Бюллетень по безопасности Android – июнь 2016 г.

Опубликовано 6 июня 2016 г. | Обновлено 8 июня 2016 г.

В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили беспроводное обновление системы безопасности для устройств Nexus и опубликовали образы встроенного ПО Nexus на сайте для разработчиков. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 1 июня 2016 года или более новом. Сведения о том, как проверить уровень исправления системы безопасности, можно найти в документации Nexus.

Мы сообщили партнерам о проблемах, описанных в бюллетене, 2 мая 2016 года или ранее. По возможности исправления были опубликованы в хранилище Android Open Source Project (AOSP).

Самая серьезная из проблем – критическая уязвимость, которая позволяет удаленно выполнять код на затронутом устройстве во время обработки медиафайлов (например, при просмотре сайтов, электронной почты или MMS-сообщений). Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

У нас нет информации об активном использовании обнаруженных уязвимостей. Сведения о том, как платформа безопасности Android и средства защиты сервисов, например SafetyNet, помогают снизить вероятность успешного применения уязвимостей Android, можно найти в разделе Предотвращение атак.

Мы настоятельно рекомендуем пользователям установить перечисленные в бюллетене обновления.

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает случаи злоупотребления с помощью Проверки приложений и SafetyNet. Эти инструменты предупреждают пользователей об установке потенциально опасных приложений. Проверка приложений включена по умолчанию на всех телефонах и планшетах, на которых есть сервисы Google для мобильных устройств. Она особенно важна для тех, кто устанавливает приложения не из Google Play. Хотя в Google Play инструменты для настройки root-доступа запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное приложение уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
  • Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

  • Ди Шэнь (@returnsme) из KeenLab (@keen_lab), Tencent: CVE-2016-2468.
  • Гэл Беньямини (@laginimaineb): CVE-2016-2476.
  • Гэнцзя Чэнь (@chengjia4574) и pjf (weibo.com/jfpan) из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2492.
  • Хао Чэнь, Гуан Гун и Вэньлинь Ян из Mobile Safe Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016-2498.
  • Иво Банась: CVE-2016-2496.
  • Цзяньцян Чжао (@jianqiangzhao) и pjf (weibo.com/jfpan) из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2490, CVE-2016-2491.
  • Ли Кэмпбелл из Google: CVE-2016-2500.
  • Мачей Шавловски из команды безопасности Google: CVE-2016-2474.
  • Марко Нелиссен и Макс Спектор из Google: CVE-2016-2487.
  • Марк Бренд из Google Project Zero: CVE-2016-2494.
  • Минцзянь Чжоу (@Mingjian_Zhou), Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481, CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486.
  • Скотт Бауэр (@ScottyBauer1): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489.
  • Василий Васильев: CVE-2016-2463.
  • Вэйчао Сунь (@sunblate) из Alibaba Inc.: CVE-2016-2495.
  • Силин Гун из отдела безопасности платформы Tencent: CVE-2016-2499.
  • Зак Риггл (@ebeip90) из команды безопасности Android: CVE-2016-2493.

Описание уязвимостей

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2016-06-01: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку Android, уровнем серьезности, уязвимыми устройствами Nexus, версиями AOSP (при наличии) и датой сообщения об ошибке. Где возможно, мы приводим ссылку на изменение в AOSP, связанное с идентификатором ошибки. Когда к одной ошибке относятся несколько изменений, дополнительные ссылки указываются в квадратных скобках.

Удаленное выполнение кода через MediaServer

Уязвимость позволяет злоумышленнику с помощью специально созданного файла нарушить целостность информации в памяти при обработке медиафайлов и данных. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver. У этого процесса есть доступ к аудио- и видеопотокам, а также права, которыми обычно не могут обладать сторонние приложения.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2463 27855419 Критический Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 25 марта 2016 г.

Удаленное выполнение кода через libwebm

Уязвимость позволяет злоумышленнику с помощью специально созданного файла нарушить целостность информации в памяти при обработке медиафайлов и данных. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver. У этого процесса есть доступ к аудио- и видеопотокам, а также права, которыми обычно не могут обладать сторонние приложения.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2464 23167726 [2] Критический Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google

Повышение привилегий через видеодрайвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2465 27407865* Критический Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 21 февраля 2016 г.

* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение уровня прав доступа через аудиодрайвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2466 27947307* Критический Nexus 6 27 февраля 2016 г.
CVE-2016-2467 28029010* Критический Nexus 5 13 марта 2014 г.

* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение уровня прав доступа через драйвер Qualcomm для графического процессора

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2468 27475454* Критический Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 2 марта 2016 г.
CVE-2016-2062 27364029* Критический Nexus 5X, Nexus 6P 6 марта 2016 г.

* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение уровня прав доступа через Wi-Fi-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2474 27424603* Критический Nexus 5X Доступно только сотрудникам Google

* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение уровня прав доступа через Wi-Fi-драйвер Broadcom

Уязвимость позволяет локальному вредоносному ПО выполнять несанкционированные системные вызовы для изменения настроек и работы устройства. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2475 26425765* Высокий Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C 6 января 2016 г.

* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение уровня прав доступа через аудиодрайвер Qualcomm

Уязвимость позволяет вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2066 26876409* Высокий Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 29 января 2016 г.
CVE-2016-2469 27531992* Высокий Nexus 5, Nexus 6, Nexus 6P 4 марта 2016 г.

* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение уровня прав доступа через MediaServer

Уязвимость позволяет локальному вредоносному приложению выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить локальный доступ к разрешениям, недоступным сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2476 27207275 [2] [3] [4] Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 февраля 2016 г.
CVE-2016-2477 27251096 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 февраля 2016 г.
CVE-2016-2478 27475409 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 марта 2016 г.
CVE-2016-2479 27532282 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 марта 2016 г.
CVE-2016-2480 27532721 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 марта 2016 г.
CVE-2016-2481 27532497 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 марта 2016 г.
CVE-2016-2482 27661749 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 марта 2016 г.
CVE-2016-2483 27662502 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 марта 2016 г.
CVE-2016-2484 27793163 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 марта 2016 г.
CVE-2016-2485 27793367 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 марта 2016 г.
CVE-2016-2486 27793371 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 марта 2016 г.
CVE-2016-2487 27833616 [2] [3] Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google

Повышение привилегий через драйвер Qualcomm для камеры

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2061 27207747* Высокий Nexus 5X, Nexus 6P 15 февраля 2016 г.
CVE-2016-2488 27600832* Высокий Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) Доступно только сотрудникам Google

* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение уровня прав доступа через видеодрайвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2489 27407629* Высокий Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 21 февраля 2016 г.

* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение уровня прав доступа через драйвер NVIDIA для камеры

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2490 27533373* Высокий Nexus 9 6 марта 2016 г.
CVE-2016-2491 27556408* Высокий Nexus 9 8 марта 2016 г.

* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение уровня прав доступа через Wi-Fi-драйвер Qualcomm

Уязвимость позволяет вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2470 27662174* Высокий Nexus 7 (2013) 13 марта 2016 г.
CVE-2016-2471 27773913* Высокий Nexus 7 (2013) 19 марта 2016 г.
CVE-2016-2472 27776888* Высокий Nexus 7 (2013) 20 марта 2016 г.
CVE-2016-2473 27777501* Высокий Nexus 7 (2013) 20 марта 2016 г.

* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение уровня прав доступа через драйвер управления питанием MediaTek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту устройства и получить root-права для вызова драйвера.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2492 28085410* Высокий Android One 7 апреля 2016 г.

* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение уровня прав доступа через слой эмуляции SD-карты

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить локальный доступ к разрешениям, недоступным сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2494 28085658 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 апреля 2016 г.

Повышение привилегий через Wi-Fi-драйвер Broadcom

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2493 26571522* Высокий Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Player, Pixel C Доступно только сотрудникам Google

* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Удаленный отказ в обслуживании в MediaServer

Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2495 28076789 [2] Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 апреля 2016 г.

Повышение привилегий через интерфейс Framework

Уязвимость обнаружена в окне предоставления разрешений в интерфейсе Framework. Она позволяет получить несанкционированный доступ к файлам в личном хранилище. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно получить разрешения уровня dangerous (опасные).

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2496 26677796 [2] [3] Средний Все устройства 6.0, 6.1 26 мая 2015 г.

Раскрытие информации через Wi-Fi-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2498 27777162* Средний Nexus 7 (2013) 20 марта 2016 г.

* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Раскрытие информации через MediaServer

Уязвимость позволяет ПО получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний уровень серьезности.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2499 27855172 Средний Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 марта 2016 г.

Раскрытие информации через диспетчер активности

Уязвимость позволяет ПО получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний уровень серьезности.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2500 19285814 Средний Все устройства 5.0.2, 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?

Перечисленные проблемы устранены в исправлении от 1 июня 2016 года и более новых. Информацию о том, как проверить уровень исправления системы безопасности, можно найти в документации Nexus. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2016-06-01].

2. Как определить, на каких устройствах Nexus присутствует уязвимость?

В каждой таблице из раздела Описание уязвимостей есть столбец "Обновленные устройства Nexus". В нем указано, на каких устройствах присутствует уязвимость.

  • Все устройства. Проблема возникает на следующих поддерживаемых устройствах: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player и Pixel C.
  • Некоторые устройства. Перечислены устройства, на которых присутствует уязвимость.
  • Нет. Проблема не возникает ни на одном устройстве Nexus.

Версии

  • 6 июня 2016 года. Бюллетень опубликован.
  • 7 июня 2016 года:
    • Добавлены ссылки на AOSP.
    • Информация об уязвимости CVE-2016-2496 удалена из бюллетеня.
  • 8 июня 2016 года. Информация об уязвимости CVE-2016-2496 снова добавлена в бюллетень.