เผยแพร่เมื่อวันที่ 2 พฤศจิกายน 2558
เราได้เผยแพร่การอัปเดตความปลอดภัยสำหรับอุปกรณ์ Nexus ผ่านการอัปเดตแบบ over-the-air (OTA) ซึ่งเป็นส่วนหนึ่งของกระบวนการเผยแพร่กระดานข่าวความปลอดภัยของ Android ประจำเดือน อิมเมจเฟิร์มแวร์ของ Nexus ได้รับการเผยแพร่ไปยัง ไซต์ Google Developer แล้ว สร้าง LMY48X หรือใหม่กว่า และ Android Marshmallow ที่มีระดับแพตช์ความปลอดภัยวันที่ 1 พฤศจิกายน 2015 หรือใหม่กว่า แก้ไขปัญหาเหล่านี้ โปรดดูส่วน คำถามและคำตอบทั่วไป สำหรับรายละเอียดเพิ่มเติม
พันธมิตรได้รับแจ้งเกี่ยวกับปัญหาเหล่านี้ในวันที่ 5 ตุลาคม 2558 หรือก่อนหน้านั้น แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้จะเผยแพร่ไปยังพื้นที่เก็บข้อมูล Android Open Source Project (AOSP) ในอีก 48 ชั่วโมงข้างหน้า เราจะแก้ไขกระดานข่าวนี้พร้อมกับลิงก์ AOSP เมื่อมีให้ใช้งาน
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญ ซึ่งสามารถเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบได้หลายวิธี เช่น อีเมล การเรียกดูเว็บ และ MMS เมื่อประมวลผลไฟล์สื่อ การประเมินความรุนแรงขึ้น อยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยถือว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ
เราไม่มีรายงานเกี่ยวกับการแสวงหาประโยชน์จากลูกค้าจากปัญหาที่ได้รับรายงานใหม่เหล่านี้ โปรดดูส่วน การบรรเทาผลกระทบ สำหรับรายละเอียดเกี่ยวกับ การป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ไปยังอุปกรณ์ของตน
การบรรเทาผลกระทบ
นี่คือบทสรุปของการบรรเทาปัญหาที่มีให้โดย แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น SafetyNet ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะสามารถถูกโจมตีบน Android ได้สำเร็จ
- การใช้ประโยชน์จากปัญหาต่างๆ บน Android ทำได้ยากขึ้นด้วยการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดเมื่อเป็นไปได้
- ทีมรักษาความปลอดภัยของ Android กำลังตรวจสอบการละเมิดอย่างแข็งขันด้วย Verify Apps และ SafetyNet ซึ่งจะเตือนเกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตรายที่กำลังจะถูกติดตั้ง ห้ามใช้เครื่องมือรูทอุปกรณ์ภายใน Google Play เพื่อปกป้องผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play ยืนยันแอปจะเปิดใช้งานตามค่าเริ่มต้น และจะเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันรูทที่รู้จัก ตรวจสอบความพยายามของแอปในการระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายที่ทราบซึ่งใช้ประโยชน์จากช่องโหว่ในการยกระดับสิทธิ์ หากมีการติดตั้งแอปพลิเคชันดังกล่าวแล้ว ยืนยันแอปจะแจ้งให้ผู้ใช้ทราบและพยายามลบแอปพลิเคชันดังกล่าว
- ตามความเหมาะสม แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น เซิร์ฟเวอร์สื่อโดยอัตโนมัติ
รับทราบ
เราขอขอบคุณนักวิจัยเหล่านี้สำหรับการมีส่วนร่วม:
- Abhishek Arya, Oliver Chang และ Martin Barbella ทีมรักษาความปลอดภัยของ Google Chrome: CVE-2015-6608
- Daniel Micay (daniel.micay@copperhead.co) ที่ Copperhead Security: CVE-2015-6609
- Dongkwan Kim จาก System Security Lab, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
- Hongil Kim จาก System Security Lab, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
- Jack Tang แห่ง Trend Micro (@jacktang310): CVE-2015-6611
- Peter Pi จาก Trend Micro: CVE-2015-6611
- นาตาลี ซิลวาโนวิชจาก Google Project Zero: CVE-2015-6608
- Qidan He (@flanker_hqd) และ Wen Xu (@antlr7) จาก KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
- Guang Gong (龚广) ( @oldfresher , higongguang@gmail.com) จาก Qihoo 360 Technology CC o.Ltd : CVE-2015-6612
- Seven Shen แห่ง Trend Micro: CVE-2015-6610
รายละเอียดช่องโหว่ด้านความปลอดภัย
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2015-11-01 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางที่มี CVE, จุดบกพร่องที่เกี่ยวข้อง, ความรุนแรง, เวอร์ชันที่ได้รับผลกระทบ และวันที่รายงาน ในกรณีที่เป็นไปได้ เราได้เชื่อมโยงการเปลี่ยนแปลง AOSP ที่แก้ไขปัญหากับรหัสข้อบกพร่อง เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิง AOSP เพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลัง ID จุดบกพร่อง
ช่องโหว่การเรียกใช้โค้ดระยะไกลใน Mediaserver
ในระหว่างการประมวลผลไฟล์มีเดียและข้อมูลของไฟล์ที่สร้างขึ้นเป็นพิเศษ ช่องโหว่ในมีเดียเซิร์ฟเวอร์อาจทำให้ผู้โจมตีทำให้หน่วยความจำเสียหายและการเรียกใช้โค้ดจากระยะไกลเป็นกระบวนการของมีเดียเซิร์ฟเวอร์
ฟังก์ชันการทำงานที่ได้รับผลกระทบถือเป็นส่วนหลักของระบบปฏิบัติการ และมีแอปพลิเคชั่นหลายตัวที่อนุญาตให้เข้าถึงเนื้อหาระยะไกลได้ โดยเฉพาะ MMS และการเล่นสื่อผ่านเบราว์เซอร์
ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงที่สำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของบริการสื่อเซิร์ฟเวอร์ บริการมีเดียเซิร์ฟเวอร์สามารถเข้าถึงสตรีมเสียงและวิดีโอตลอดจนการเข้าถึงสิทธิพิเศษที่แอปของบุคคลที่สามไม่สามารถเข้าถึงได้ตามปกติ
ซีวีอี | ข้อบกพร่องที่มีลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่ได้รับผลกระทบ | วันที่รายงาน |
---|---|---|---|---|
CVE-2015-6608 | หุ่นยนต์-19779574 | วิกฤต | 5.0, 5.1, 6.0 | ภายในของ Google |
หุ่นยนต์-23680780 | ||||
หุ่นยนต์-23876444 | ||||
หุ่นยนต์-23881715 | วิกฤต | 4.4, 5.0, 5.1, 6.0 | ภายในของ Google | |
หุ่นยนต์-14388161 | วิกฤต | 4.4 และ 5.1 | ภายในของ Google | |
หุ่นยนต์-23658148 | วิกฤต | 5.0, 5.1, 6.0 | ภายในของ Google |
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน libutils
ช่องโหว่ใน libutils ซึ่งเป็นไลบรารีทั่วไปสามารถถูกโจมตีได้ในระหว่างการประมวลผลไฟล์เสียง ช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถทำให้เกิดความเสียหายของหน่วยความจำและการเรียกใช้โค้ดจากระยะไกลได้ในระหว่างการประมวลผลไฟล์ที่สร้างขึ้นเป็นพิเศษ
ฟังก์ชันการทำงานที่ได้รับผลกระทบมีให้ในรูปแบบ API และมีแอปพลิเคชั่นหลายตัวที่อนุญาตให้เข้าถึงได้ด้วยเนื้อหาระยะไกล โดยเฉพาะ MMS และการเล่นสื่อผ่านเบราว์เซอร์ ปัญหานี้ได้รับการจัดอันดับเป็นปัญหาความรุนแรงที่สำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในบริการที่มีสิทธิพิเศษ ส่วนประกอบที่ได้รับผลกระทบสามารถเข้าถึงสตรีมเสียงและวิดีโอตลอดจนสิทธิ์การเข้าถึงที่แอปของบุคคลที่สามไม่สามารถเข้าถึงได้ตามปกติ
ซีวีอี | ข้อบกพร่องที่มีลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่ได้รับผลกระทบ | วันที่รายงาน |
---|---|---|---|---|
CVE-2015-6609 | หุ่นยนต์-22953624 [ 2 ] | วิกฤต | 6.0 และต่ำกว่า | 3 ส.ค. 2558 |
ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver
มีช่องโหว่ในการเปิดเผยข้อมูลในมีเดียเซิร์ฟเวอร์ที่สามารถบายพาสมาตรการรักษาความปลอดภัยเพื่อเพิ่มความยากลำบากของผู้โจมตีในการใช้ประโยชน์จากแพลตฟอร์ม
ซีวีอี | ข้อบกพร่องที่มีลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่ได้รับผลกระทบ | วันที่รายงาน |
---|---|---|---|---|
CVE-2015-6611 | หุ่นยนต์-23905951 [ 2 ] [ 3 ] | สูง | 6.0 และต่ำกว่า | 07 กันยายน 2558 |
แอนดรอยด์-23912202* | ||||
แอนดรอยด์-23953967* | ||||
หุ่นยนต์-23696300 | สูง | 6.0 และต่ำกว่า | 31 ส.ค. 2558 | |
หุ่นยนต์-23600291 | สูง | 6.0 และต่ำกว่า | 26 ส.ค. 2558 | |
หุ่นยนต์-23756261 [ 2 ] | สูง | 6.0 และต่ำกว่า | 26 ส.ค. 2558 | |
หุ่นยนต์-23540907 [ 2 ] | สูง | 5.1 และต่ำกว่า | 25 ส.ค. 2558 | |
หุ่นยนต์-23541506 | สูง | 6.0 และต่ำกว่า | 25 ส.ค. 2558 | |
แอนดรอยด์-23284974* | ||||
แอนดรอยด์-23542351* | ||||
แอนดรอยด์-23542352* | ||||
หุ่นยนต์-23515142 | สูง | 5.1 และต่ำกว่า | 19 ส.ค. 2558 |
* โปรแกรมแก้ไขสำหรับจุดบกพร่องนี้รวมอยู่ในลิงก์ AOSP อื่น ๆ ที่ให้ไว้
การยกระดับช่องโหว่ของสิทธิพิเศษใน libstagefright
มีการยกระดับช่องโหว่ของสิทธิพิเศษใน libstagefright ที่สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อทำให้หน่วยความจำเสียหายและการดำเนินการโค้ดโดยอำเภอใจภายในบริบทของบริการสื่อเซิร์ฟเวอร์ แม้ว่าโดยปกติแล้วปัญหานี้จะได้รับการจัดอันดับเป็น "วิกฤติ" เราได้ประเมินปัญหานี้ว่ามีความรุนแรงสูง เนื่องจากมีโอกาสต่ำที่จะสามารถถูกโจมตีจากระยะไกลได้
ซีวีอี | ข้อบกพร่องที่มีลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่ได้รับผลกระทบ | วันที่รายงาน |
---|---|---|---|---|
CVE-2015-6610 | หุ่นยนต์-23707088 [ 2 ] | สูง | 6.0 และต่ำกว่า | 19 ส.ค. 2558 |
การยกระดับช่องโหว่ของสิทธิพิเศษใน libmedia
มีช่องโหว่ใน libmedia ที่สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดที่กำหนดเองภายในบริบทของบริการมีเดียเซิร์ฟเวอร์ ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากสามารถใช้เพื่อเข้าถึงสิทธิพิเศษที่ไม่สามารถเข้าถึงได้โดยตรงจากแอปพลิเคชันบุคคลที่สาม
ซีวีอี | ข้อบกพร่องที่มีลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่ได้รับผลกระทบ | วันที่รายงาน |
---|---|---|---|---|
CVE-2015-6612 | หุ่นยนต์-23540426 | สูง | 6.0 และต่ำกว่า | 23 ส.ค. 2558 |
การยกระดับช่องโหว่สิทธิพิเศษใน Bluetooth
มีช่องโหว่ใน Bluetooth ที่สามารถเปิดใช้งานแอปพลิเคชันในเครื่องเพื่อส่งคำสั่งไปยังพอร์ตดีบักการฟังบนอุปกรณ์ ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงสูงเนื่องจากสามารถใช้เพื่อรับความสามารถระดับสูง เช่น สิทธิ์ ลายเซ็น หรือ SignatureOrSystem ซึ่งแอปพลิเคชันบุคคลที่สามไม่สามารถเข้าถึงได้
ซีวีอี | ข้อบกพร่องที่มีลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่ได้รับผลกระทบ | วันที่รายงาน |
---|---|---|---|---|
CVE-2015-6613 | หุ่นยนต์-24371736 | สูง | 6.0 | ภายในของ Google |
การยกระดับช่องโหว่สิทธิพิเศษในระบบโทรศัพท์
ช่องโหว่ในองค์ประกอบ Telephony ที่สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อส่งข้อมูลที่ไม่ได้รับอนุญาตไปยังอินเทอร์เฟซเครือข่ายที่ถูกจำกัด ซึ่งอาจส่งผลกระทบต่อค่าบริการข้อมูล นอกจากนี้ยังสามารถป้องกันไม่ให้อุปกรณ์รับสายตลอดจนอนุญาตให้ผู้โจมตีควบคุมการตั้งค่าการปิดเสียงการโทรได้ ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงปานกลาง เนื่องจากสามารถใช้เพื่อรับสิทธิ์ " อันตราย " อย่างไม่เหมาะสม
ซีวีอี | ข้อบกพร่องที่มีลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่ได้รับผลกระทบ | วันที่รายงาน |
---|---|---|---|---|
CVE-2015-6614 | หุ่นยนต์-21900139 [ 2 ] [ 3 ] | ปานกลาง | 5.0, 5.1 | 8 มิถุนายน 2558 |
คำถามและคำตอบทั่วไป
ส่วนนี้จะทบทวนคำตอบของคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่
สร้าง LMY48X หรือใหม่กว่า และ Android Marshmallow ที่มีระดับแพตช์ความปลอดภัยวันที่ 1 พฤศจิกายน 2015 หรือใหม่กว่า แก้ไขปัญหาเหล่านี้ โปรดดูคำแนะนำในการตรวจสอบระดับแพตช์ความปลอดภัย ในเอกสารประกอบของ Nexus ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงแพตช์เป็น: [ro.build.version.security_patch]:[2015-11-01]
การแก้ไข
- 2 พฤศจิกายน 2558: เผยแพร่ครั้งแรก