規範,這項漏洞被評定為「高」的影響程度,並已據此回報給 合作夥伴。但依據我們 2015 年 6 月發佈的新版規範,這項漏洞卻屬於「最高」等級的問題。
| CVE | 錯誤 (附有 AOSP 連結) | 嚴重程度 | 受影響的版本 |
|---|---|---|---|
| CVE-2015-3829 | ANDROID-20923261 | 最高 | 5.0 及以上版本 |
Sonivox 中有一種可能會在 XMF 資料處理期間發生的緩衝區 溢位現象,這種現象會造成記憶體損毀,且可能會讓遠端程式碼當做 媒體伺服器處理程序執行。
受影響的功能是以應用程式 API 形式提供使用,而多款應用程式 都允許遠端內容連到這項功能,其中最常見的內容是多媒體 訊息和瀏覽器中播放的媒體。
由於這個問題可能會讓遠端程式碼當做獲得授權的服務來 執行,因此被評定為「最高」的影響程度。儘管媒體伺服器 會受到 SELinux 保護,但它確實能夠存取音訊和視訊串流, 以及在許多裝置上獲得授權的核心驅動程式裝置節點 (這是 第三方應用程式一般無法存取的權限)。請注意,依據舊版的嚴重程度 評定規範,這項漏洞被評定為「高」的影響程度,並已據此回報給 合作夥伴。但依據我們 2015 年 6 月發佈的新版規範,這項漏洞卻屬於「最高」等級的問題。
| CVE | 錯誤 (附有 AOSP 連結) | 嚴重程度 | 受影響的版本 |
|---|---|---|---|
| CVE-2015-3836 | ANDROID-21132860 | 最高 | 5.1 及以下版本 |
Sonivox 中有數種可能會在 MP4 處理期間發生的緩衝區溢位 現象,這些現象會造成記憶體損毀,且可能會讓遠端程式碼當做 媒體伺服器處理程序執行。
受影響的功能是以應用程式 API 形式提供使用,而多款應用程式 都允許遠端內容連到這項功能,其中最常見的內容是多媒體 訊息和瀏覽器中播放的媒體。
由於這個問題可能會讓遠端程式碼當做獲得授權的服務來 執行,因此被評定為「最高」的影響程度。儘管媒體伺服器 會受到 SELinux 保護,但它確實能夠存取音訊和視訊串流, 以及在許多裝置上獲得授權的核心驅動程式裝置節點 (這是 第三方應用程式一般無法存取的權限)。
這個問題初步被通報為本機漏洞 (無法透過遠端存取)。 請注意,依據舊版的嚴重程度評定規範,這項漏洞被評定為 「中」的影響程度,並已據此回報給合作夥伴。但依據 我們 2015 年 6 月發佈的新版規範,這項漏洞卻屬於「最高」等級的問題。
| CVE | 錯誤 (附有 AOSP 連結) | 嚴重程度 | 受影響的版本 |
|---|---|---|---|
| CVE-2015-3832 | ANDROID-19641538 | 最高 | 5.1 及以下版本 |
BpMediaHTTPConnection 中有一種可能會在處理其他應用程式 所提供的資料時發生的緩衝區溢位現象,這種現象會造成記憶體損毀, 且可能會讓遠端程式碼當做媒體伺服器處理程序執行。
受影響的功能是以應用程式 API 形式提供使用。我們認為 這個問題無法被遠端程式惡意運用。
由於這個問題可能會讓攻擊者透過本機應用程式執行程式碼,當做 獲得授權的媒體伺服器服務,因此被評定為「高」的影響程度。儘管 媒體伺服器會受到 SELinux 保護,但它確實能夠存取音訊和視訊 串流,以及在許多裝置上獲得授權的核心驅動程式裝置節點 (這是 第三方應用程式一般無法存取的權限)。
| CVE | 錯誤 (附有 AOSP 連結) | 嚴重程度 | 受影響的版本 |
|---|---|---|---|
| CVE-2015-3831 | ANDROID-19400722 | 高 | 5.0 和 5.1 |
在 libpng 中讀取 png_read_IDAT_data() 函式內的 IDAT 資料 時,可能會發生緩衝區溢位的現象,這種現象會造成記憶體 毀損,且可能會讓遠端程式碼在使用這個方法的應用程式內 執行。
受影響的功能是以應用程式 API 形式提供使用,而多款應用程式 都允許遠端內容連到這項功能,其中最常見的內容是簡訊應用 程式和瀏覽器。
由於這個問題可能會讓遠端程式碼當做未獲授權的 應用程式執行,因此被評定為「高」的影響程度。
| CVE | 錯誤 (附有 AOSP 連結) | 嚴重程度 | 受影響的版本 |
|---|---|---|---|
| CVE-2015-0973 | ANDROID-19499430 | 高 | 5.1 及以下版本 |
當 wpa_supplicant 在 WLAN Direct 模式中運作時,可能會因為 p2p_add_device() 方法中的溢位現象,造成可讓遠端程式碼執行 的漏洞。如果這個漏洞遭到運用,就會讓攻擊者以 Android 中「Wifi」使用者 的身分執行程式碼。
以下幾種情況會減輕攻擊者利用此一漏洞所造成的影響:
- 在多數 Android 裝置上,並未預設啟用 WLAN Direct
- 攻擊者必須處於接近的位置 (在 WiFi 範圍內),才能順利運用這個問題
- wpa_supplicant 程序以「Wifi」使用者的身分執行,但這種身分對系統 的存取權有限
- 搭載 Android 4.1 及以上版本的裝置所提供的位址空間配置隨機載入 (ASLR) 機制 可防範來自遠端的漏洞攻擊行為
- 在 Android 5.0 及以上版本的 SELinux 政策中,針對 wpa_supplicant 程序 設有嚴格限制
由於這個問題可能會讓遠端程式碼順利執行,因此被評定為「高」的影響程度。儘管「Wifi」服務確實具有第三方應用程式通常無法 存取的功能,所以這個問題的嚴重性有被判定為「最高」的空間, 我們仍然認為這類功能與因應措施足以讓嚴重程度降到「高」。
| CVE | 錯誤 (附有 AOSP 連結) | 嚴重程度 | 受影響的版本 |
|---|---|---|---|
| CVE-2015-1863 | ANDROID-20076874 | 高 | 5.1 及以下版本 |
惡意的本機應用程式可以傳送一個意圖 (Intent),在接收的應用程式對此意圖執行 反序列化程序時,可針對任意的記憶體位址值進行減量,這會造成記憶體毀損, 並可能會在接收的應用程式內執行程式碼。
由於這個問題可被利用來取得第三方應用程式無法存取的 權限,因此被評定為「高」的影響程度。
| CVE | 錯誤 (附有 AOSP 連結) | 嚴重程度 | 受影響的版本 |
|---|---|---|---|
| CVE-2015-3837 | ANDROID-21437603 | 高 | 5.1 及以下版本 |
libstagefright 中有一種可能會在處理其他應用程式所提供的 資料時發生的整數溢位現象,這種現象會造成記憶體 (堆積) 損毀, 且可能會讓程式碼當做媒體伺服器處理程序執行。
由於這個問題可被利用來取得第三方應用程式無法存取的 權限,因此被評定為「高」的影響程度。儘管媒體伺服器會 受到 SELinux 保護,但它確實能夠存取音訊和視訊串流,以及 在許多裝置上獲得授權的核心驅動程式裝置節點 (這是第三方 應用程式一般無法存取的權限)。
請注意,依據舊版的嚴重程度評定規範,這項漏洞被評定為 「中」的影響程度,並已據此回報給合作夥伴。但依據 我們 2015 年 6 月發佈的新版規範,這項漏洞卻屬於「高」的嚴重等級。
| CVE | 錯誤 (附有 AOSP 連結) | 嚴重程度 | 受影響的版本 |
|---|---|---|---|
| CVE-2015-3834 | ANDROID-20222489 | 高 | 5.1 及以下版本 |
libstagefright 中有一種可能會在處理其他應用程式所提供的 資料時發生的緩衝區溢位現象,這種現象會造成記憶體損毀, 且可能會讓程式碼當做媒體伺服器處理程序執行。
由於這個問題可被利用來取得第三方應用程式無法存取的 權限,因此被評定為「高」的影響程度。儘管媒體伺服器會 受到 SELinux 保護,但它確實能夠存取音訊和視訊串流,以及 在許多裝置上獲得授權的核心驅動程式裝置節點 (這是第三方 應用程式一般無法存取的權限)。
請注意,依據舊版的嚴重程度評定規範,這項漏洞被評定為 「中」的影響程度,並已據此回報給合作夥伴。但依據 我們 2015 年 6 月發佈的新版規範,這項漏洞卻屬於「高」的嚴重等級。
| CVE | 錯誤 (附有 AOSP 連結) | 嚴重程度 | 受影響的版本 |
|---|---|---|---|
| CVE-2015-3835 | ANDROID-20634516 [ 2 ] | 高 | 5.1 及以下版本 |
媒體伺服器的「音訊政策服務」中有堆積溢位的現象,這種現象 可讓本機應用程式在媒體伺服器處理程序中任意執行程式碼。
受影響的功能是以應用程式 API 形式提供使用。我們認為 這個問題無法被遠端程式惡意運用。
由於這個問題可能會讓攻擊者透過本機應用程式執行程式碼,當做 獲得授權的媒體伺服器服務,因此被評定為「高」的影響程度。儘管 媒體伺服器會受到 SELinux 保護,但它確實能夠存取音訊和視訊 串流,以及在許多裝置上獲得授權的核心驅動程式裝置節點 (這是 第三方應用程式一般無法存取的權限)。
| CVE | 錯誤 (附有 AOSP 連結) | 嚴重程度 | 受影響的版本 |
|---|---|---|---|
| CVE-2015-3842 | ANDROID-21953516 | 高 | 5.1 及以下版本 |
SIM 工具包 (STK) 架構中的漏洞可讓應用程式攔截或 模擬對 Android 電話通訊子系統發出的特定 STK SIM 指令。
由於這個問題可讓未獲授權的應用程式存取通常由 「簽署」或「系統」等級權限保護的功能或資料,因此 被評定為「高」的 影響程度。
| CVE | 錯誤 (附有 AOSP 連結) | 嚴重程度 | 受影響的版本 |
|---|---|---|---|
| CVE-2015-3843 | ANDROID-21697171 [ 2 , 3 , 4 ] | 高 | 5.1 及以下版本 |
Bitmap_createFromParcel() 中的整數溢位現象,可讓應用程式 破壞 system_server 程序或從 system_server 讀取記憶體資料。
由於這個問題可能會透過 system_server 程序,將敏感資料洩露 給未獲授權的本機程序,因此被評定為「中」的影響程度。 儘管這類型的漏洞通常會被評定為「高」的嚴重 程度,但由於攻擊程序無法控制成功攻擊所洩露 的資料,而攻擊失敗的結果會顯示裝置暫時無法 使用 (必須重新開機),因此嚴重程度已 降低。
| CVE | 錯誤 (附有 AOSP 連結) | 嚴重程度 | 受影響的版本 |
|---|---|---|---|
| CVE-2015-1536 | ANDROID-19666945 | 中 | 5.1 及以下版本 |
「設定」應用程式的 AppWidgetServiceImpl 中有一項漏洞,讓 應用程式可透過指定 FLAG_GRANT_READ/WRITE_URI_PERMISSION 的 方式,授予自身某項 URI 權限。舉例來說,這可被惡意運用於未 獲得 READ_CONTACTS 權限的情況下讀取聯絡人資料。
由於這項漏洞可讓本機應用程式存取通常由「危險」 保護等級權限保護的資料,因此被評等為「中」的 影響程度。
| CVE | 錯誤 (附有 AOSP 連結) | 嚴重程度 | 受影響的版本 |
|---|---|---|---|
| CVE-2015-1541 | ANDROID-19618745 | 中 | 5.1 |
本機應用程式可確實決定前景應用程式,同時 規避 Android 5.0 中推出的 getRecentTasks() 相關限制。
由於這項漏洞可讓本機應用程式存取通常由「危險」 保護等級權限保護的資料,因此被評等為「中」的 影響程度。
我們相信這項漏洞是在以下網頁被首次公開描述: http://stackoverflow.com/questions/24625936/getrunningtasks-doesnt-work-in-android-l
| CVE | 錯誤 (附有 AOSP 連結) | 嚴重程度 | 受影響的版本 |
|---|---|---|---|
| CVE-2015-3833 | ANDROID-20034603 | 中 | 5.0 和 5.1 |
ActivityManager 的 getProcessRecordLocked() 方法並未正確驗證 應用程式的程序名稱是否與對應的套件名稱相符。在某些情況下, 這項漏洞可讓 ActivityManager 針對特定工作載入錯誤的 程序。
這項漏洞的影響包括,應用程式可阻止系統載入「設定」, 或是為「設定」片段注入參數。我們認為這項 漏洞無法被利用來以「系統」使用者的身分任意執行程式碼。
儘管這項漏洞可讓應用程式存取通常只有「系統」可存取的功能, 因而一般會被評定為「高」的影響程度,但由於此漏洞所授予的 存取權等級有限,因此我們仍將它評定為「中」。
| CVE | 錯誤 (附有 AOSP 連結) | 嚴重程度 | 受影響的版本 |
|---|---|---|---|
| CVE-2015-3844 | ANDROID-21669445 | 中 | 5.1 及以下版本 |
在解析 3GPP 資料的過程中發生整數下溢現象,可能會導致讀取作業 越過緩衝區,進而造成媒體伺服器當機。
這個問題原本被評定為「高」的影響程度,並已據此回報給合作夥伴, 但在進一步調查後,嚴重程度已降級至「低」,原因是其影響僅限於 讓媒體伺服器當機。
| CVE | 錯誤 (附有 AOSP 連結) | 嚴重程度 | 受影響的版本 |
|---|---|---|---|
| CVE-2015-3826 | ANDROID-20923261 | 低 | 5.0 和 5.1 |