Yayınlanma tarihi: 9 Eylül 2015
Android Güvenlik Bülteni Aylık Yayınlama sürecimiz kapsamında Nexus cihazlara kablosuz (OTA) güncelleme aracılığıyla bir güvenlik güncellemesi yayınladık (Derleme LMY48M). Nexus cihazlar için güncellemeler ve bu sorunlara yönelik kaynak kod yamaları da Android Açık Kaynak Projesi (AOSP) kaynak deposunda yayınlandı. Bu sorunlardan en ciddi olanı, etkilenen bir cihazda uzaktan kod yürütmeyi etkinleştirebilecek kritik bir güvenlik açığıdır.
Nexus donanım yazılımı resimleri Google Developers sitesinde de yayınlandı. LMY48M veya sonraki sürümler bu sorunları giderir. İş ortakları bu sorunlar hakkında 13 Ağustos 2015'te veya daha önce bilgilendirildi.
Yeni bildirilen sorunlardan müşteriler tarafından yararlanıldığını tespit edemedik. Bunun istisnası, mevcut sorundur (CVE-2015-3636). Android güvenlik platformu korumaları ve Android'de güvenlik açıklarının başarılı bir şekilde istismar edilme olasılığını azaltan SafetyNet gibi hizmet korumaları hakkında ayrıntılı bilgi için Önlemler bölümüne bakın.
Her iki kritik güvenlik güncellemesinin de (CVE-2015-3864 ve CVE-2015-3686) daha önce açıklanan güvenlik açıklarını giderdiğini lütfen unutmayın. Bu güncellemede yeni açıklanan kritik güvenlik açığı yoktur. Önem değerlendirmesi, platform ve hizmet azaltmalarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerinde oluşturabileceği etkiye dayanır.
Tüm müşterilerimizi, cihazlarındaki bu güncellemeleri kabul etmeye teşvik ediyoruz.
Çözümler
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltıcı önlemlerin özetidir. Bu özellikler, Android'de güvenlik açıklarının başarılı bir şekilde kötüye kullanılması olasılığını azaltır.
- Android platformunun yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorunun istismar edilmesini zorlaştırmaktadır. Tüm kullanıcıları mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ederiz.
- Android Güvenlik Ekibi, Uygulamaları Doğrula ve SafetyNet ile kötüye kullanım olup olmadığını etkin bir şekilde izler. Bu sayede, yüklenmek üzere olan potansiyel olarak zararlı uygulamalar hakkında uyarı alırsınız. Cihaz köklendirme araçları Google Play'de yasaktır. Google Play dışından uygulama yükleyen kullanıcıları korumak için Uygulamaları Doğrula özelliği varsayılan olarak etkindir ve kullanıcıları bilinen köklendirme uygulamaları konusunda uyarır. Doğrula Uygulamalar, ayrıcalık yükseltme güvenlik açıklarından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini tespit edip engellemeye çalışır. Bu tür bir uygulama zaten yüklüyse Uygulamaları Doğrula, kullanıcıyı bilgilendirir ve bu tür uygulamaları kaldırmaya çalışır.
- Google Hangouts ve Messenger uygulamaları, uygun olduğunda medyayı mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür ederiz
Katkılarından dolayı aşağıdaki araştırmacılara teşekkür ederiz:
- Exodus Intelligence'tan Jordan Gruskovnjak (@jgrusko): CVE-2015-3864
- Michał Bednarski: CVE-2015-3845
- Qihoo 360 Technology Co. Ltd.'den Guang Gong (@oldfresher): CVE-2015-1528, CVE-2015-3849
- Brennan Lautner: CVE-2015-3863
- jgor (@indiecom): CVE-2015-3860
- Trend Micro Inc.'den Wish Wu (@wish_wu): CVE-2015-3861
Güvenlik Açığı Ayrıntıları
Aşağıdaki bölümlerde, bu bültendeki güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Sorunun açıklaması, önem düzeyi gerekçesi ve CVE, ilişkili hata, önem düzeyi, etkilenen sürümler ve bildirilme tarihi içeren bir tablo bulunur. Varsa sorunu gideren AOSP değişikliğini hata kimliğine bağladık. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, ek AOSP referansları hata kimliğinin ardından gelen sayılara bağlanır.
Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açığı
Özel olarak hazırlanmış bir medya dosyasının ve verilerinin işlenmesi sırasında mediaserver'daki güvenlik açıkları, saldırganın mediaserver işlemi olarak bellek bozulmasına ve uzaktan kod yürütmeye neden olmasına izin verebilir.
Etkilenen işlev, işletim sisteminin temel bir parçası olarak sağlanır ve uzaktan içerikle erişilmesine olanak tanıyan birden fazla uygulama vardır. Bunlardan en önemlileri MMS ve tarayıcıda medya oynatmadır.
Bu sorun, mediaserver hizmeti bağlamında uzaktan kod çalıştırma olasılığı nedeniyle Kritik önem düzeyinde olarak derecelendirilmiştir. mediaserver hizmeti, ses ve video akışlarına ve üçüncü taraf uygulamalarının normalde erişemeyeceği ayrıcalıklara erişebilir.
Bu sorun, daha önce bildirilmiş CVE-2015-3824 (ANDROID-20923261) ile ilgilidir. Orijinal güvenlik güncellemesi, ilk bildirilen sorunun bir varyantını gidermek için yeterli değildi.
| CVE | AOSP bağlantılarıyla ilgili hata | Önem derecesi | Etkilenen Sürümler |
|---|---|---|---|
| CVE-2015-3864 | ANDROID-23034759 | Kritik (Critical) | 5.1 ve önceki sürümler |
Çekirdekte Üst Düzey Ayrıcalık Güvenlik Açığı
Linux çekirdeğinin ping soketlerini işlemesiyle ilgili ayrıcalık yükseltme güvenlik açığı, kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine izin verebilir.
Bu sorun, cihaz korumalarını atlayabilecek ayrıcalıklı bir hizmette kod çalıştırılma olasılığı nedeniyle Kritik olarak değerlendirilir.Bu durum, bazı cihazlarda kalıcı bir güvenlik ihlaline (ör. sistem bölümünün yeniden yanıp sönmesini gerektirir) neden olabilir.
Bu sorun ilk kez 1 Mayıs 2015'te herkese açık olarak tespit edildi. Bu güvenlik açığının istismar edildiği bir kod, cihaz sahibinin cihazındaki donanım yazılımını değiştirmek için kullanabileceği çeşitli "rootlama" araçlarına dahil edilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Etkilenen Sürümler |
|---|---|---|---|
| CVE-2015-3636 | ANDROID-20770158 | Kritik (Critical) | 5.1 ve önceki sürümler |
Binder'da ayrıcalık yükseltme güvenlik açığı
Binder'da ayrıcalık yükseltme güvenlik açığı, kötü amaçlı bir uygulamanın başka bir uygulamanın işlemi bağlamında keyfi kod yürütmesine izin verebilir.
Kötü amaçlı bir uygulamanın üçüncü taraf uygulamaları tarafından erişilemeyen ayrıcalıklar elde etmesine olanak tanıdığı için bu sorun yüksek önem derecesine sahiptir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Etkilenen Sürümler |
|---|---|---|---|
| CVE-2015-3845 | ANDROID-17312693 | Yüksek | 5.1 ve önceki sürümler |
| CVE-2015-1528 | ANDROID-19334482 [2] | Yüksek | 5.1 ve önceki sürümler |
Anahtar Deposunda Yetki Yükseltme Güvenlik Açığı
Anahtar deposundaki ayrıcalık yükseltme güvenlik açığı, kötü amaçlı bir uygulamanın anahtar deposu hizmeti bağlamında keyfi kod yürütmesine izin verebilir. Bu, donanım destekli anahtarlar da dahil olmak üzere Keystore tarafından depolanan anahtarların yetkisiz kullanımına izin verebilir.
Bu sorun, üçüncü taraf uygulamaların erişemediği ayrıcalıklar elde etmek için kullanılabileceğinden yüksek önem derecesine sahiptir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Etkilenen Sürümler |
|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | Yüksek | 5.1 ve önceki sürümler |
Bölgede ayrıcalık yükseltme güvenlik açığı
Bölge'de ayrıcalık yükseltme güvenlik açığı, bir hizmete kötü amaçlı mesaj oluşturarak kötü amaçlı bir uygulamanın hedef hizmet bağlamında keyfi kod yürütmesine izin verebilir.
Bu sorun, üçüncü taraf uygulamaların erişemediği ayrıcalıklar elde etmek için kullanılabileceğinden yüksek önem derecesine sahiptir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Etkilenen Sürümler |
|---|---|---|---|
| CVE-2015-3849 | ANDROID-20883006 [2] | Yüksek | 5.1 ve önceki sürümler |
SMS'deki ayrıcalık yükseltme güvenlik açığı, bildirim atlamayı sağlar
Android'in SMS mesajlarını işleme şekliyle ilgili ayrıcalık yükseltme güvenlik açığı, kötü amaçlı bir uygulamanın ücretli SMS uyarı bildirimini atlayan bir SMS mesajı göndermesine olanak tanıyabilir.
Üçüncü taraf uygulamaların erişemediği ayrıcalıklar elde etmek için kullanılabileceğinden bu sorun yüksek önem derecesine sahiptir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Etkilenen Sürümler |
|---|---|---|---|
| CVE-2015-3858 | ANDROID-22314646 | Yüksek | 5.1 ve önceki sürümler |
Kilit Ekranında Yetki Yükseltme Güvenlik Açığı
Kilit ekranında ayrıcalık yükseltme güvenlik açığı, kötü amaçlı bir kullanıcının kilit ekranını kilitleyerek atlamasına olanak tanıyabilir. Bu sorun yalnızca Android 5.0 ve 5.1'de güvenlik açığı olarak sınıflandırılır. 4.4'te kilit ekranından Sistem Kullanıcı Arayüzü'nün kilitlenmesine benzer şekilde neden olunabilir ancak ana ekrana erişilemez ve cihazın kurtarılması için yeniden başlatılması gerekir.
Bu sorun, cihaza fiziksel erişimi olan bir kullanıcının cihazın sahibinin izinlerini onaylamadan üçüncü taraf uygulamaları yüklemesine olanak tanıdığı için orta düzeyde olarak değerlendirilir. Ayrıca saldırganın kişi verilerini, telefon günlüklerini, SMS mesajlarını ve normalde "tehlikeli" düzeyinde bir izinle korunan diğer verileri görüntülemesine de olanak tanıyabilir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Etkilenen Sürümler |
|---|---|---|---|
| CVE-2015-3860 | ANDROID-22214934 | Orta seviye | 5.1 ve 5.0 |
Mediaserver'da Hizmet Reddi Güvenlik Açığı
mediaserver'da bulunan bir hizmet reddi güvenlik açığı, yerel bir saldırganın etkilenen cihaza erişimi geçici olarak engellemesine olanak tanıyabilir.
Kullanıcı bu sorunu istismar eden kötü amaçlı bir uygulamayı kaldırmak için güvenli moda yeniden başlayabileceğinden bu sorun "düşük önem" olarak derecelendirilmiştir. Mediaserver'ın, kötü amaçlı dosyayı web üzerinden veya MMS üzerinden uzaktan işlemesine de neden olabilirsiniz. Bu durumda mediaserver işlemi kilitlenir ve cihaz kullanılabilir durumda kalır.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Etkilenen Sürümler |
|---|---|---|---|
| CVE-2015-3861 | ANDROID-21296336 | Düşük | 5.1 ve önceki sürümler |