Google подправила название ежемесячных бюллетеней по безопасности Nexus: отныне они будут выходить под именем Android Security Bulletin и станут шире, но с сохранением прежнего формата.

Майский набор вновь содержит патчи для критических RCE-брешей в Mediaserver, который компания усердно латает с момента обнаружения уязвимости в Stagefright. Этот неотъемлемый компонент Android взаимодействует с ядром, что делает его привлекательной мишенью для злоумышленников. Исследователи даже прозвали это приложение «сверхпривилегированным», так как на некоторых устройствах ему присваиваются права уровня системы.

«Основная проблема в данном случае заключается в том, что мы имеем дело с совместно используемой библиотекой для обработки мультимедиа, способной принимать на вход широкий спектр типов файлов и форматов, — поясняет Майк Хэнли (Mike Hanley), руководитель исследовательского подразделения Duo Security. — Доступ к Stagefright осуществляется разными способами, и парсеры медиаконтента всегда кишат багами. Площадь атаки в данном случае огромна, а отдача в случае успеха потенциально велика, так как медиасервер работает с правами доступа ко многим частям устройства, таким как видеокамера и микрофон».

Новый OTA-апдейт для Nexus совокупно устраняет 40 уязвимостей; операторы мобильной связи и производители Android-гаджетов получили этот набор для раздачи 4 апреля; через AOSP он будет доступен в ближайшие дни.

Имя бюллетеней было изменено, так как, по словам Google, они будут охватывать «более широкий спектр уязвимостей, актуальных для Android-устройств, даже если они не затрагивают Nexus».

Разработчик также обновил критерии, на основании которых оценивается степень опасности уязвимости. «Эти изменения — результат сбора данных о зафиксированных уязвимостях за последние полгода, — пишет Google. — Цель этих изменений — более точное отображение уровня опасности, учитывающее реальную угрозу для пользователей».

Майское обновление содержит шесть критических бюллетеней, один из которых посвящен уязвимостям в Mediaserver (CVE-2016-2428 и CVE-2016-2429). Эти бреши, обнаруженные исследователем Вэй-Чао Сунем (Weichao Sun) из Alibaba Inc., грозят удаленным исполнением кода через порчу памяти и актуальны для Android версий 4.4.4, 5.0.2, 5.1.1, 6.0 и 6.0.1. Атака возможна через разные векторы, самые распространенные из них — использование функций воспроизведения MMS или медиафайлов в браузере.

Устранен критический баг повышения привилегий в отладчике Debuggerd, интегрированном в Android. Согласно бюллетеню Google, данная уязвимость открывает возможность для удаленного исполнения кода в контексте отладчика с целью получения прав суперпользователя на мобильном устройстве.

Возможности повышения привилегий устранены также в TrustZone реализации Qualcomm и Wi-Fi-драйвере от этой же компании. Все четыре уязвимости позволяют получить права root и выполнить произвольный код с привилегиями ядра TrustZone. Аналогичные критические бреши пропатчены в драйвере видеокарты NVIDIA, они актуальны для устройств Nexus 9.

Двенадцать бюллетеней посвящены уязвимостям высокой степени опасности. Удаленное исполнение кода в Bluetooth возможно при инициализации этого устройства. Эксплойт RCE в ядре требует предварительной компрометации привилегированного сервиса; виновником наличия бреши является звуковая подсистема Android.

Большинство прочих высоко опасных уязвимостей связаны с повышением привилегий; они содержатся в Mediaserver, Qualcomm-драйверах Busmp, MDP и Wi-Fi; в драйвере видеокарты NVIDIA, модуле беспроводной связи и Wi-Fi-драйвере от MediaTek. Также устранены раскрытие информации в Qualcomm-контроллере беспроводного доступа в режиме tethering и удаленно эксплуатируемая DoS-брешь в аппаратном кодеке от той же Qualcomm.

Уязвимости умеренной степени опасности были обнаружены в Conscrypt, OpenSSL и Boring SSL, MediaTek Wi-Fi Driver, Wi-Fi, AOSP Mail, Mediaserver. Единственный баг низкой степени опасности в ядре позволяет вызвать состояние отказа в обслуживании.

Категории: Главное, Уязвимости