9 Eylül 2015'te yayınlandı
Android Güvenlik Bülteni Aylık Sürüm sürecimizin (LMY48M Oluşturma) bir parçası olarak kablosuz (OTA) güncelleme yoluyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus cihazlarına yönelik güncellemeler ve bu sorunlara yönelik kaynak kodu yamaları da Android Açık Kaynak Projesi (AOSP) kaynak deposunda yayınlandı. Bu sorunlardan en ciddi olanı, etkilenen cihazda uzaktan kod yürütülmesine olanak verebilecek Kritik bir güvenlik açığıdır.
Nexus donanım yazılımı görüntüleri de Google Geliştirici sitesinde yayınlandı. LMY48M veya üzeri sürümler bu sorunları giderir. İş ortakları bu sorunlarla ilgili olarak 13 Ağustos 2015'te veya daha önce bilgilendirildi.
Yeni bildirilen sorunların müşteri tarafından istismar edildiğini tespit etmedik. Bunun istisnası mevcut sorundur (CVE-2015-3636). Güvenlik açıklarının Android'de başarıyla kullanılması olasılığını azaltan Android güvenlik platformu korumaları ve SafetyNet gibi hizmet korumalarıyla ilgili ayrıntılar için Azaltıcı Önlemler bölümüne bakın.
Her iki Kritik güvenlik güncellemesinin de (CVE-2015-3864 ve CVE-2015-3686) halihazırda açıklanan güvenlik açıklarını hedef aldığını lütfen unutmayın. Bu güncellemede yeni açıklanan Kritik güvenlik açıkları bulunmamaktadır. Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.
Tüm müşterilerimizi cihazlarına yönelik bu güncellemeleri kabul etmeye teşvik ediyoruz.
Azaltmalar
Bu , Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltımların bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.
- Android platformunun daha yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorundan yararlanmayı daha da zorlaştırıyor. Tüm kullanıcılarımızı mümkün olduğunca Android'in en son sürümüne güncelleme yapmaya teşvik ediyoruz.
- Android Güvenlik ekibi, yüklenmek üzere olan potansiyel zararlı uygulamalar hakkında uyarı verecek olan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Cihaz rootlama araçları Google Play'de yasaktır. Google Play dışından uygulama yükleyen kullanıcıları korumak için Uygulamaları Doğrula özelliği varsayılan olarak etkindir ve kullanıcıları bilinen köklendirme uygulamaları konusunda uyarır. Uygulamaları Doğrula, ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaları tanımlamaya ve yüklemesini engellemeye çalışır. Böyle bir uygulama zaten kuruluysa Verify Apps kullanıcıyı bilgilendirecek ve bu tür uygulamaları kaldırmaya çalışacaktır.
- Uygun olduğu üzere Google Hangouts ve Messenger uygulamaları, medya sunucusu gibi işlemlere otomatik olarak medya aktarmamaktadır.
Teşekkür
Bu araştırmacılara katkılarından dolayı teşekkür ederiz:
- Exodus Intelligence'dan Jordan Gruskovnjak (@jgrusko): CVE-2015-3864
- Michal Bednarski: CVE-2015-3845
- Qihoo 360 Technology Co. Ltd'den Guang Gong (@oldfresher): CVE-2015-1528, CVE-2015-3849
- Brennan Lautner: CVE-2015-3863
- jgor (@indiecom): CVE-2015-3860
- Trend Micro Inc.'den Wish Wu (@wish_wu): CVE-2015-3861
Güvenlik Açığı Ayrıntıları
Aşağıdaki bölümlerde bu bültendeki güvenlik açıklarının her birine ilişkin ayrıntılar sunuyoruz. Sorunun bir açıklaması, ciddiyet gerekçesi ve CVE, ilgili hata, önem derecesi, etkilenen sürümler ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren AOSP değişikliğini hata kimliğine bağladık. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek AOSP referansları hata kimliğini takip eden numaralara bağlanır.
Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açığı
Medya dosyası ve özel hazırlanmış bir dosyanın verilerinin işlenmesi sırasında, medya sunucusundaki güvenlik açıkları, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olmasına olanak verebilir.
Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanmaktadır ve başta MMS ve medyanın tarayıcıda oynatılması olmak üzere, bu işlevselliğe uzak içerikle erişilmesine olanak tanıyan çok sayıda uygulama vardır.
Bu sorun, medya sunucusu hizmeti bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Mediaserver hizmetinin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.
Bu sorun daha önce bildirilen CVE-2015-3824 (ANDROID-20923261) ile ilgilidir. Orijinal güvenlik güncelleştirmesi, başlangıçta bildirilen bu sorunun bir çeşidini gidermek için yeterli değildi.
| CVE | AOSP bağlantılarıyla ilgili hata | Şiddet | Etkilenen Sürümler |
|---|---|---|---|
| CVE-2015-3864 | ANDROID-23034759 | Kritik | 5.1 ve altı |
Çekirdekte Yükselme Ayrıcalığı Güvenlik Açığı
Linux çekirdeğinin ping yuvalarını işlemesindeki ayrıcalık yükselmesi güvenlik açığı, kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod çalıştırmasına izin verebilir.
Bu sorun, cihaz korumalarını atlayabilen ayrıcalıklı bir hizmette kod yürütme olasılığı nedeniyle Kritik önem derecesine sahip olarak derecelendirilmiştir; bu durum bazı cihazlarda kalıcı güvenlik ihlaline yol açma potansiyeline sahiptir (örn. sistem bölümünün yeniden yanıp sönmesini gerektirir).
Bu sorun ilk olarak 01 Mayıs 2015'te kamuya açık olarak tespit edildi. Bu güvenlik açığından yararlanma, cihaz sahibi tarafından cihazındaki donanım yazılımını değiştirmek için kullanılabilecek bir dizi "köklendirme" aracına dahil edilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Şiddet | Etkilenen Sürümler |
|---|---|---|---|
| CVE-2015-3636 | ANDROID-20770158 | Kritik | 5.1 ve altı |
Binder'da Ayrıcalık Güvenlik Açığı Yükselişi
Binder'daki bir ayrıcalık yükselmesi güvenlik açığı, kötü amaçlı bir uygulamanın, başka bir uygulamanın süreci bağlamında rastgele kod yürütmesine izin verebilir.
Bu sorun, kötü amaçlı bir uygulamanın üçüncü taraf uygulamalar tarafından erişilemeyen ayrıcalıklar elde etmesine olanak tanıdığı için Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Şiddet | Etkilenen Sürümler |
|---|---|---|---|
| CVE-2015-3845 | ANDROID-17312693 | Yüksek | 5.1 ve altı |
| CVE-2015-1528 | ANDROID-19334482 [ 2 ] | Yüksek | 5.1 ve altı |
Anahtar Deposunda Ayrıcalık Güvenlik Açığı Yükselişi
Anahtar Deposu'ndaki bir ayrıcalık yükselmesi güvenlik açığı, kötü amaçlı bir uygulamanın anahtar deposu hizmeti bağlamında rastgele kod yürütmesine izin verebilir. Bu, donanım destekli anahtarlar da dahil olmak üzere Keystore tarafından saklanan anahtarların yetkisiz kullanımına izin verebilir.
Bu sorun, üçüncü taraf bir uygulamanın erişemeyeceği ayrıcalıkları kazanmak için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Şiddet | Etkilenen Sürümler |
|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | Yüksek | 5.1 ve altı |
Bölgede Ayrıcalık Zafiyetinin Artması
Bölgedeki bir ayrıcalık yükselmesi güvenlik açığı, bir hizmete kötü amaçlı bir mesaj oluşturulması yoluyla, kötü amaçlı bir uygulamanın hedef hizmet bağlamında rastgele kod çalıştırmasına izin verebilir.
Bu sorun, üçüncü taraf bir uygulamanın erişemeyeceği ayrıcalıkları kazanmak için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Şiddet | Etkilenen Sürümler |
|---|---|---|---|
| CVE-2015-3849 | ANDROID-20883006 [ 2 ] | Yüksek | 5.1 ve altı |
SMS'de Ayrıcalık Yükselmesi güvenlik açığı, bildirimin atlanmasına olanak tanır
Android'in SMS mesajlarını işleme biçimindeki bir ayrıcalık yükselmesi güvenlik açığı, kötü amaçlı bir uygulamanın, premium tarifeli SMS uyarı bildirimini atlayan bir SMS mesajı göndermesine olanak sağlayabilir.
Bu sorun, üçüncü taraf bir uygulamanın erişemeyeceği ayrıcalıkları kazanmak için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Şiddet | Etkilenen Sürümler |
|---|---|---|---|
| CVE-2015-3858 | ANDROID-22314646 | Yüksek | 5.1 ve altı |
Kilit Ekranında Ayrıcalık Güvenlik Açığı Yükselişi
Kilit Ekranı'ndaki bir ayrıcalık yükselmesi güvenlik açığı, kötü niyetli bir kullanıcının kilit ekranının çökmesine neden olarak kilit ekranını atlamasına olanak tanıyabilir. Bu sorun yalnızca Android 5.0 ve 5.1'de güvenlik açığı olarak sınıflandırılmaktadır. Sistem Kullanıcı Arayüzünün 4.4'te benzer şekilde kilit ekranından çökmesine neden olmak mümkün olsa da, ana ekrana erişilemiyor ve kurtarma için cihazın yeniden başlatılması gerekiyor.
Bu sorun, bir cihaza fiziksel erişimi olan birinin, cihazın sahibi izinleri onaylamadan üçüncü taraf uygulamaları yüklemesine olanak tanıdığı için Orta önem derecesi olarak derecelendirilmiştir. Ayrıca saldırganın iletişim verilerini, telefon kayıtlarını, SMS mesajlarını ve normalde "tehlikeli" düzeyde izinle korunan diğer verileri görüntülemesine de olanak tanıyabilir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Şiddet | Etkilenen Sürümler |
|---|---|---|---|
| CVE-2015-3860 | ANDROID-22214934 | Ilıman | 5.1 ve 5.0 |
Mediaserver'da Hizmet Reddi Güvenlik Açığı
Medya sunucusundaki hizmet reddi güvenlik açığı, yerel bir saldırganın etkilenen cihaza erişimi geçici olarak engellemesine olanak tanıyabilir.
Kullanıcı, bu sorundan yararlanan kötü amaçlı bir uygulamayı kaldırmak için güvenli modda yeniden başlatabildiğinden, bu sorun Düşük önem derecesi olarak derecelendirilmiştir. Mediaserver'ın kötü amaçlı dosyayı web veya MMS üzerinden uzaktan işlemesine neden olmak da mümkündür; bu durumda mediaserver işlemi çöker ve cihaz kullanılabilir durumda kalır.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Şiddet | Etkilenen Sürümler |
|---|---|---|---|
| CVE-2015-3861 | ANDROID-21296336 | Düşük | 5.1 ve altı |