Yayınlanma Tarihi 05 Ekim 2015 | 28 Nisan 2016'da güncellendi
Android Güvenlik Bülteni Aylık Sürüm sürecimizin bir parçası olarak kablosuz (OTA) güncelleme aracılığıyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı görüntüleri de Google Geliştirici sitesinde yayınlandı. LMY48T veya sonraki sürümler (LMY48W gibi) ve 1 Ekim 2015 veya sonraki Güvenlik Düzeltme Eki Düzeyine sahip Android M sürümleri bu sorunları giderir. Güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın.
İş ortakları bu sorunlarla ilgili olarak 10 Eylül 2015'te veya daha önce bilgilendirildi. Bu sorunlara yönelik kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlandı.
Bu sorunlardan en ciddi olanı, etkilenen bir cihazda medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden fazla yöntemle uzaktan kod yürütülmesine olanak tanıyan Kritik bir güvenlik açığıdır. Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.
Yeni bildirilen bu sorunların aktif müşteri istismarına ilişkin hiçbir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Azaltıcı Önlemler bölümüne bakın. Tüm müşterilerimizi cihazlarına yönelik bu güncellemeleri kabul etmeye teşvik ediyoruz.
Azaltmalar
Bu , Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltımların bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.
- Android platformunun daha yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorundan yararlanmayı daha da zorlaştırıyor. Tüm kullanıcılarımızı mümkün olduğunca Android'in en son sürümüne güncelleme yapmaya teşvik ediyoruz.
- Android Güvenlik ekibi, yüklenmek üzere olan potansiyel zararlı uygulamalar hakkında uyarı verecek olan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Cihaz rootlama araçları Google Play'de yasaktır. Google Play dışından uygulama yükleyen kullanıcıları korumak için Uygulamaları Doğrula özelliği varsayılan olarak etkindir ve kullanıcıları bilinen köklendirme uygulamaları konusunda uyarır. Uygulamaları Doğrula, ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaları tanımlamaya ve yüklemesini engellemeye çalışır. Böyle bir uygulama zaten kuruluysa Verify Apps kullanıcıyı bilgilendirecek ve bu tür uygulamaları kaldırmaya çalışacaktır.
- Google, medyanın savunmasız süreçlere (medya sunucusu gibi) otomatik olarak aktarılmaması için Hangouts ve Messenger uygulamalarını uygun şekilde güncelledi.
Teşekkür
Bu araştırmacılara katkılarından dolayı teşekkür ederiz:
- Brennan Lautner: CVE-2015-3863
- Qihoo 360'tan C0RE Ekibinden Chiachih Wu ve Xuxian Jiang: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
- Qihoo 360'tan C0RE Ekibinden Yajin Zhou, Lei Wu ve Xuxian Jiang: CVE-2015-3865
- Copperhead Güvenlik'ten Daniel Micay (daniel.micay@copperhead.co): CVE-2015-3875
- Alibaba Mobil Güvenlik Ekibinin dragonltx'i: CVE-2015-6599
- Google Project Zero'dan Ian Beer ve Steven Vittitoe: CVE-2015-6604
- Programa STIC'ten Joaquín Rinaudo (@xeroxnir) ve Iván Arce (@4Dgifts), Fundación Dr. Manuel Sadosky, Buenos Aires Arjantin: CVE-2015-3870
- Zimperium'dan Josh Drake: CVE-2015-3876, CVE-2015-6602
- Exodus Intelligence'tan Jordan Gruskovnjak (@jgrusko): CVE-2015-3867
- Trend Micro'dan Peter Pi: CVE-2015-3872, CVE-2015-3871
- Qihoo 360 Technology Co. Ltd'den Ping Li: CVE-2015-3878
- Yedi Shen: CVE-2015-6600, CVE-2015-3847
- Baidu X-Team'den Wangtao(neobyte): CVE-2015-6598
- Trend Micro Inc.'den Wish Wu (@wish_wu): CVE-2015-3823
- JR-Center u'smile'dan Michael Roland, Uygulamalı Bilimler Üniversitesi, Yukarı Avusturya/ Hagenberg: CVE-2015-6606
Bu bültende düzeltilen çeşitli sorunları bildirdikleri için Chrome Güvenlik Ekibi'ne, Google Güvenlik Ekibi'ne, Project Zero'ya ve Google'daki diğer kişilere de katkılarından dolayı teşekkür etmek isteriz.
Güvenlik Açığı Ayrıntıları
Aşağıdaki bölümlerde, 2015-10-01 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, ciddiyet gerekçesi ve CVE, ilgili hata, önem derecesi, etkilenen sürümler ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren AOSP değişikliğini hata kimliğine bağladık. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek AOSP referansları hata kimliğini takip eden numaralara bağlanır.
Libstagefright'ta Uzaktan Kod Yürütme Güvenlik Açıkları
Libstagefright'ta, bir saldırganın medya dosyası ve özel hazırlanmış bir dosyanın verilerinin işlenmesi sırasında bellek bozulmasına ve medya sunucusu hizmetinde uzaktan kod yürütülmesine neden olmasına olanak verebilecek güvenlik açıkları mevcuttur.
Bu sorunlar, ayrıcalıklı bir hizmet olarak uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Etkilenen bileşenler, ses ve video akışlarının yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara da erişebilir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Şiddet | Etkilenen sürümler | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-3873 | ANDROID-20674086 [ 2 , 3 , 4 ] | Kritik | 5.1 ve altı | Google Dahili |
| ANDROID-20674674 [ 2 , 3 , 4 ] | ||||
| ANDROID-20718524 | ||||
| ANDROID-21048776 | ||||
| ANDROID-21443020 | ||||
| ANDROID-21814993 | ||||
| ANDROID-22008959 | ||||
| ANDROID-22077698 | ||||
| ANDROID-22388975 | ||||
| ANDROID-22845824 | ||||
| ANDROID-23016072 | ||||
| ANDROID-23247055 | ||||
| ANDROID-23248776 | ||||
| ANDROID-20721050 | Kritik | 5.0 ve 5.1 | Google Dahili | |
| CVE-2015-3823 | ANDROID-21335999 | Kritik | 5.1 ve altı | 20 Mayıs 2015 |
| CVE-2015-6600 | ANDROID-22882938 | Kritik | 5.1 ve altı | 31 Temmuz 2015 |
| CVE-2015-6601 | ANDROID-22935234 | Kritik | 5.1 ve altı | 3 Ağu 2015 |
| CVE-2015-3869 | ANDROID-23036083 | Kritik | 5.1 ve altı | 4 Ağu 2015 |
| CVE-2015-3870 | ANDROID-22771132 | Kritik | 5.1 ve altı | 5 Ağu 2015 |
| CVE-2015-3871 | ANDROID-23031033 | Kritik | 5.1 ve altı | 6 Ağu 2015 |
| CVE-2015-3868 | ANDROID-23270724 | Kritik | 5.1 ve altı | 6 Ağu 2015 |
| CVE-2015-6604 | ANDROID-23129786 | Kritik | 5.1 ve altı | 11 Ağu 2015 |
| CVE-2015-3867 | ANDROID-23213430 | Kritik | 5.1 ve altı | 14 Ağustos 2015 |
| CVE-2015-6603 | ANDROID-23227354 | Kritik | 5.1 ve altı | 15 Ağustos 2015 |
| CVE-2015-3876 | ANDROID-23285192 | Kritik | 5.1 ve altı | 15 Ağustos 2015 |
| CVE-2015-6598 | ANDROID-23306638 | Kritik | 5.1 ve altı | 18 Ağustos 2015 |
| CVE-2015-3872 | ANDROID-23346388 | Kritik | 5.1 ve altı | 19 Ağustos 2015 |
| CVE-2015-6599 | ANDROID-23416608 | Kritik | 5.1 ve altı | 21 Ağustos 2015 |
Sonivox'ta Uzaktan Kod Yürütme Güvenlik Açıkları
Sonivox'ta, bir saldırganın özel hazırlanmış bir dosyanın medya dosyası işlenmesi sırasında bellek bozulmasına ve medya sunucusu hizmetinde uzaktan kod yürütülmesine neden olabilecek güvenlik açıkları mevcuttur. Bu sorun, ayrıcalıklı bir hizmet olarak uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Etkilenen bileşenin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemeyeceği ayrıcalıklara erişimi vardır.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Şiddet | Etkilenen sürümler | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-3874 | ANDROID-23335715 | Kritik | 5.1 ve altı | Çoklu |
| ANDROID-23307276 [ 2 ] | ||||
| ANDROID-23286323 |
Libutils'te Uzaktan Kod Yürütme Güvenlik Açıkları
Ses dosyası işlemede genel bir kitaplık olan libutils'teki güvenlik açıkları mevcuttur. Bu güvenlik açıkları, bir saldırganın özel hazırlanmış bir dosyayı işlerken bellek bozulmasına ve mediaserver gibi bu kitaplığı kullanan bir hizmette uzaktan kod yürütülmesine neden olmasına olanak verebilir.
Etkilenen işlevsellik, bir uygulama API'si olarak sağlanır ve en önemlisi, MMS ve medyanın tarayıcıda oynatılması gibi, uzaktan içerikle erişilmesine izin veren birden fazla uygulama vardır. Bu sorun, ayrıcalıklı bir hizmette uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Etkilenen bileşenin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi var.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Şiddet | Etkilenen sürümler | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-3875 | ANDROID-22952485 | Kritik | 5.1 ve altı | 15 Ağustos 2015 |
| CVE-2015-6602 | ANDROID-23290056 [ 2 ] | Kritik | 5.1 ve altı | 15 Ağustos 2015 |
Skia'da Uzaktan Kod Yürütme Güvenlik Açığı
Özel hazırlanmış bir medya dosyası işlenirken Skia bileşenindeki bir güvenlik açığından yararlanılabilir ve bu, ayrıcalıklı bir işlemde belleğin bozulmasına ve uzaktan kod yürütülmesine neden olabilir. Bu sorun, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden fazla saldırı yöntemi aracılığıyla uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Şiddet | Etkilenen sürümler | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-3877 | ANDROID-20723696 | Kritik | 5.1 ve altı | 30 Temmuz 2015 |
LibFLAC'ta Uzaktan Kod Yürütme Güvenlik Açıkları
LibFLAC'ta medya dosyası işlemede bir güvenlik açığı bulunmaktadır. Bu güvenlik açıkları, bir saldırganın özel hazırlanmış bir dosyayı işlerken bellek bozulmasına ve uzaktan kod yürütülmesine neden olmasına olanak verebilir.
Etkilenen işlevsellik bir uygulama API'si olarak sağlanır ve medyanın tarayıcıda oynatılması gibi uzak içerikle bu işlevselliğe erişilmesine olanak tanıyan birden fazla uygulama vardır. Bu sorun, ayrıcalıklı bir hizmette uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Etkilenen bileşenin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi var.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Şiddet | Etkilenen sürümler | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2014-9028 | ANDROID-18872897 [ 2 ] | Kritik | 5.1 ve altı | 14 Kasım 2014 |
KeyStore'da Ayrıcalık Güvenlik Açığı Yükselişi
KeyStore bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, KeyStore API'lerine çağrı yapılırken kötü amaçlı bir uygulama tarafından kullanılabilir. Bu uygulama, KeyStore bağlamında belleğin bozulmasına ve rastgele kod yürütülmesine neden olabilir. Bu sorun, üçüncü taraf bir uygulamanın doğrudan erişemediği ayrıcalıklara erişmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Şiddet | Etkilenen sürümler | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | Yüksek | 5.1 ve altı | 28 Temmuz 2015 |
Medya Oynatıcı Çerçevesinde Ayrıcalık Güvenlik Açığı Yükselişi
Medya oynatıcı çerçeve bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, kötü amaçlı bir uygulamanın medya sunucusu bağlamında rastgele kod yürütmesine izin verebilir. Bu sorun, kötü amaçlı bir uygulamanın üçüncü taraf bir uygulamanın erişemediği ayrıcalıklara erişmesine izin verdiği için Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Şiddet | Etkilenen sürümler | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-3879 | ANDROID-23223325 [2]* | Yüksek | 5.1 ve altı | 14 Ağustos 2015 |
* Bu konuya ilişkin ikinci bir değişiklik AOSP'de bulunmamaktadır. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Android Çalışma Zamanında Ayrıcalık Güvenlik Açığı Yükselişi
Android Çalışma Zamanı'ndaki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, Üçüncü taraf bir uygulama tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Şiddet | Etkilenen sürümler | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-3865 | ANDROID-23050463 [ 2 ] | Yüksek | 5.1 ve altı | 8 Ağu 2015 |
Mediaserver'da Ayrıcalık Güvenlik Açıklarının Yükselmesi
Mediaserver'da, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir yerel hizmet bağlamında rastgele kod yürütmesine olanak tanıyan çok sayıda güvenlik açığı vardır. Bu sorun, üçüncü taraf bir uygulamanın doğrudan erişemediği ayrıcalıklara erişmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Şiddet | Etkilenen sürümler | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-6596 | ANDROID-20731946 | Yüksek | 5.1 ve altı | Çoklu |
| ANDROID-20719651* | ||||
| ANDROID-19573085 | Yüksek | 5.0 - 6.0 | Google Dahili |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Güvenli Öğe Değerlendirme Kitinde Ayrıcalık Güvenlik Açığı Yükselişi
SEEK (Secure Element Evaluation Kit, diğer adıyla SmartCard API) eklentisindeki bir güvenlik açığı, bir uygulamanın talep etmeden yüksek izinler almasına izin verebilir. Bu sorun, Üçüncü taraf uygulamalar tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Şiddet | Etkilenen sürümler | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-6606 | ANDROID-22301786* | Yüksek | 5.1 ve altı | 30 Haziran 2015 |
* Bu sorunu gideren yükseltme Android için SEEK sitesinde bulunmaktadır.
Medya Projeksiyonunda Ayrıcalık Zafiyetinin Yükselmesi
Medya Projeksiyonu bileşenindeki bir güvenlik açığı, kullanıcı verilerinin ekran anlık görüntüleri biçiminde ifşa edilmesine izin verebilir. Sorun, işletim sisteminin aşırı uzun uygulama adlarına izin vermesinin bir sonucudur. Bu uzun adların yerel kötü amaçlı bir uygulama tarafından kullanılması, ekran kaydına ilişkin bir uyarının kullanıcı tarafından görülmesini engelleyebilir. Bu sorun, uygunsuz şekilde yükseltilmiş izinler almak için kullanılabildiğinden Orta önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Şiddet | Etkilenen sürümler | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-3878 | ANDROID-23345192 | Ilıman | 5.0 - 6.0 | 18 Ağustos 2015 |
Bluetooth'ta Ayrıcalık Güvenlik Açığı Yükselişi
Android'in Bluetooth bileşenindeki bir güvenlik açığı, bir uygulamanın depolanan SMS mesajlarını silmesine izin verebilir. Bu sorun, uygunsuz şekilde yükseltilmiş izinler almak için kullanılabildiğinden Orta önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Şiddet | Etkilenen sürümler | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-3847 | ANDROID-22343270 | Ilıman | 5.1 ve altı | 8 Temmuz 2015 |
SQLite'ta Ayrıcalık Açıklarının Yükselmesi
SQLite ayrıştırma motorunda birden fazla güvenlik açığı keşfedildi. Bu güvenlik açıkları, başka bir uygulamanın veya hizmetin rastgele SQL sorguları yürütmesine neden olabilecek yerel bir uygulama tarafından kullanılabilir. Başarılı bir şekilde kullanılması, hedef uygulama bağlamında rastgele kod yürütülmesine neden olabilir.
8 Nisan 2015'te AOSP main'e SQLite sürümünü 3.8.9'a yükselten bir düzeltme yüklendi: https://android-review.googlesource.com/#/c/145961/
Bu bülten, Android 4.4 (SQLite 3.7.11) ve Android 5.0 ve 5.1 (SQLite 3.8.6) SQLite sürümleri için yamalar içerir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Şiddet | Etkilenen sürümler | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-6607 | ANDROID-20099586 | Ilıman | 5.1 ve altı | 7 Nisan 2015 Kamuya Açıkça Bilinen |
Mediaserver'daki Hizmet Reddi Güvenlik Açıkları
Mediaserver'da, mediaserver işlemini çökerterek Hizmet Reddine neden olabilecek birden fazla güvenlik açığı vardır. Bu sorunlar, etkinin medya sunucusunun çökmesi ve bunun sonucunda yerel geçici hizmet reddine yol açması nedeniyle Düşük önem derecesine sahip olarak derecelendirilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Şiddet | Etkilenen sürümler | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-6605 | ANDROID-20915134 | Düşük | 5.1 ve altı | Google Dahili |
| ANDROID-23142203 | ||||
| ANDROID-22278703 | Düşük | 5.0 - 6.0 | Google Dahili | |
| CVE-2015-3862 | ANDROID-22954006 | Düşük | 5.1 ve altı | 2 Ağu 2015 |
Revizyonlar
- 05 Ekim 2015: Bülten yayınlandı.
- 07 Ekim 2015: Bülten AOSP referanslarıyla güncellendi. CVE-2014-9028 için hata referansları açıklandı.
- 12 Ekim 2015: CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862 için bildirimler güncellendi.
- 22 Ocak 2016: CVE-2015-6606 için bildirimler güncellendi.
- 28 Nisan 2016: CVE-2015-6603 eklendi ve CVE-2014-9028 ile yazım hatası düzeltildi.