fuquan/allwinner_a64
1
1
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
allwinner_a64/android/docs/source.android.com/ru/security/advisory/2016-03-18.html
August 5425409085 upload android base code part8
2018-08-08 20:10:12 +08:00

181 lines
10 KiB
HTML
Raw Permalink Blame History

This file contains invisible Unicode characters

This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

<html devsite>
<head>
<title>Примечание по безопасности Android  18 марта 2016 г.</title>
<meta name="project_path" value="/_project.yaml" />
<meta name="book_path" value="/_book.yaml" />
</head>
<body>
<!--
Copyright 2017 The Android Open Source Project
Licensed under the Apache License, Version 2.0 (the "License");
you may not use this file except in compliance with the License.
You may obtain a copy of the License at
http://www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
-->
<p><em>Опубликовано 18 марта 2016 г.</em></p>
<p>Примечания являются дополнением к бюллетеням по безопасности Nexus.
<a href="index.html">Подробнее…</a></p>
<h2 id="summary">Общая информация</h2>
<p>Google стало известно о рутинг-приложении, использующем уязвимость ядра на
некоторых устройствах Android для повышения привилегий (<a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1805">CVE-2015-1805</a>).
Проблема возникает, если пользователь устанавливает вредоносное ПО на телефон
или планшет. Поэтому теперь наши системы определяют подобные приложения, а
также блокируют их скачивание из Google Play и сторонних источников
с помощью <a href="https://support.google.com/accounts/answer/2812853">специальной проверки</a>.</p>
<p>Мы предоставили партнерам исправление уязвимости 16 марта 2016 года.
Обновления для устройств Nexus будут выпущены в ближайшие дни. Исправления
исходного кода загружены в хранилище Android Open Source Project (AOSP).</p>
<h3 id="background">История проблемы</h3>
<p>Это проблема в ядре Linux была устранена в апреле 2014 года. Однако
только 2 февраля 2015 года она была признана уязвимостью в безопасности
и ей присвоили идентификатор <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1805">CVE-2015-1805</a>. 19 февраля 2016 года
команда C0RE Team сообщила Google, что проблема затрагивает и
устройства Android. Поэтому мы разработали исправление и включили его
в следующее ежемесячное обновление.</p>
<p>15 марта 2016 года мы получили информацию от Zimperium о том, что
уязвимость была использована на телефоне Nexus 5. Команда Google подтвердила
существование общедоступного рутинг-приложения, которое угрожает безопасности
устройств Nexus 5 и Nexus 6.</p>
<p>Уязвимость позволяет повышать привилегии пользователя и выполнять
произвольный код в ядре. Ей присвоен <a href="/security/overview/updates-resources.html#severity">критический уровень</a>, поскольку из-за нее
нарушается работа системы безопасности.</p>
<h3 id="scope">Устройства</h3>
<p>Эта информация относится ко всем устройствам Android с версиями ядра 3.4, 3.10
и 3.14 (в том числе к телефонам и планшетам Nexus), на которых не установлено
исправление. На устройствах Android с ядром Linux версии 3.18 или
более поздней уязвимость отсутствует.</p>
<h3 id="mitigations">Предотвращение атак</h3>
<p>Приведенные ниже меры позволяют снизить вероятность атак на Android. </p>
<ul>
<li> Наши системы блокируют скачивание приложений, использующих
уязвимость, из Google Play и сторонних источников.
<li> В Google Play запрещены рутинг-приложения, поскольку они угрожают
безопасности устройств.
<li> На телефонах и планшетах Android с <a href="https://support.google.com/nexus/answer/4457705">ядром Linux версии 3.18 или
более поздней</a> уязвимость отсутствует.
</li></li></li></ul>
<h3 id="acknowledgements">Благодарности</h3>
<p>Команда Android благодарит <a href="http://c0reteam.org/">C0RE Team</a> и <a href="https://www.zimperium.com/">Zimperium</a> за помощь в обнаружении
уязвимости.</p>
<h3 id="suggested_actions">Рекомендуемые действия</h3>
<p>Команда Android советует всем пользователям установить обновления,
как только они будут доступны.</p>
<h3 id="fixes">Исправления</h3>
<p>В хранилище AOSP были добавлены исправления для различных версий ядра.
Мы сообщили об этом партнерам Android и порекомендовали применить
обновления. Если потребуются дополнительные исправления, мы загрузим их
напрямую в AOSP.</p>
<table>
<tr>
<th>Версия ядра</th>
<th>Исправление</th>
</tr>
<tr>
<td>3.4</td>
<td><a href="https://android.googlesource.com/kernel/common/+/f7ebfe91b806501808413c8473a300dff58ddbb5">Исправление в AOSP</a></td>
</tr>
<tr>
<td>3.10</td>
<td><a href="https://android.googlesource.com/kernel/common/+/4a5a45669796c5b4617109182e25b321f9f00beb">Исправление в AOSP</a></td>
</tr>
<tr>
<td>3.14</td>
<td><a href="https://android.googlesource.com/kernel/common/+/bf010e99c9bc48002f6bfa1ad801a59bf996270f">Исправление в AOSP</a></td>
</tr>
<tr>
<td>3.18+</td>
<td>Исправление в общедоступном ядре Linux</td>
</tr>
</table>
<h2 id="common_questions_and_answers">Часто задаваемые вопросы</h2>
<p><strong>1. С чем связана проблема?</strong></p>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код
в контексте ядра. Ей присвоен критический уровень, поскольку из-за нее
нарушается работа системы безопасности. Для устранения проблемы нужно
переустановить ОС.</p>
<p><strong>2. Каким образом злоумышленники могут воспользоваться уязвимостью?</strong></p>
<p>Опасность угрожает устройствам, на которые установлено ПО, использующее
эту уязвимость. Наши системы блокируют скачивание рутинг-приложений
из Google Play и сторонних источников. Злоумышленнику потребуется убедить
пользователя вручную установить вредоносное приложение.</p>
<p><strong>3. На каких устройствах присутствует уязвимость?</strong></p>
<p>Наша проверка показала, что уязвимостью можно воспользоваться
на устройствах Nexus 5 и Nexus 6. Однако она есть на всех телефонах и
планшетах Android, где не установлено исправление.</p>
<p><strong>4. Вы уверены, что уязвимость была использована?</strong></p>
<p>Да, нам точно известно, что это произошло на телефоне Nexus 5
с помощью общедоступного рутинг-приложения. Однако мы не зафиксировали,
что из-за уязвимости устройствам был нанесен вред.</p>
<p><strong>5. Как вы планируете решить проблему?</strong></p>
<p>В <a href="https://static.googleusercontent.com/media/source.android.com/en//security/reports/Android_WhitePaper_Final_02092016.pdf">Google Play</a> запрещены приложения, использующие описанную уязвимость.
Функции безопасности Android блокируют установку подобного ПО
из сторонних источников. На устройствах Nexus уязвимость будет устранена
в следующем обновлении. Как только оно будет готово, мы сообщим об этом
партнерам Android, чтобы они могли разработать аналогичные исправления.</p>
<p><strong>6. Исправлена ли проблема на моем устройстве?</strong></p>
<p>Уязвимость устранена на устройствах Android с обновлениями безопасности
от 18 марта или 2 апреля 2016 года. Узнайте, <a href="https://support.google.com/nexus/answer/4457705">как посмотреть дату</a>
последнего такого обновления.</p>
<h2 id="revisions">Версии</h2>
<ul>
<li> 18 марта 2016 года. Доклад опубликован.
</li></ul>
</body>
</html>
Reference in a new issue View git blame Copy permalink