פורסם ב-05 באוקטובר 2015 | עודכן ב-28 באפריל, 2016
פרסמנו עדכון אבטחה למכשירי Nexus באמצעות עדכון אויר (OTA) כחלק מתהליך השחרור החודשי של עלון האבטחה של Android. תמונות הקושחה של Nexus שוחררו גם לאתר Google Developer . בונה LMY48T ואילך (כגון LMY48W) ו-Android M עם רמת תיקון אבטחה של 1 באוקטובר 2015 ואילך מטפלים בבעיות אלה. עיין בתיעוד של Nexus לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה.
שותפים קיבלו הודעה על בעיות אלה ב-10 בספטמבר 2015 או קודם לכן. תיקוני קוד מקור עבור בעיות אלה שוחררו למאגר Android Open Source Project (AOSP).
החמורה ביותר מבין הבעיות הללו היא פגיעות אבטחה קריטית שעלולה לאפשר ביצוע קוד מרחוק במכשיר מושפע באמצעות מספר שיטות כגון דואר אלקטרוני, גלישה באינטרנט ו-MMS בעת עיבוד קובצי מדיה. הערכת החומרה מבוססת על ההשפעה שאולי תהיה לניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה וההפחתות השירות מושבתות למטרות פיתוח או אם יעקפו בהצלחה.
לא קיבלנו דיווחים על ניצול פעיל של לקוחות של בעיות אלה שדווחו לאחרונה. עיין בסעיף ההקלות לפרטים על הגנות פלטפורמת האבטחה של אנדרואיד והגנות שירות כגון SafetyNet, המשפרות את האבטחה של פלטפורמת אנדרואיד. אנו מעודדים את כל הלקוחות לקבל עדכונים אלה למכשירים שלהם.
הקלות
זהו סיכום של ההקלות שמספקות פלטפורמת האבטחה אנדרואיד והגנות שירות כגון SafetyNet. יכולות אלו מפחיתות את הסבירות שניתן יהיה לנצל בהצלחה פרצות אבטחה באנדרואיד.
- ניצול בעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
- צוות אבטחת אנדרואיד עוקב באופן פעיל אחר שימוש לרעה עם Verify Apps ו- SafetyNet אשר יזהירו מפני אפליקציות שעלולות להיות מזיקים שעומדים להתקין. כלי השתרשות מכשירים אסורים ב-Google Play. כדי להגן על משתמשים שמתקינים יישומים מחוץ ל-Google Play, Verify Apps מופעל כברירת מחדל והוא יזהיר משתמשים לגבי יישומי השתרשות ידועים. אימות אפליקציות מנסה לזהות ולחסום התקנה של יישומים זדוניים ידועים המנצלים פגיעות של הסלמה של הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע למשתמש וינסה להסיר אפליקציות כאלה.
- בהתאם למתאים, Google עדכנה את יישומי ה-Hangouts וה-Messenger כך שהמדיה לא תועבר אוטומטית לתהליכים פגיעים (כגון שרת מדיה).
תודות
ברצוננו להודות לחוקרים אלו על תרומתם:
- ברנן לאוטנר: CVE-2015-3863
- Chiachih Wu ו-Xuxian Jiang מ-C0RE Team מ-Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
- Yajin Zhou, Lei Wu ו-Xuxian Jiang מצוות C0RE מ-Qihoo 360: CVE-2015-3865
- דניאל מיקאי (daniel.micay@copperhead.co) ב-Copperhead Security: CVE-2015-3875
- dragonltx של צוות האבטחה הנייד של Alibaba: CVE-2015-6599
- איאן באר וסטיבן ויטיטו מ-Google Project Zero: CVE-2015-6604
- Joaquin Rinaudo (@xeroxnir) ואיבן Arce (@4Dgifts) מ-Programma STIC ב-Fundación Dr. Manuel Sadosky, בואנוס איירס ארגנטינה: CVE-2015-3870
- ג'וש דרייק מזימפריום: CVE-2015-3876, CVE-2015-6602
- ג'ורדן גרוסקובניאק ממודיעין Exodus (@jgrusko): CVE-2015-3867
- Peter Pi של Trend Micro: CVE-2015-3872, CVE-2015-3871
- פינג לי מ-Qihoo 360 Technology Co. Ltd: CVE-2015-3878
- שבעה שן: CVE-2015-6600, CVE-2015-3847
- Wangtao (neobyte) של Baidu X-Team: CVE-2015-6598
- Wish Wu של Trend Micro Inc. (@wish_wu): CVE-2015-3823
- מייקל רולנד מ-JR-Center u'smile באוניברסיטה למדעים שימושיים, אוסטריה עילית/ האגנברג: CVE-2015-6606
כמו כן, ברצוננו להודות לתרומות של צוות האבטחה של Chrome, צוות האבטחה של Google, Project Zero ואנשים אחרים ב-Google על הדיווח על מספר בעיות שתוקנו בעלון זה.
פרטי פגיעות אבטחה
בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2015-10-01. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הבאג המשויך, החומרה, הגרסאות המושפעות ותאריך הדיווח. היכן שהוא זמין, קישרנו את השינוי ב-AOSP שטיפל בבעיה למזהה הבאג. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות של AOSP מקושרות למספרים בעקבות מזהה הבאג.
פגיעויות של ביצוע קוד מרחוק ב-libstagefright
קיימות פגיעויות ב-libstagefright שעלולות לאפשר לתוקף, במהלך קבצי מדיה ועיבוד נתונים של קובץ בעל מבנה מיוחד, לגרום לפגיעה בזיכרון ולביצוע קוד מרחוק בשירות שרת המדיה.
בעיות אלו מדורגות כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק כשירות מועדף. לרכיבים המושפעים יש גישה לזרמי אודיו ווידאו, כמו גם גישה להרשאות שיישומי צד שלישי אינם יכולים לגשת בדרך כלל.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-3873 | ANDROID-20674086 [ 2 , 3 , 4 ] | קריטי | 5.1 ומטה | Google פנימי |
| ANDROID-20674674 [ 2 , 3 , 4 ] | ||||
| ANDROID-20718524 | ||||
| ANDROID-21048776 | ||||
| ANDROID-21443020 | ||||
| ANDROID-21814993 | ||||
| ANDROID-22008959 | ||||
| ANDROID-22077698 | ||||
| ANDROID-22388975 | ||||
| ANDROID-22845824 | ||||
| ANDROID-23016072 | ||||
| ANDROID-23247055 | ||||
| ANDROID-23248776 | ||||
| ANDROID-20721050 | קריטי | 5.0 ו-5.1 | Google פנימי | |
| CVE-2015-3823 | ANDROID-21335999 | קריטי | 5.1 ומטה | 20 במאי 2015 |
| CVE-2015-6600 | ANDROID-22882938 | קריטי | 5.1 ומטה | 31 ביולי 2015 |
| CVE-2015-6601 | ANDROID-22935234 | קריטי | 5.1 ומטה | 3 באוגוסט 2015 |
| CVE-2015-3869 | ANDROID-23036083 | קריטי | 5.1 ומטה | 4 באוגוסט 2015 |
| CVE-2015-3870 | ANDROID-22771132 | קריטי | 5.1 ומטה | 5 באוגוסט 2015 |
| CVE-2015-3871 | ANDROID-23031033 | קריטי | 5.1 ומטה | 6 באוגוסט 2015 |
| CVE-2015-3868 | ANDROID-23270724 | קריטי | 5.1 ומטה | 6 באוגוסט 2015 |
| CVE-2015-6604 | ANDROID-23129786 | קריטי | 5.1 ומטה | 11 באוגוסט 2015 |
| CVE-2015-3867 | ANDROID-23213430 | קריטי | 5.1 ומטה | 14 באוגוסט 2015 |
| CVE-2015-6603 | ANDROID-23227354 | קריטי | 5.1 ומטה | 15 באוגוסט 2015 |
| CVE-2015-3876 | ANDROID-23285192 | קריטי | 5.1 ומטה | 15 באוגוסט 2015 |
| CVE-2015-6598 | ANDROID-23306638 | קריטי | 5.1 ומטה | 18 באוגוסט 2015 |
| CVE-2015-3872 | ANDROID-23346388 | קריטי | 5.1 ומטה | 19 באוגוסט 2015 |
| CVE-2015-6599 | ANDROID-23416608 | קריטי | 5.1 ומטה | 21 באוגוסט 2015 |
פגיעויות של ביצוע קוד מרחוק ב-Sonivox
קיימות פגיעויות ב-Sonivox שעלולות לאפשר לתוקף, במהלך עיבוד קבצי מדיה של קובץ בעל מבנה מיוחד, לגרום לפגיעה בזיכרון ולביצוע קוד מרחוק בשירות המדיה-שרת. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק כשירות מועדף. לרכיב המושפע יש גישה לזרמי אודיו ווידאו וכן גישה להרשאות שיישומי צד שלישי אינם יכולים לגשת בדרך כלל.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-3874 | ANDROID-23335715 | קריטי | 5.1 ומטה | מרובות |
| ANDROID-23307276 [ 2 ] | ||||
| ANDROID-23286323 |
פגיעויות של ביצוע קוד מרחוק ב-libutils
פגיעויות בליבוטילס, ספרייה גנרית, קיימות בעיבוד קבצי אודיו. פגיעויות אלו עלולות לאפשר לתוקף, במהלך עיבוד של קובץ בעל מבנה מיוחד, לגרום לפגיעה בזיכרון ולביצוע קוד מרחוק בשירות המשתמש בספרייה זו, כגון שרת מדיה.
הפונקציונליות המושפעת מסופקת כ-API של יישומים וקיימות מספר אפליקציות המאפשרות להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת מדיה בדפדפן. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק בשירות מיוחס. לרכיב המושפע יש גישה לזרמי אודיו ווידאו וכן גישה להרשאות שאפליקציות צד שלישי אינן יכולות לגשת אליהן בדרך כלל.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-3875 | ANDROID-22952485 | קריטי | 5.1 ומטה | 15 באוגוסט 2015 |
| CVE-2015-6602 | ANDROID-23290056 [ 2 ] | קריטי | 5.1 ומטה | 15 באוגוסט 2015 |
פגיעות של ביצוע קוד מרחוק בסקיה
פגיעות ברכיב Skia עשויה להיות ממונפת בעת עיבוד קובץ מדיה בעל מבנה מיוחד, שעלולה להוביל לפגיעה בזיכרון ולביצוע קוד מרחוק בתהליך מיוחס. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק באמצעות שיטות התקפה מרובות כגון דואר אלקטרוני, גלישה באינטרנט ו-MMS בעת עיבוד קבצי מדיה.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-3877 | ANDROID-20723696 | קריטי | 5.1 ומטה | 30 ביולי 2015 |
פגיעויות של ביצוע קוד מרחוק ב-libFLAC
פגיעות ב-libFLAC קיימת בעיבוד קבצי מדיה. פגיעויות אלו עלולות לאפשר לתוקף, במהלך עיבוד של קובץ בעל מבנה מיוחד, לגרום לפגיעה בזיכרון ולביצוע קוד מרחוק.
הפונקציונליות המושפעת מסופקת כ-API של אפליקציה וישנן מספר יישומים המאפשרים להגיע אליה באמצעות תוכן מרוחק, כגון הפעלת מדיה בדפדפן. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק בשירות מיוחס. לרכיב המושפע יש גישה לזרמי אודיו ווידאו וכן גישה להרשאות שאפליקציות צד שלישי אינן יכולות לגשת אליהן בדרך כלל.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2014-9028 | ANDROID-18872897 [ 2 ] | קריטי | 5.1 ומטה | 14 בנובמבר 2014 |
הפגיעות של העלאת הרשאות ב-KeyStore
הפגיעות של העלאת הרשאות ברכיב KeyStore עשויה להיות ממונפת על ידי יישום זדוני בעת קריאה לממשקי ה-API של KeyStore. יישום זה עלול לגרום לפגיעה בזיכרון ולביצוע קוד שרירותי בהקשר של KeyStore. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי לגשת להרשאות שאינן נגישות ישירות לאפליקציה של צד שלישי.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | גָבוֹהַ | 5.1 ומטה | 28 ביולי 2015 |
פגיעות העלאת הרשאות במסגרת Media Player
הפגיעות של העלאת הרשאות ברכיב המסגרת של נגן המדיה עלולה לאפשר ליישום זדוני להפעיל קוד שרירותי בהקשר של שרת המדיה. בעיה זו מדורגת כחומרה גבוהה מכיוון שהיא מאפשרת לאפליקציה זדונית לגשת להרשאות שאינן נגישות לאפליקציה של צד שלישי.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-3879 | ANDROID-23223325 [2]* | גָבוֹהַ | 5.1 ומטה | 14 באוגוסט 2015 |
* שינוי שני לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות העלאת הרשאות בזמן ריצה של אנדרואיד
פגיעות העלאת הרשאות ב-Android Runtime יכולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של יישום מערכת מוגברת. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-3865 | ANDROID-23050463 [ 2 ] | גָבוֹהַ | 5.1 ומטה | 8 באוגוסט 2015 |
העלאת נקודות תורפה ב-Mediaserver
ישנן פגיעויות מרובות בשרת מדיה שיכולות לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של שירות מקורי מועדף. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי לגשת להרשאות שאינן נגישות ישירות לאפליקציה של צד שלישי.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6596 | ANDROID-20731946 | גָבוֹהַ | 5.1 ומטה | מרובות |
| ANDROID-20719651* | ||||
| ANDROID-19573085 | גָבוֹהַ | 5.0 - 6.0 | Google פנימי |
* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות בערכת הערכת אלמנט מאובטח
פגיעות בתוסף SEEK (Secure Element Evaluation Kit, הידוע גם בשם SmartCard API) עלולה לאפשר לאפליקציה לקבל הרשאות מוגברות מבלי לבקש אותן. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות גבוהות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישומי צד שלישי.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6606 | ANDROID-22301786* | גָבוֹהַ | 5.1 ומטה | 30 ביוני 2015 |
* השדרוג המטפל בבעיה זו נמצא באתר SEEK for Android .
הפגיעות של העלאת הרשאות בהקרנת מדיה
פגיעות ברכיב Media Projection יכולה לאפשר חשיפת נתוני משתמש בצורה של צילומי מסך. הבעיה נובעת מכך שמערכת ההפעלה מאפשרת שמות אפליקציות ארוכים מדי. השימוש בשמות ארוכים אלו על ידי יישום זדוני מקומי עשוי למנוע מהמשתמש אזהרה על הקלטת מסך. בעיה זו מדורגת כחומרה בינונית מכיוון שניתן להשתמש בה כדי לקבל הרשאות מוגברות באופן שגוי.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-3878 | ANDROID-23345192 | לְמַתֵן | 5.0 - 6.0 | 18 באוגוסט 2015 |
פגיעות העלאת הרשאות ב-Bluetooth
פגיעות ברכיב ה-Bluetooth של אנדרואיד עלולה לאפשר לאפליקציה למחוק הודעות SMS מאוחסנות. בעיה זו מדורגת כחומרה בינונית מכיוון שניתן להשתמש בה כדי לקבל הרשאות מוגברות באופן שגוי.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-3847 | ANDROID-22343270 | לְמַתֵן | 5.1 ומטה | 8 ביולי 2015 |
העלאת נקודות תורפה ב-SQLite
נקודות תורפה מרובות התגלו במנוע הניתוח של SQLite. פגיעויות אלו עשויות להיות ניתנות לניצול על ידי יישום מקומי שעלול לגרום ליישום או שירות אחר לבצע שאילתות SQL שרירותיות. ניצול מוצלח עלול לגרום לביצוע קוד שרירותי בהקשר של יישום היעד.
תיקון הועלה ל-AOSP main ב-8 באפריל 2015, ושדרוג גרסת SQLite ל-3.8.9: https://android-review.googlesource.com/#/c/145961/
עלון זה מכיל תיקונים עבור גרסאות SQLite באנדרואיד 4.4 (SQLite 3.7.11) ו-Android 5.0 ו-5.1 (SQLite 3.8.6).
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6607 | ANDROID-20099586 | לְמַתֵן | 5.1 ומטה | 7 באפריל, 2015 ידוע בציבור |
פגיעויות של מניעת שירות ב-Mediaserver
ישנן פגיעויות מרובות בשרת המדיה שעלולות לגרום למניעת שירות על ידי קריסת תהליך שרת המדיה. בעיות אלו מדורגות בדרגת חומרה נמוכה מכיוון שההשפעה נחווית על ידי קריסה של שרת המדיה וכתוצאה מכך מניעת שירות זמנית מקומית.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6605 | ANDROID-20915134 | נָמוּך | 5.1 ומטה | Google פנימי |
| ANDROID-23142203 | ||||
| ANDROID-22278703 | נָמוּך | 5.0 - 6.0 | Google פנימי | |
| CVE-2015-3862 | ANDROID-22954006 | נָמוּך | 5.1 ומטה | 2 באוגוסט 2015 |
תיקונים
- 5 באוקטובר 2015: פרסום עלון.
- 7 באוקטובר 2015: העלון עודכן עם הפניות ל-AOSP. הבהרת את הפניות הבאגים עבור CVE-2014-9028.
- 12 באוקטובר 2015: תודות מעודכנות עבור CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
- 22 בינואר 2016: תודות מעודכנות עבור CVE-2015-6606.
- 28 באפריל 2016: נוסף CVE-2015-6603 ותוקן שגיאת הקלדה עם CVE-2014-9028.