منتشر شده در 02 نوامبر 2015
ما یک بهروزرسانی امنیتی برای دستگاههای Nexus از طریق بهروزرسانی هوایی (OTA) به عنوان بخشی از فرآیند انتشار ماهانه بولتن امنیتی Android خود منتشر کردهایم. تصاویر سفتافزار Nexus نیز در سایت Google Developer منتشر شده است. بیلدهای LMY48X یا جدیدتر و Android Marshmallow با سطح وصله امنیتی 1 نوامبر 2015 یا جدیدتر این مشکلات را برطرف میکنند. برای جزئیات بیشتر به بخش پرسش ها و پاسخ های رایج مراجعه کنید.
شرکا در مورد این مسائل در تاریخ 5 اکتبر 2015 یا قبل از آن مطلع شدند. وصلههای کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) طی 48 ساعت آینده منتشر خواهند شد. ما این بولتن را با پیوندهای AOSP زمانی که در دسترس هستند، تجدید نظر خواهیم کرد.
شدیدترین این مشکلات یک آسیب پذیری امنیتی بحرانی است که می تواند اجرای کد از راه دور را در دستگاه آسیب دیده از طریق چندین روش مانند ایمیل، مرور وب و MMS هنگام پردازش فایل های رسانه ای فعال کند. ارزیابی شدت بر اساس تأثیری است که بهرهبرداری از آسیبپذیری احتمالاً روی دستگاه آسیبدیده میگذارد، با این فرض که پلتفرم و کاهش خدمات برای اهداف توسعه غیرفعال شده باشند یا اگر با موفقیت دور زده شوند.
ما هیچ گزارشی مبنی بر بهره برداری فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد محافظت از پلتفرم امنیتی اندروید و محافظت از خدمات مانند SafetyNet، که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش کاهش دهنده ها مراجعه کنید. ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.
کاهش
این خلاصهای از کاهشهای ارائهشده توسط پلتفرم امنیتی Android و محافظتهای خدماتی مانند SafetyNet است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.
- بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
- تیم امنیت Android با Verify Apps و SafetyNet که در مورد برنامههای بالقوه مضر در شرف نصب هشدار میدهند، به طور فعال در حال نظارت بر سوء استفاده است. ابزارهای روت کردن دستگاه در Google Play ممنوع است. برای محافظت از کاربرانی که برنامههای خارج از Google Play را نصب میکنند، Verify Apps به طور پیشفرض فعال است و به کاربران در مورد برنامههای روتشده شناخته شده هشدار میدهد. Verify Apps تلاش می کند تا نصب برنامه های مخرب شناخته شده ای را که از یک آسیب پذیری افزایش امتیاز سوء استفاده می کنند، شناسایی و مسدود کند. اگر چنین برنامهای قبلاً نصب شده باشد، Verify Apps به کاربر اطلاع میدهد و سعی میکند چنین برنامههایی را حذف کند.
- در صورت لزوم، برنامههای Google Hangouts و Messenger رسانهها را بهطور خودکار به فرآیندهایی مانند مدیا سرور منتقل نمیکنند.
سپاسگزاریها
مایلیم از این پژوهشگران به خاطر مشارکتشان تشکر کنیم:
- آبیشک آریا، الیور چانگ و مارتین باربلا، تیم امنیتی گوگل کروم: CVE-2015-6608
- دانیل میکای (daniel.micay@copperhead.co) در Copperhead Security: CVE-2015-6609
- Dongkwan Kim از آزمایشگاه امنیت سیستم، KAIST (dkay@kaist.ac.kr): CVE-2015-6614
- Hongil Kim از آزمایشگاه امنیت سیستم، KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
- جک تانگ از Trend Micro (@jacktang310): CVE-2015-6611
- پیتر پای از Trend Micro: CVE-2015-6611
- ناتالی سیلوانوویچ از Google Project Zero: CVE-2015-6608
- Qidan He (@flanker_hqd) و Wen Xu (@antlr7) از KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
- گوانگ گونگ (龚广) ( @oldfresher , higongguang@gmail.com) از Qihoo 360 Technology CC o.Ltd : CVE-2015-6612
- Seven Shen of Trend Micro: CVE-2015-6610
جزئیات آسیب پذیری امنیتی
در بخشهای زیر، جزئیات مربوط به هر یک از آسیبپذیریهای امنیتی را که در سطح وصله 01-11-2015 اعمال میشود، ارائه میکنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، اشکال مرتبط، شدت، نسخه های آسیب دیده و تاریخ گزارش شده وجود دارد. در صورت وجود، ما تغییر AOSP را که مشکل را حل میکند به شناسه اشکال مرتبط کردهایم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی AOSP به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.
آسیب پذیری های اجرای کد از راه دور در Mediaserver
در طول فایل رسانه و پردازش دادههای یک فایل ساختهشده خاص، آسیبپذیریهای موجود در مدیاسرور میتواند به مهاجم اجازه دهد که باعث خرابی حافظه و اجرای کد از راه دور به عنوان فرآیند سرور رسانهای شود.
عملکرد آسیبدیده بهعنوان بخش اصلی سیستمعامل ارائه میشود و برنامههای متعددی وجود دارد که امکان دسترسی به آن را با محتوای راه دور فراهم میکند، به ویژه MMS و مرورگر پخش رسانه.
این موضوع به دلیل امکان اجرای کد از راه دور در زمینه سرویس سرور رسانه، به عنوان یک شدت بحرانی رتبه بندی می شود. سرویس مدیا سرور به جریان های صوتی و تصویری و همچنین به امتیازاتی دسترسی دارد که برنامه های شخص ثالث معمولاً نمی توانند به آنها دسترسی داشته باشند.
| CVE | اشکال (ها) با پیوندهای AOSP | شدت | نسخه های تحت تأثیر | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2015-6608 | ANDROID-19779574 | بحرانی | 5.0، 5.1، 6.0 | گوگل داخلی |
| ANDROID-23680780 | ||||
| ANDROID-23876444 | ||||
| ANDROID-23881715 | بحرانی | 4.4، 5.0، 5.1، 6.0 | گوگل داخلی | |
| ANDROID-14388161 | بحرانی | 4.4 و 5.1 | گوگل داخلی | |
| ANDROID-23658148 | بحرانی | 5.0، 5.1، 6.0 | گوگل داخلی |
آسیب پذیری اجرای کد از راه دور در libutils
یک آسیب پذیری در libutils، یک کتابخانه عمومی، می تواند در طول پردازش فایل صوتی مورد سوء استفاده قرار گیرد. این آسیبپذیری میتواند به مهاجم اجازه دهد در طول پردازش یک فایل ساختهشده خاص، باعث خرابی حافظه و اجرای کد از راه دور شود.
عملکرد آسیبدیده بهعنوان یک API ارائه میشود و برنامههای متعددی وجود دارد که امکان دسترسی به آن را با محتوای راه دور فراهم میکند، به ویژه MMS و پخش رسانه از مرورگر. این مشکل به دلیل امکان اجرای کد از راه دور در یک سرویس ممتاز، به عنوان یک موضوع با شدت بحرانی رتبه بندی می شود. مؤلفه آسیبدیده به جریانهای صوتی و تصویری و همچنین به امتیازاتی دسترسی دارد که برنامههای شخص ثالث معمولاً نمیتوانند به آنها دسترسی داشته باشند.
| CVE | اشکال (ها) با پیوندهای AOSP | شدت | نسخه های تحت تأثیر | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2015-6609 | ANDROID-22953624 [ 2 ] | بحرانی | 6.0 و پایین تر | 3 اوت 2015 |
آسیب پذیری های افشای اطلاعات در Mediaserver
آسیبپذیریهای افشای اطلاعات در سرور رسانه وجود دارد که میتواند امکان دور زدن اقدامات امنیتی را برای افزایش دشواری مهاجمان در بهرهبرداری از پلتفرم فراهم کند.
| CVE | اشکال (ها) با پیوندهای AOSP | شدت | نسخه های تحت تأثیر | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2015-6611 | ANDROID-23905951 [ 2 ] [ 3 ] | بالا | 6.0 و پایین تر | 07 سپتامبر 2015 |
| ANDROID-23912202* | ||||
| ANDROID-23953967* | ||||
| ANDROID-23696300 | بالا | 6.0 و پایین تر | 31 اوت 2015 | |
| ANDROID-23600291 | بالا | 6.0 و پایین تر | 26 اوت 2015 | |
| ANDROID-23756261 [ 2 ] | بالا | 6.0 و پایین تر | 26 اوت 2015 | |
| ANDROID-23540907 [ 2 ] | بالا | 5.1 و پایین تر | 25 اوت 2015 | |
| ANDROID-23541506 | بالا | 6.0 و پایین تر | 25 اوت 2015 | |
| ANDROID-23284974* | ||||
| ANDROID-23542351* | ||||
| ANDROID-23542352* | ||||
| ANDROID-23515142 | بالا | 5.1 و پایین تر | 19 اوت 2015 |
* پچ این اشکال در سایر پیوندهای AOSP ارائه شده گنجانده شده است.
افزایش آسیب پذیری امتیاز در libstagefright
آسیب پذیری امتیازی در libstagefright افزایش یافته است که می تواند یک برنامه مخرب محلی را قادر سازد تا باعث خرابی حافظه و اجرای کد دلخواه در زمینه سرویس سرور رسانه شود. در حالی که این مشکل معمولاً به عنوان بحرانی رتبه بندی می شود، ما این موضوع را به عنوان شدت بالا ارزیابی کرده ایم زیرا احتمال کمتری وجود دارد که بتوان از راه دور از آن بهره برداری کرد.
| CVE | اشکال (ها) با پیوندهای AOSP | شدت | نسخه های تحت تأثیر | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2015-6610 | ANDROID-23707088 [ 2 ] | بالا | 6.0 و پایین تر | 19 اوت 2015 |
افزایش آسیب پذیری امتیاز در libmedia
یک آسیبپذیری در libmedia وجود دارد که میتواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه سرویس سرور رسانه اجرا کند. این مشکل به عنوان شدت بالا رتبه بندی می شود زیرا می توان از آن برای دسترسی به امتیازاتی استفاده کرد که مستقیماً برای یک برنامه شخص ثالث قابل دسترسی نیستند.
| CVE | اشکال (ها) با پیوندهای AOSP | شدت | نسخه های تحت تأثیر | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2015-6612 | ANDROID-23540426 | بالا | 6.0 و پایین تر | 23 اوت 2015 |
افزایش آسیب پذیری امتیاز در بلوتوث
یک آسیبپذیری در بلوتوث وجود دارد که میتواند یک برنامه محلی را قادر به ارسال دستورات به پورت اشکالزدایی گوش دادن در دستگاه کند. این مشکل بهعنوان شدت بالا رتبهبندی میشود، زیرا میتوان از آن برای به دست آوردن قابلیتهای بالا استفاده کرد، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامههای شخص ثالث قابل دسترسی نیستند.
| CVE | اشکال (ها) با پیوندهای AOSP | شدت | نسخه های تحت تأثیر | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2015-6613 | ANDROID-24371736 | بالا | 6.0 | گوگل داخلی |
افزایش آسیب پذیری امتیاز در تلفن
یک آسیبپذیری در مؤلفه Telephony که میتواند یک برنامه مخرب محلی را قادر میسازد تا دادههای غیرمجاز را به واسطهای شبکه محدود ارسال کند، که احتمالاً بر هزینههای داده تأثیر میگذارد. همچنین میتواند از دریافت تماس توسط دستگاه جلوگیری کند و همچنین به مهاجم اجازه میدهد تنظیمات بیصدا کردن تماسها را کنترل کند. این مشکل بهعنوان شدت متوسط رتبهبندی میشود، زیرا میتوان از آن برای به دست آوردن نامناسب مجوزهای « خطرناک » استفاده کرد.
| CVE | اشکال (ها) با پیوندهای AOSP | شدت | نسخه های تحت تأثیر | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2015-6614 | ANDROID-21900139 [ 2 ] [ 3 ] | در حد متوسط | 5.0، 5.1 | 8 ژوئن 2015 |
پرسش ها و پاسخ های متداول
این بخش پاسخ به سؤالات رایجی را که ممکن است پس از خواندن این بولتن رخ دهد، بررسی می کند.
1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟
بیلدهای LMY48X یا جدیدتر و Android Marshmallow با سطح وصله امنیتی 1 نوامبر 2015 یا جدیدتر این مشکلات را برطرف میکنند. برای دستورالعملهای نحوه بررسی سطح وصله امنیتی، به مستندات Nexus مراجعه کنید. سازندگان دستگاههایی که شامل این بهروزرسانیها هستند، باید سطح رشته وصله را روی: [ro.build.version.security_patch]:[01-11-2015] تنظیم کنند.
تجدید نظرها
- 02 نوامبر 2015: در ابتدا منتشر شد