Google Git
Sign in
android / platform / docs / source.android.com / fb789314a92670246a8254d97e62f2a9c61f00ad / . / ru / security / bulletin / 2016-01-01.html
blob: cc28d2f3bc1e065a01ba0e09706fcf698ced93d8 [file] [log] [blame]
<html devsite><head>
<title>Бюллетень по безопасности Nexus – январь 2016 г.</title>
<meta name="project_path" value="/_project.yaml"/>
<meta name="book_path" value="/_book.yaml"/>
</head>
<body>
<!--
Copyright 2017 The Android Open Source Project
Licensed under the Apache License, Version 2.0 (the "License");
you may not use this file except in compliance with the License.
You may obtain a copy of the License at
http://www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
-->
<p><em>Опубликовано 4 января 2016 г. | Обновлено 28 апреля 2016 г.</em></p>
<p>К выходу ежемесячного бюллетеня по безопасности Android мы выпустили автоматическое обновление системы безопасности для устройств Nexus
и опубликовали образы прошивок Nexus на <a href="https://developers.google.com/android/nexus/images">сайте для разработчиков</a>. Перечисленные проблемы устранены в сборке LMY49F и более поздних
версиях, а также в Android 6.0 с исправлением от 1 января 2016 года
или более новым. <a href="#common_questions_and_answers">Подробнее…</a></p>
<p>Мы сообщили партнерам об уязвимостях и предоставили им обновления
7 декабря 2015 года или ранее. Исправления уязвимостей загружены
в хранилище Android Open Source Project (AOSP).</p>
<p>Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS). <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.</p>
<p>У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android. Мы рекомендуем всем пользователям установить перечисленные в разделе обновления.</p>
<h2 id="mitigations">Предотвращение атак</h2>
<p>Ниже рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.</p>
<ul>
<li> Использование многих уязвимостей затрудняется в новых версиях Android,
поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
</li><li> Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних
источников, функция "Проверка приложений" включена по умолчанию.
При этом система предупреждает пользователей об известных
рутинг-приложениях. Кроме того, она пытается идентифицировать известное
вредоносное ПО, использующее уязвимость для повышения привилегий,
и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
</li><li> Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.
</li></ul>
<h2 id="acknowledgements">Благодарности</h2>
<p>Благодарим всех, кто помог обнаружить уязвимости:</p>
<ul>
<li> Абхишек Арья, Оливер Чан и Мартин Барбелла из команды безопасности Google Chrome: CVE-2015-6636.
</li><li> Сэнь Не (<a href="https://twitter.com/@nforest_">@nforest_</a>) и jfang из KeenLab, Tencent (<a href="https://twitter.com/k33nteam">@K33nTeam</a>): CVE-2015-6637.
</li><li> Ябинь Цуй из Android Bionic Team: CVE-2015-6640.
</li><li> Том Крейг из Google X: CVE-2015-6641.
</li><li> Янн Хорн (<a href="https://thejh.net">https://thejh.net</a>): CVE-2015-6642.
</li><li> Йоуни Малинен (PGP ID – EFC895FA): CVE-2015-5310.
</li><li> Куан Нгуен из команды Google по безопасности: CVE-2015-6644.
</li><li> Гэл Бениамини (<a href="https://twitter.com/@laginimaineb">@laginimaineb</a>, <a href="http://bits-please.blogspot.com">http://bits-please.blogspot.com</a>): CVE-2015-6639.
</li></ul>
<h2 id="security_vulnerability_details">Описание уязвимостей</h2>
<p>В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2016-01-01:
описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, датой сообщения об ошибке и номерами версий, получивших обновление системы безопасности.
Где возможно, мы приведем
основную ссылку на сообщение в AOSP, связанное с идентификатором ошибки,
и дополнительные ссылки в квадратных скобках. </p>
<h3 id="remote_code_execution_vulnerability_in_mediaserver">Удаленное выполнение кода через mediaserver</h3>
<p>При обработке медиафайлов и данных в специально созданном файле
злоумышленник может воспользоваться уязвимостью mediaserver, нарушить
целостность информации в памяти и удаленно выполнить код как процесс
mediaserver.</p>
<p>Уязвимая функция является основной составляющей ОС. Многие приложения
позволяют контенту, особенно MMS-сообщениям и воспроизводимым
в браузере медиафайлам, дистанционно обращаться к ней.</p>
<p>Уязвимости присвоен критический уровень из-за возможности удаленного
выполнения кода в контексте сервиса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к разрешениям, недоступным сторонним приложениям.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибки со ссылками на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td rowspan="2">CVE-2015-6636</td>
<td><a href="https://android.googlesource.com/platform%2Fexternal%2Flibhevc/+/b9f7c2c45c6fe770b7daffb9a4e61522d1f12d51#">ANDROID-25070493</a></td>
<td>Критический</td>
<td>5.0, 5.1.1, 6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
<tr>
<td><a href="https://android.googlesource.com/platform%2Fexternal%2Flibhevc/+/e8bfec1fa41eafa1fd8e05d0fdc53ea0f2379518">ANDROID-24686670</a></td>
<td>Критический</td>
<td>5.0, 5.1.1, 6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<h3 id="elevation_of_privilege_vulnerability_in_misc-sd_driver">Повышение привилегий через драйвер misc-sd</h3>
<p>Уязвимость обнаружена в драйвере misc-sd от MediaTek. Она позволяет
локальному вредоносному ПО выполнять произвольный код в контексте ядра.
Уязвимости присвоен критический уровень, поскольку из-за нее нарушается
работа системы безопасности. Для устранения проблемы нужно переустановить ОС.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-6637</td>
<td>ANDROID-25307013*</td>
<td>Критический</td>
<td>4.4.4, 5.0, 5.1.1, 6.0, 6.0.1</td>
<td>26 октября 2015 г.</td>
</tr>
</tbody></table>
<p> *Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation_of_privilege_vulnerability_in_the_imagination_technologies_driver">Повышение привилегий через драйвер Imagination Technologies</h3>
<p>Уязвимость обнаружена в драйвере ядра от Imagination Technologies.
Она позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Уязвимости присвоен критический уровень, поскольку
из-за нее нарушается работа системы безопасности. Для устранения проблемы
нужно переустановить ОС.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-6638</td>
<td>ANDROID-24673908*</td>
<td>Критический</td>
<td>5.0, 5.1.1, 6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<p> *Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation_of_privilege_vulnerabilities_in_trustzone">Повышение привилегий через Trustzone</h3>
<p>Уязвимость обнаружена в приложении Widevine QSEE TrustZone.
Она позволяет взломанному привилегированному приложению
с доступом к QSEECOM выполнять произвольный код в контексте
Trustzone. Уязвимости присвоен критический уровень, поскольку
из-за нее нарушается работа системы безопасности. Для устранения
проблемы нужно переустановить ОС.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-6639</td>
<td>ANDROID-24446875*</td>
<td>Критический</td>
<td>5.0, 5.1.1, 6.0, 6.0.1</td>
<td>23 сентября 2015 г.</td>
</tr>
<tr>
<td>CVE-2015-6647</td>
<td>ANDROID-24441554*</td>
<td>Критический</td>
<td>5.0, 5.1.1, 6.0, 6.0.1</td>
<td>27 сентября 2015 г.</td>
</tr>
</tbody></table>
<p> *Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation_of_privilege_vulnerability_in_kernel">Повышение привилегий через ядро</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен критический уровень, поскольку из-за нее нарушается работа системы безопасности. Возможно, для ее устранения потребуется переустановить ОС.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибки со ссылками на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-6640</td>
<td><a href="https://android.googlesource.com/kernel%2Fcommon/+/69bfe2d957d903521d32324190c2754cb073be15">ANDROID-20017123</a></td>
<td>Критический</td>
<td>4.4.4, 5.0, 5.1.1, 6.0</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<h3 id="elevation_of_privilege_vulnerability_in_bluetooth">Повышение привилегий через Bluetooth</h3>
<p>Уязвимость обнаружена в компоненте Bluetooth. Она позволяет получить
доступ к контактам пользователя через устройство, удаленно подключенное
по Bluetooth. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения уровня <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">dangerous</a> (опасные). Обычно они доступны только сторонним приложениям, установленным на устройстве.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибки со ссылками на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-6641</td>
<td><a href="https://android.googlesource.com/platform%2Fpackages%2Fapps%2FSettings/+/98f11fd1a4752beed56b5fe7a4097ec0ae0c74b3">ANDROID-23607427</a> [<a href="https://android.googlesource.com/platform%2Fframeworks%2Fbase/+/ccbe7383e63d7d23bac6bccc8e4094fe474645ec">2</a>]</td>
<td>Высокий</td>
<td>6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<h3 id="information_disclosure_vulnerability_in_kernel">Раскрытие информации через ядро</h3>
<p>Уязвимость в ядре позволяет обойти защиту, предотвращающую атаки
на платформу, и раскрыть конфиденциальную информацию. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно также получить разрешения, недоступные сторонним приложениям (например, <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">Signature</a> и <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a>).</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-6642</td>
<td>ANDROID-24157888*</td>
<td>Высокий</td>
<td>4.4.4, 5.0, 5.1.1, 6.0</td>
<td>12 сентября 2015 г.</td>
</tr>
</tbody></table>
<p> *Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation_of_privilege_vulnerability_in_setup_wizard">Повышение привилегий через мастер настройки</h3>
<p>Уязвимость позволяет злоумышленнику, в руки которого попало устройство, получить доступ к настройкам и выполнить их сброс. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно обойти защиту от сброса.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибки со ссылками на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-6643</td>
<td><a href="https://android.googlesource.com/platform/packages/apps/Settings/+/665ac7bc29396fd5af2ecfdfda2b9de7a507daa0">ANDROID-25290269</a> [<a href="https://android.googlesource.com/platform/packages/apps/Settings/+/a7ff2e955d2509ed28deeef984347e093794f92b">2</a>]</td>
<td>Средний</td>
<td>5.1.1, 6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<h3 id="elevation_of_privilege_vulnerability_in_wi-fi">Повышение привилегий через Wi-Fi</h3>
<p>Уязвимость компонента Wi-Fi позволяет злоумышленнику, находящемуся рядом с устройством, получить доступ к данным службы Wi-Fi.
Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно удаленно получить разрешения категории <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">normal</a> (стандартные). Обычно они доступны только сторонним приложениям, установленным на устройстве.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибки со ссылками на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-5310</td>
<td><a href="https://android.googlesource.com/platform%2Fexternal%2Fwpa_supplicant_8/+/1e9857b5f1dd84ac5a0ada0150b1b9c87d44d99d">ANDROID-25266660</a></td>
<td>Средний</td>
<td>4.4.4, 5.0, 5.1.1, 6.0, 6.0.1</td>
<td>25 октября 2015 г.</td>
</tr>
</tbody></table>
<h3 id="information_disclosure_vulnerability_in_bouncy_castle">Раскрытие информации через Bouncy Castle</h3>
<p>Уязвимость Bouncy Castle позволяет локальному вредоносному ПО получить
доступ к конфиденциальным данным пользователя. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно получить разрешения уровня <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">dangerous</a> (опасные).</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибки со ссылками на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-6644</td>
<td><a href="https://android.googlesource.com/platform/external/bouncycastle/+/3e128c5fea3a0ca2d372aa09c4fd4bb0eadfbd3f">ANDROID-24106146</a></td>
<td>Средний</td>
<td>4.4.4, 5.0, 5.1.1, 6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<h3 id="denial_of_service_vulnerability_in_syncmanager">Отказ в обслуживании в SyncManager</h3>
<p>Уязвимость в SyncManager позволяет локальному вредоносному ПО вызвать
бесконечную цепочку перезагрузок устройства. Уязвимости присвоен средний
уровень серьезности, поскольку из-за нее может произойти отказ в обслуживании.
Для устранения проблемы нужно сбросить настройки устройства.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибки со ссылками на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-6645</td>
<td><a href="https://android.googlesource.com/platform%2Fframeworks%2Fbase/+/c0f39c1ece72a05c796f7ba30b7a2b5b580d5025">ANDROID-23591205</a></td>
<td>Средний</td>
<td>4.4.4, 5.0, 5.1.1, 6.0</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<h3 id="attack_surface_reduction_for_nexus_kernels">Снижение вероятности атаки в ядрах устройств Nexus</h3>
<p>SysV IPC не поддерживается в ядрах Android. Мы удалили этот компонент
из ОС, поскольку он не добавляет системе функциональности, но может
использоваться для атак с помощью вредоносного ПО. Кроме того, компонент
несовместим с жизненным циклом приложений Android: диспетчер памяти
не может высвобождать выделенные ресурсы, что приводит к глобальной утечке
ресурсов ядра. Обновление устраняет такие уязвимости, как CVE-2015-7613.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-6646</td>
<td>ANDROID-22300191*</td>
<td>Средний</td>
<td>6.0</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<p> *Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="common_questions_and_answers">Часто задаваемые вопросы</h3>
<p>В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.</p>
<p><strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы? </strong></p>
<p>Перечисленные проблемы устранены в сборке LMY49F и более поздних
версиях, а также в Android 6.0 с исправлением от 1 января 2016 года
или более новым. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/nexus/answer/4457705">Справочном центре Nexus</a>. Производители
устройств, позволяющие установить эти обновления, должны присвоить им
уровень [ro.build.version.security_patch]:[2016-01-01]. </p>
<h2 id="revisions">Версии</h2>
<ul>
<li> 4 января 2016 года. Опубликовано впервые.
</li><li> 6 января 2016 года. Добавлены ссылки на AOSP.
</li><li> 28 апреля 2016 года. Удалена информация об уязвимости CVE-2015-6617 из раздела "Благодарности". В сводную таблицу добавлены сведения о CVE-2015-6647.
</li></ul></body></html>