กระดานข่าวความปลอดภัยของ Nexus - กันยายน 2015

เผยแพร่เมื่อวันที่ 9 กันยายน 2015

เราได้เผยแพร่การอัปเดตความปลอดภัยสำหรับอุปกรณ์ Nexus ผ่านการอัปเดตแบบ over-the-air (OTA) ซึ่งเป็นส่วนหนึ่งของกระบวนการเผยแพร่กระดานข่าวความปลอดภัยของ Android ประจำเดือน (รุ่น LMY48M) การอัปเดตสำหรับอุปกรณ์ Nexus และแพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังแหล่งเก็บข้อมูล Android Open Source Project (AOSP) แล้ว ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญซึ่งอาจเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบ

อิมเมจเฟิร์มแวร์ของ Nexus ได้รับการเผยแพร่ไปยัง ไซต์ Google Developer แล้ว สร้าง LMY48M หรือใหม่กว่าเพื่อแก้ไขปัญหาเหล่านี้ พันธมิตรได้รับแจ้งเกี่ยวกับปัญหาเหล่านี้ในวันที่ 13 สิงหาคม 2558 หรือก่อนหน้านั้น

เรายังตรวจไม่พบการใช้ประโยชน์จากลูกค้าจากปัญหาที่รายงานใหม่ ข้อยกเว้นคือปัญหาที่มีอยู่ (CVE-2015-3636) โปรดดูส่วน การบรรเทาผลกระทบ สำหรับรายละเอียดเกี่ยวกับ การป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ซึ่งจะลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะสามารถถูกโจมตีบน Android ได้สำเร็จ

โปรดทราบว่าการอัปเดตความปลอดภัยที่สำคัญ (CVE-2015-3864 และ CVE-2015-3686) กล่าวถึงช่องโหว่ที่เปิดเผยแล้ว ไม่มีช่องโหว่ด้านความปลอดภัยที่สำคัญที่เพิ่งเปิดเผยในการอัปเดตนี้ การประเมินความรุนแรงขึ้น อยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยถือว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ไปยังอุปกรณ์ของตน

การบรรเทาผลกระทบ

นี่คือบทสรุปของการบรรเทาปัญหาที่มีให้โดย แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น SafetyNet ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะสามารถถูกโจมตีบน Android ได้สำเร็จ

  • การใช้ประโยชน์จากปัญหาต่างๆ บน Android ทำได้ยากขึ้นด้วยการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดเมื่อเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android กำลังตรวจสอบการละเมิดอย่างแข็งขันด้วย Verify Apps และ SafetyNet ซึ่งจะเตือนเกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตรายที่กำลังจะถูกติดตั้ง ห้ามใช้เครื่องมือรูทอุปกรณ์ภายใน Google Play เพื่อปกป้องผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play ยืนยันแอปจะเปิดใช้งานตามค่าเริ่มต้น และจะเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันรูทที่รู้จัก ตรวจสอบความพยายามของแอปในการระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายที่ทราบซึ่งใช้ประโยชน์จากช่องโหว่ในการยกระดับสิทธิ์ หากมีการติดตั้งแอปพลิเคชันดังกล่าวแล้ว ยืนยันแอปจะแจ้งให้ผู้ใช้ทราบและพยายามลบแอปพลิเคชันดังกล่าว
  • ตามความเหมาะสม แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น เซิร์ฟเวอร์สื่อโดยอัตโนมัติ

รับทราบ

เราขอขอบคุณนักวิจัยเหล่านี้สำหรับการมีส่วนร่วม:

  • Jordan Gruskovnjak จาก Exodus Intelligence (@jgrusko): CVE-2015-3864
  • มิคาล เบดนาร์สกี: CVE-2015-3845
  • Guang Gong จาก Qihoo 360 Technology Co. Ltd (@oldfresher): CVE-2015-1528, CVE-2015-3849
  • เบรนแนน เลาต์เนอร์: CVE-2015-3863
  • เจกอร์ (@indiecom): CVE-2015-3860
  • Wish Wu จาก Trend Micro Inc. (@wish_wu): CVE-2015-3861

รายละเอียดช่องโหว่ด้านความปลอดภัย

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดในกระดานข่าวนี้ มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางที่มี CVE, จุดบกพร่องที่เกี่ยวข้อง, ความรุนแรง, เวอร์ชันที่ได้รับผลกระทบ และวันที่รายงาน ในกรณีที่เป็นไปได้ เราได้เชื่อมโยงการเปลี่ยนแปลง AOSP ที่แก้ไขปัญหากับรหัสข้อบกพร่อง เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิง AOSP เพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลัง ID จุดบกพร่อง

ช่องโหว่การเรียกใช้โค้ดระยะไกลใน Mediaserver

ในระหว่างการประมวลผลไฟล์มีเดียและข้อมูลของไฟล์ที่สร้างขึ้นเป็นพิเศษ ช่องโหว่ในมีเดียเซิร์ฟเวอร์อาจทำให้ผู้โจมตีทำให้หน่วยความจำเสียหายและการเรียกใช้โค้ดจากระยะไกลเป็นกระบวนการของมีเดียเซิร์ฟเวอร์

ฟังก์ชันการทำงานที่ได้รับผลกระทบถือเป็นส่วนหลักของระบบปฏิบัติการ และมีแอปพลิเคชั่นหลายตัวที่อนุญาตให้เข้าถึงเนื้อหาระยะไกลได้ โดยเฉพาะ MMS และการเล่นสื่อผ่านเบราว์เซอร์

ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงที่สำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของบริการสื่อเซิร์ฟเวอร์ บริการมีเดียเซิร์ฟเวอร์สามารถเข้าถึงสตรีมเสียงและวิดีโอตลอดจนการเข้าถึงสิทธิพิเศษที่แอปของบุคคลที่สามไม่สามารถเข้าถึงได้ตามปกติ

ปัญหานี้เกี่ยวข้องกับ CVE-2015-3824 ที่รายงานแล้ว (ANDROID-20923261) การอัปเดตการรักษาความปลอดภัยดั้งเดิมไม่เพียงพอที่จะแก้ไขปัญหาที่รายงานในตอนแรกนี้

ซีวีอี ข้อผิดพลาดกับลิงก์ AOSP ความรุนแรง เวอร์ชันที่ได้รับผลกระทบ
CVE-2015-3864 หุ่นยนต์-23034759 วิกฤต 5.1 และต่ำกว่า

ช่องโหว่สิทธิ์การยกระดับในเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในการจัดการซ็อกเก็ต ping ของเคอร์เนล Linux อาจทำให้แอปพลิเคชันที่เป็นอันตรายสามารถรันโค้ดที่กำหนดเองในบริบทของเคอร์เนลได้

ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงระดับวิกฤตเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดในบริการพิเศษที่สามารถข้ามการป้องกันอุปกรณ์ ซึ่งอาจนำไปสู่การประนีประนอมอย่างถาวร (เช่น จำเป็นต้องแฟลชพาร์ติชันระบบใหม่) บนอุปกรณ์บางตัว

ปัญหานี้ได้รับการระบุต่อสาธารณะเป็นครั้งแรกเมื่อวันที่ 1 พฤษภาคม 2558 การใช้ประโยชน์จากช่องโหว่นี้รวมอยู่ในเครื่องมือ "การรูท" จำนวนหนึ่งที่เจ้าของอุปกรณ์อาจใช้เพื่อแก้ไขเฟิร์มแวร์บนอุปกรณ์ของตน

ซีวีอี ข้อบกพร่องที่มีลิงก์ AOSP ความรุนแรง เวอร์ชันที่ได้รับผลกระทบ
CVE-2015-3636 หุ่นยนต์-20770158 วิกฤต 5.1 และต่ำกว่า

การยกระดับช่องโหว่สิทธิพิเศษใน Binder

การยกระดับช่องโหว่ของสิทธิ์ใน Binder อาจทำให้แอปพลิเคชันที่เป็นอันตรายสามารถเรียกใช้โค้ดที่กำหนดเองได้ภายในบริบทของกระบวนการของแอปอื่น

ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากจะทำให้แอปพลิเคชันที่เป็นอันตรายได้รับสิทธิ์ที่ไม่สามารถเข้าถึงได้จากแอปพลิเคชันบุคคลที่สาม

ซีวีอี ข้อบกพร่องที่มีลิงก์ AOSP ความรุนแรง เวอร์ชันที่ได้รับผลกระทบ
CVE-2015-3845 หุ่นยนต์-17312693 สูง 5.1 และต่ำกว่า
CVE-2015-1528 หุ่นยนต์-19334482 [ 2 ] สูง 5.1 และต่ำกว่า

การยกระดับช่องโหว่สิทธิพิเศษในคีย์สโตร์

การยกระดับช่องโหว่ของสิทธิ์การใช้งานใน Keystore อาจทำให้แอปพลิเคชันที่เป็นอันตรายเรียกใช้โค้ดที่กำหนดเองได้ภายในบริบทของบริการ Keystore ซึ่งอาจทำให้เกิดการใช้คีย์ที่จัดเก็บโดย Keystore โดยไม่ได้รับอนุญาต รวมถึงคีย์ที่สำรองด้วยฮาร์ดแวร์

ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากสามารถใช้เพื่อรับสิทธิ์ที่ไม่สามารถเข้าถึงได้จากแอปพลิเคชันบุคคลที่สาม

ซีวีอี ข้อบกพร่องที่มีลิงก์ AOSP ความรุนแรง เวอร์ชันที่ได้รับผลกระทบ
CVE-2015-3863 หุ่นยนต์-22802399 สูง 5.1 และต่ำกว่า

การยกระดับช่องโหว่ของสิทธิพิเศษในภูมิภาค

การยกระดับช่องโหว่ของสิทธิพิเศษในภูมิภาคสามารถอนุญาตให้แอปพลิเคชันที่เป็นอันตรายรันโค้ดที่กำหนดเองภายในบริบทของบริการเป้าหมายผ่านการสร้างข้อความที่เป็นอันตรายไปยังบริการ

ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากสามารถใช้เพื่อรับสิทธิ์ที่ไม่สามารถเข้าถึงได้จากแอปพลิเคชันบุคคลที่สาม

ซีวีอี ข้อบกพร่องที่มีลิงก์ AOSP ความรุนแรง เวอร์ชันที่ได้รับผลกระทบ
CVE-2015-3849 หุ่นยนต์-20883006 [ 2 ] สูง 5.1 และต่ำกว่า

การยกระดับช่องโหว่ของสิทธิพิเศษใน SMS ช่วยให้สามารถข้ามการแจ้งเตือนได้

การยกระดับช่องโหว่ของสิทธิพิเศษในลักษณะที่ Android ประมวลผลข้อความ SMS อาจทำให้แอปพลิเคชันที่เป็นอันตรายสามารถส่งข้อความ SMS ที่ข้ามการแจ้งเตือน SMS อัตราพรีเมียมได้

ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากสามารถใช้เพื่อรับสิทธิ์ที่ไม่สามารถเข้าถึงได้จากแอปพลิเคชันบุคคลที่สาม

ซีวีอี ข้อบกพร่องที่มีลิงก์ AOSP ความรุนแรง เวอร์ชันที่ได้รับผลกระทบ
CVE-2015-3858 หุ่นยนต์-22314646 สูง 5.1 และต่ำกว่า

การยกระดับช่องโหว่สิทธิพิเศษใน Lockscreen

การยกระดับช่องโหว่ของสิทธิพิเศษใน Lockscreen อาจทำให้ผู้ใช้ที่เป็นอันตรายสามารถข้ามหน้าจอล็อคได้โดยทำให้หน้าจอล่ม ปัญหานี้จัดอยู่ในประเภทช่องโหว่บน Android 5.0 และ 5.1 เท่านั้น แม้ว่าจะเป็นไปได้ที่จะทำให้ System UI หยุดทำงานจากหน้าจอล็อคในลักษณะที่คล้ายกันใน 4.4 แต่ไม่สามารถเข้าถึงหน้าจอหลักได้ และจะต้องรีบูตอุปกรณ์เพื่อกู้คืน

ปัญหานี้ได้รับการจัดอันดับเป็นระดับความรุนแรงปานกลาง เนื่องจากอาจทำให้ผู้ที่สามารถเข้าถึงอุปกรณ์สามารถติดตั้งแอปของบริษัทอื่นได้โดยไม่ต้องให้เจ้าของอุปกรณ์อนุมัติสิทธิ์ นอกจากนี้ยังสามารถอนุญาตให้ผู้โจมตีสามารถดูข้อมูลการติดต่อ บันทึกโทรศัพท์ ข้อความ SMS และข้อมูลอื่น ๆ ที่ปกติได้รับการปกป้องด้วยการอนุญาตระดับ "อันตราย"

ซีวีอี ข้อบกพร่องที่มีลิงก์ AOSP ความรุนแรง เวอร์ชันที่ได้รับผลกระทบ
CVE-2015-3860 หุ่นยนต์-22214934 ปานกลาง 5.1 และ 5.0

การปฏิเสธช่องโหว่การบริการใน Mediaserver

การปฏิเสธช่องโหว่ในบริการในมีเดียเซิร์ฟเวอร์อาจทำให้ผู้โจมตีในพื้นที่สามารถบล็อกการเข้าถึงอุปกรณ์ที่ได้รับผลกระทบชั่วคราวได้

ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงต่ำเนื่องจากผู้ใช้สามารถรีบูตเข้าสู่เซฟโหมดเพื่อลบแอปพลิเคชันที่เป็นอันตรายที่ใช้ประโยชน์จากปัญหานี้ นอกจากนี้ยังเป็นไปได้ที่จะทำให้เซิร์ฟเวอร์มีเดียประมวลผลไฟล์ที่เป็นอันตรายจากระยะไกลผ่านเว็บหรือผ่าน MMS ในกรณีนี้ กระบวนการเซิร์ฟเวอร์มีเดียขัดข้องและอุปกรณ์ยังคงใช้งานได้

ซีวีอี ข้อบกพร่องที่มีลิงก์ AOSP ความรุนแรง เวอร์ชันที่ได้รับผลกระทบ
CVE-2015-3861 หุ่นยนต์-21296336 ต่ำ 5.1 และต่ำกว่า