Google Git
Sign in
android / platform / docs / source.android.com / fb789314a92670246a8254d97e62f2a9c61f00ad / . / ru / security / bulletin / 2015-11-01.html
blob: a86a00d816271898c5a1a5c698c4bfc3ccdd7745 [file] [log] [blame]
<html devsite><head>
<title>Бюллетень по безопасности Nexus – ноябрь 2015 г.</title>
<meta name="project_path" value="/_project.yaml"/>
<meta name="book_path" value="/_book.yaml"/>
</head>
<body>
<!--
Copyright 2017 The Android Open Source Project
Licensed under the Apache License, Version 2.0 (the "License");
you may not use this file except in compliance with the License.
You may obtain a copy of the License at
http://www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
-->
<p><em>Опубликовано 2 ноября 2015 г.</em></p>
<p>К выходу ежемесячного бюллетеня по безопасности Android мы выпустили автоматическое обновление системы безопасности для устройств Nexus
и опубликовали образы встроенного ПО Nexus на <a href="https://developers.google.com/android/nexus/images">сайте для разработчиков</a>. Уязвимости устранены в сборке LMY48X и более поздних версиях, а также в Android 6.0 (Marshmallow) с исправлением от 1 ноября 2015 года. <a href="#common_questions_and_answers">Подробнее…</a></p>
<p>Мы сообщили партнерам об этих проблемах 5 октября 2015 года или ранее. Исправления уязвимостей будут добавлены в хранилище Android Open Source Project (AOSP) в течение 48 часов. Ссылки на AOSP появятся в этом бюллетене позже.</p>
<p>Самая серьезная из проблем – критическая уязвимость, которая позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS). <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.</p>
<p>У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android. Мы рекомендуем всем пользователям установить перечисленные здесь обновления.</p>
<h2 id="mitigations">Предотвращение атак</h2>
<p>Ниже рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android. </p>
<ul>
<li> В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
</li><li> Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг-приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
</li><li> Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.
</li></ul>
<h2 id="acknowledgements">Благодарности</h2>
<p>Благодарим всех, кто помог обнаружить уязвимости:</p>
<ul>
<li> Абхишек Арья, Оливер Чан и Мартин Барбелла из команды безопасности Google Chrome: CVE-2015-6608.
</li><li> Дэниел Микей (daniel.micay@copperhead.co) из Copperhead Security: CVE-2015-6609.
</li><li> Донкван Ким (dkay@kaist.ac.kr) из System Security Lab, KAIST: CVE-2015-6614.
</li><li> Хонгиль Ким (hongilk@kaist.ac.kr) из System Security Lab, KAIST: CVE-2015-6614.
</li><li> Джек Тан (@jacktang310) из Trend Micro: CVE-2015-6611.
</li><li> Питер Пи из Trend Micro: CVE-2015-6611.
</li><li> Натали Сильванович из Google Project Zero: CVE-2015-6608.
</li><li> Цидань Хэ (flanker_hqd) и Вэнь Сюй (@antlr7) из KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612.
</li><li> Гуан Гун (龚广) (<a href="https://twitter.com/oldfresher">@oldfresher</a>, higongguang@gmail.com) из <a href="http://www.360.cn">Qihoo 360 Technology Co. Ltd.</a>: CVE-2015-6612.
</li><li> Севен Шэнь из Trend Micro: CVE-2015-6610.
</li></ul>
<h2 id="security_vulnerability_details">Описание уязвимостей</h2>
<p>В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2015-11-01:
описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми версиями и датой сообщения об ошибке.
Где возможно, мы приводим основную ссылку на изменение в AOSP, связанное с идентификатором ошибки, и дополнительные ссылки в квадратных скобках.</p>
<h3 id="remote_code_execution_vulnerabilities_in_mediaserver">Удаленное выполнение кода в mediaserver</h3>
<p>Уязвимости позволяют злоумышленнику во время обработки специально созданного медиафайла и его данных нарушать целостность информации в памяти и удаленно выполнять код с правами процесса mediaserver.</p>
<p>Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.</p>
<p>Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к разрешениям, недоступным сторонним приложениям.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибки со ссылками на AOSP</th>
<th>Уровень серьезности</th>
<th>Уязвимые версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td rowspan="6">CVE-2015-6608</td>
<td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/8ec845c8fe0f03bc57c901bc484541bdd6a7cf80">ANDROID-19779574</a></td>
<td rowspan="3">Критический</td>
<td rowspan="3">5.0, 5.1, 6.0</td>
<td rowspan="3">Доступно только сотрудникам Google</td>
</tr>
<tr>
<td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/c6a2815eadfce62702d58b3fa3887f24c49e1864">ANDROID-23680780</a></td>
</tr>
<tr>
<td><a href="https://android.googlesource.com/platform%2Fexternal%2Faac/+/b3c5a4bb8442ab3158fa1f52b790fadc64546f46">ANDROID-23876444</a></td>
</tr>
<tr>
<td><a href="https://android.googlesource.com/platform%2Fexternal%2Ftremolo/+/3830d0b585ada64ee75dea6da267505b19c622fd">ANDROID-23881715</a></td>
<td>Критический</td>
<td>4.4, 5.0, 5.1, 6.0</td>
<td>Доступно только сотрудникам Google</td>
</tr>
<tr>
<td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/3878b990f7d53eae7c2cf9246b6ef2db5a049872">ANDROID-14388161</a></td>
<td>Критический</td>
<td>4.4 и 5.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
<tr>
<td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/f3eb82683a80341f5ac23057aab733a57963cab2">ANDROID-23658148</a></td>
<td>Критический</td>
<td>5.0, 5.1, 6.0</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<h3 id="remote_code_execution_vulnerability_in_libutils">Удаленное выполнение кода в libutils</h3>
<p>Уязвимость универсальной библиотеки libutils можно использовать при обработке
аудиофайлов. Она позволяет злоумышленнику во время обработки специально
созданного файла нарушить целостность информации в памяти и удаленно
выполнить код.</p>
<p>Уязвимая функция является частью API. Многие приложения позволяют контенту,
особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам,
дистанционно обращаться к ней. Уязвимости присвоен критический уровень из-за
возможности удаленного выполнения кода в привилегированном сервисе.
У уязвимого компонента есть доступ к аудио- и видеопотокам, а также
к привилегиям, закрытым для сторонних приложений.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибки со ссылками на AOSP</th>
<th>Уровень серьезности</th>
<th>Уязвимые версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-6609</td>
<td><a href="https://android.googlesource.com/platform%2Fbootable%2Frecovery/+/ec63d564a86ad5b30f75aa307b4bd271f6a96a56">ANDROID-22953624</a> [<a href="https://android.googlesource.com/platform%2Fsystem%2Fcore/+/419e6c3c68413bd6dbb6872340b2ae0d69a0fd60">2</a>]</td>
<td>Критический</td>
<td>6.0 и ниже</td>
<td>3 августа 2015 г.</td>
</tr>
</tbody></table>
<h3 id="information_disclosure_vulnerabilities_in_mediaserver">Раскрытие информации через mediaserver</h3>
<p>Уязвимости позволяют обойти защиту, предотвращающую атаки на платформу.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибки со ссылками на AOSP</th>
<th>Уровень серьезности</th>
<th>Уязвимые версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td rowspan="12">CVE-2015-6611</td>
<td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/1c7719820359f4190cd4bfd1a24d521face7b4f8">ANDROID-23905951</a> [<a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/3b76870d146b1350db8a2f7797e06897c8c92dc2">2</a>] [<a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/40715a2ee896edd2df4023d9f6f586977887d34c">3</a>] </td>
<td rowspan="3">Высокий</td>
<td rowspan="3">6.0 и ниже</td>
<td rowspan="3">7 сентября 2015 г.</td>
</tr>
<tr>
<td>ANDROID-23912202*</td>
</tr>
<tr>
<td>ANDROID-23953967*</td>
</tr>
<tr>
<td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fnative/+/b414255f53b560a06e642251535b019327ba0d7b">ANDROID-23696300</a></td>
<td>Высокий</td>
<td>6.0 и ниже</td>
<td>31 августа 2015 г.</td>
</tr>
<tr>
<td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/09ed70fab1f1424971ccc105dcdf5be5ce2e2643">ANDROID-23600291</a></td>
<td>Высокий</td>
<td>6.0 и ниже</td>
<td>26 августа 2015 г.</td>
</tr>
<tr>
<td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/892354335d49f0b9fcd10e20e0c13e3cd0f1f1cb">ANDROID-23756261</a> [<a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/a946d844a77906072f5eb7093d41db465d6514bb">2</a>]</td>
<td>Высокий</td>
<td>6.0 и ниже</td>
<td>26 августа 2015 г.</td>
</tr>
<tr>
<td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/57bed83a539535bb64a33722fb67231119cb0618">ANDROID-23540907</a> [<a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/25a634427dec455b79d73562131985ae85b98c43">2</a>]</td>
<td>Высокий</td>
<td>5.1 и ниже</td>
<td>25 августа 2015 г.</td>
</tr>
<tr>
<td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/d53aced041b7214a92b1f2fd5970d895bb9934e5">ANDROID-23541506</a></td>
<td rowspan="4">Высокий</td>
<td rowspan="4">6.0 и ниже</td>
<td rowspan="4">25 августа 2015 г.</td>
</tr>
<tr>
<td>ANDROID-23284974*</td>
</tr>
<tr>
<td>ANDROID-23542351*</td>
</tr>
<tr>
<td>ANDROID-23542352*</td>
</tr>
<tr>
<td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/0981df6e3db106bfb7a56a2b668c012fcc34dd2c">ANDROID-23515142</a></td>
<td>Высокий</td>
<td>5.1 и ниже</td>
<td>19 августа 2015 г.</td>
</tr>
</tbody></table>
<p>*Исправление можно скачать по другим ссылкам на AOSP.</p>
<h3 id="elevation_of_privilege_vulnerability_in_libstagefright">Повышение привилегий через libstagefright</h3>
<p>Уязвимость позволяет локальному вредоносному ПО нарушать целостность информации в памяти и выполнять произвольный код в контексте сервиса mediaserver. Как правило, подобным уязвимостям присваивают критический уровень серьезности, однако мы указали высокий уровень из-за низкой вероятности удаленной атаки.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибки со ссылками на AOSP</th>
<th>Уровень серьезности</th>
<th>Уязвимые версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-6610</td>
<td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/d26052738f7b095b7e318c8dde7f32db0a48450c">ANDROID-23707088</a> [<a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/820c105f7a4dc0971ee563caea4c9b346854a2f7">2</a>]</td>
<td>Высокий</td>
<td>6.0 и ниже</td>
<td>19 августа 2015 г.</td>
</tr>
</tbody></table>
<h3 id="elevation_of_privilege_vulnerability_in_libmedia">Повышение привилегий через libmedia</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте сервиса mediaserver. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям. </p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибки со ссылками на AOSP</th>
<th>Уровень серьезности</th>
<th>Уязвимые версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-6612</td>
<td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fav/+/4b219e9e5ab237eec9931497cf10db4d78982d84">ANDROID-23540426</a></td>
<td>Высокий</td>
<td>6.0 и ниже</td>
<td>23 августа 2015 г.</td>
</tr>
</tbody></table>
<h3 id="elevation_of_privilege_vulnerability_in_bluetooth">Повышение привилегий через Bluetooth</h3>
<p>Уязвимость позволяет локальному ПО отправлять команды принимающему порту отладки на устройстве. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">Signature</a> и <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a>).</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибки со ссылками на AOSP</th>
<th>Уровень серьезности</th>
<th>Уязвимые версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-6613</td>
<td><a href="https://android.googlesource.com/platform%2Fsystem%2Fbt/+/74dad51510f7d7b05c6617ef88168bf0bbdf3fcd">ANDROID-24371736</a></td>
<td>Высокий</td>
<td>6.0</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<h3 id="elevation_of_privilege_vulnerability_in_telephony">
Повышение привилегий через телефонную связь</h3>
<p>Уязвимость позволяет локальному вредоносному ПО несанкционированно передавать данные в закрытые сетевые интерфейсы. Это может привести к значительным расходам на мобильный трафик. Кроме того, злоумышленник сможет блокировать входящие вызовы, а также контролировать отключение звука при звонках. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно получить разрешения уровня <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">dangerous</a> (опасные). </p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибки со ссылками на AOSP</th>
<th>Уровень серьезности</th>
<th>Уязвимые версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-6614</td>
<td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fopt%2Ftelephony/+/70dd1f77873913635288e513564a6c93ae4d0a26">ANDROID-21900139</a> [<a href="https://android.googlesource.com/platform%2Fframeworks%2Fbase/+/a12044215b1148826ea9a88d5d1102378b13922f">2</a>] [<a href="https://android.googlesource.com/platform%2Fframeworks%2Fbase/+/2b6af396ad14def9a967f62cccc87ee715823bb1">3</a>]</td>
<td>Средний</td>
<td>5.0, 5.1</td>
<td>8 июня 2015 г.</td>
</tr>
</tbody></table>
<h3 id="common_questions_and_answers">Часто задаваемые вопросы</h3>
<p>В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.</p>
<p><strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?</strong></p>
<p>Перечисленные проблемы устранены в сборке LMY48X и более поздних версиях, а также в Android 6.0 (Marshmallow) с исправлением от 1 ноября 2015 года. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/nexus/answer/4457705">Справочном центре</a>. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2015-11-01].</p>
<h2 id="revisions">Версии</h2>
<ul>
<li> 2 ноября 2015 года. Бюллетень опубликован.
</li></ul>
</body></html>