เผยแพร่เมื่อวันที่ 02 พฤศจิกายน 2015
เราได้เผยแพร่การอัปเดตความปลอดภัยให้กับอุปกรณ์ Nexus ผ่านการอัปเดตผ่านอากาศ (OTA) ซึ่งเป็นส่วนหนึ่งของกระบวนการเผยแพร่ประกาศข่าวสารด้านความปลอดภัยของ Android รายเดือน เราได้เผยแพร่อิมเมจเฟิร์มแวร์ของ Nexus ไปยังเว็บไซต์ Google Developer ด้วย บิลด์ LMY48X ขึ้นไปและ Android Marshmallow ที่มีระดับแพตช์ความปลอดภัยของวันที่ 1 พฤศจิกายน 2015 ขึ้นไปจะแก้ไขปัญหาเหล่านี้ได้ ดูรายละเอียดเพิ่มเติมได้ที่ส่วนคำถามที่พบบ่อยและคำตอบ
พาร์ทเนอร์ได้รับการแจ้งเตือนเกี่ยวกับปัญหาเหล่านี้เมื่อวันที่ 5 ตุลาคม 2015 หรือก่อนหน้านั้น เราจะเผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ในที่เก็บโครงการโอเพนซอร์ส Android (AOSP) ในอีก 48 ชั่วโมง เราจะแก้ไขกระดานข่าวสารนี้ด้วยลิงก์ AOSP เมื่อลิงก์ดังกล่าวพร้อมใช้งาน
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยร้ายแรงที่อาจทำให้สามารถเรียกใช้โค้ดจากระยะไกลในอุปกรณ์ที่ได้รับผลกระทบผ่านวิธีการต่างๆ เช่น อีเมล การท่องเว็บ และ MMS เมื่อประมวลผลไฟล์สื่อ การประเมินความรุนแรงจะอิงตามผลกระทบที่การใช้ประโยชน์จากช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่ามีการปิดใช้มาตรการบรรเทาปัญหาของแพลตฟอร์มและบริการเพื่อวัตถุประสงค์ในการพัฒนา หรือหากมีการหลบเลี่ยงได้สําเร็จ
เราไม่พบรายงานการแสวงหาประโยชน์จากลูกค้าเกี่ยวกับปัญหาที่รายงานเข้ามาใหม่เหล่านี้ โปรดดูรายละเอียดเกี่ยวกับการป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ซึ่งช่วยปรับปรุงความปลอดภัยของแพลตฟอร์ม Android ได้ที่ส่วนการบรรเทา เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์
การลดปัญหา
ข้อมูลต่อไปนี้เป็นสรุปของการลดความเสี่ยงที่ได้จากแพลตฟอร์มความปลอดภัย Android และการปกป้องบริการ เช่น SafetyNet ความสามารถเหล่านี้จะลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะได้รับการแสวงหาประโยชน์ใน Android
- การหาช่องโหว่ของปัญหาต่างๆ ใน Android ทำได้ยากขึ้นเนื่องจากการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมความปลอดภัยของ Android คอยตรวจสอบการละเมิดด้วยฟีเจอร์ "ยืนยันแอป" และ SafetyNet ซึ่งจะเตือนเกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตรายซึ่งกำลังจะติดตั้ง เครื่องมือการรูทอุปกรณ์ไม่ได้รับอนุญาตใน Google Play ระบบจะเปิดใช้การตรวจสอบแอปโดยค่าเริ่มต้นและจะเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันการรูทที่รู้จักเพื่อปกป้องผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play ฟีเจอร์ยืนยันแอปจะพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายซึ่งทราบอยู่แล้วว่าใช้ประโยชน์จากช่องโหว่การยกระดับสิทธิ์ หากมีการติดตั้งแอปพลิเคชันดังกล่าวไว้แล้ว แอป Verify Apps จะแจ้งให้ผู้ใช้ทราบและพยายามนำแอปพลิเคชันดังกล่าวออก
- แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น mediaserver โดยอัตโนมัติตามความเหมาะสม
ขอขอบคุณ
ขอขอบคุณนักวิจัยต่อไปนี้ที่มีส่วนร่วม
- Abhishek Arya, Oliver Chang และ Martin Barbella จากทีมความปลอดภัยของ Google Chrome: CVE-2015-6608
- Daniel Micay (daniel.micay@copperhead.co) จาก Copperhead Security: CVE-2015-6609
- Dongkwan Kim จากห้องทดลองความปลอดภัยของระบบ KAIST (dkay@kaist.ac.kr): CVE-2015-6614
- Hongil Kim จาก System Security Lab, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
- Jack Tang จาก Trend Micro (@jacktang310): CVE-2015-6611
- Peter Pi จาก Trend Micro: CVE-2015-6611
- Natalie Silvanovich จากทีม Project Zero ของ Google: CVE-2015-6608
- Qidan He (@flanker_hqd) และ Wen Xu (@antlr7) จาก KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
- Guang Gong (龔廣) (@oldfresher, higongguang@gmail.com) จาก Qihoo 360 Technology CC o.Ltd: CVE-2015-6612
- Seven Shen จาก Trend Micro: CVE-2015-6610
รายละเอียดช่องโหว่ด้านความปลอดภัย
ในส่วนด้านล่างนี้ เรามีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับแพตช์ 2015-11-01 โดยมีคำอธิบายปัญหา เหตุผลด้านความรุนแรง และตารางที่แสดง CVE, ข้อบกพร่องที่เกี่ยวข้อง, ความรุนแรง, เวอร์ชันที่ได้รับผลกระทบ และวันที่รายงาน เราได้ลิงก์การเปลี่ยนแปลง AOSP ที่แก้ไขปัญหานี้กับรหัสข้อบกพร่องแล้ว (หากมี) เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว การอ้างอิง AOSP เพิ่มเติมจะลิงก์กับตัวเลขตามรหัสข้อบกพร่อง
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver
ในระหว่างการประมวลผลไฟล์สื่อและข้อมูลของไฟล์ที่สร้างขึ้นเป็นพิเศษ ช่องโหว่ใน MediaServer อาจทำให้ผู้โจมตีทําให้หน่วยความจําเสียหายและดําเนินการโค้ดจากระยะไกลได้ขณะที่ MediaServer ประมวลผล
ฟังก์ชันการทำงานที่ได้รับผลกระทบเป็นส่วนสำคัญของระบบปฏิบัติการ และมีแอปพลิเคชันหลายรายการที่เข้าถึงเนื้อหาจากระยะไกลได้ โดยเฉพาะอย่างยิ่ง MMS และการเล่นสื่อในเบราว์เซอร์
ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่จะมีการเรียกใช้โค้ดจากระยะไกลภายในบริบทของบริการ MediaServer บริการ mediaserver มีสิทธิ์เข้าถึงสตรีมเสียงและวิดีโอ รวมถึงสิทธิ์เข้าถึงที่แอปของบุคคลที่สามเข้าถึงไม่ได้ตามปกติ
| CVE | ข้อบกพร่องเกี่ยวกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่ได้รับผลกระทบ | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-6608 | ANDROID-19779574 | วิกฤต | 5.0, 5.1, 6.0 | ภายในของ Google |
| ANDROID-23680780 | ||||
| ANDROID-23876444 | ||||
| ANDROID-23881715 | วิกฤต | 4.4, 5.0, 5.1, 6.0 | ภายในของ Google | |
| ANDROID-14388161 | วิกฤต | 4.4 และ 5.1 | ภายในของ Google | |
| ANDROID-23658148 | วิกฤต | 5.0, 5.1, 6.0 | ภายในของ Google |
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน libutils
ช่องโหว่ใน libutils ซึ่งเป็นไลบรารีทั่วไปอาจถูกนำไปใช้ประโยชน์ในระหว่างการประมวลผลไฟล์เสียง ช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถทำให้หน่วยความจำเสียหายและเรียกใช้โค้ดจากระยะไกลได้ในระหว่างการประมวลผลไฟล์ที่สร้างขึ้นเป็นพิเศษ
ฟังก์ชันการทำงานที่ได้รับผลกระทบจะให้บริการเป็น API และมีแอปพลิเคชันหลายรายการที่เข้าถึงเนื้อหาระยะไกลได้ โดยเฉพาะอย่างยิ่ง MMS และการทํางานของเบราว์เซอร์กับสื่อ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่จะมีการดำเนินการกับโค้ดจากระยะไกลในบริการที่มีสิทธิ์ คอมโพเนนต์ที่ได้รับผลกระทบมีสิทธิ์เข้าถึงสตรีมเสียงและวิดีโอ รวมถึงสิทธิ์เข้าถึงที่แอปของบุคคลที่สามเข้าถึงไม่ได้ตามปกติ
| CVE | ข้อบกพร่องเกี่ยวกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่ได้รับผลกระทบ | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-6609 | ANDROID-22953624 [2] | วิกฤต | 6.0 และต่ำกว่า | 3 ส.ค. 2015 |
ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver
มีช่องโหว่การเปิดเผยข้อมูลใน MediaServer ที่อาจทำให้สามารถเลี่ยงมาตรการรักษาความปลอดภัยที่มีอยู่เพื่อเพิ่มความยากลำบากของผู้โจมตีในการใช้ประโยชน์จากแพลตฟอร์ม
| CVE | ข้อบกพร่องเกี่ยวกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่ได้รับผลกระทบ | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-6611 | ANDROID-23905951 [2] [3] | สูง | 6.0 และต่ำกว่า | 7 กันยายน 2015 |
| ANDROID-23912202* | ||||
| ANDROID-23953967* | ||||
| ANDROID-23696300 | สูง | 6.0 และต่ำกว่า | 31 สิงหาคม 2015 | |
| ANDROID-23600291 | สูง | 6.0 และต่ำกว่า | 26 ส.ค. 2015 | |
| ANDROID-23756261 [2] | สูง | 6.0 และต่ำกว่า | 26 ส.ค. 2015 | |
| ANDROID-23540907 [2] | สูง | 5.1 และต่ำกว่า | 25 สิงหาคม 2015 | |
| ANDROID-23541506 | สูง | 6.0 และต่ำกว่า | 25 สิงหาคม 2015 | |
| ANDROID-23284974* | ||||
| ANDROID-23542351* | ||||
| ANDROID-23542352* | ||||
| ANDROID-23515142 | สูง | 5.1 และต่ำกว่า | 19 ส.ค. 2015 |
* แพตช์สำหรับข้อบกพร่องนี้รวมอยู่ในลิงก์ AOSP อื่นๆ ที่ระบุไว้
ช่องโหว่การยกระดับสิทธิ์ใน libstagefright
ช่องโหว่การยกระดับสิทธิ์ใน libstagefright สามารถทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องทําให้หน่วยความจําเสียหายและเรียกใช้โค้ดตามต้องการภายในบริบทของบริการ MediaServer แม้ว่าโดยปกติแล้วปัญหานี้จะได้รับการจัดประเภทเป็น "ร้ายแรง" แต่เราได้ประเมินปัญหานี้ว่ารุนแรงระดับ "สูง" เนื่องจากมีแนวโน้มที่จะถูกโจมตีจากระยะไกลได้น้อย
| CVE | ข้อบกพร่องเกี่ยวกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่ได้รับผลกระทบ | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-6610 | ANDROID-23707088 [2] | สูง | 6.0 และต่ำกว่า | 19 ส.ค. 2015 |
ช่องโหว่การยกระดับสิทธิ์ใน libmedia
libmedia มีช่องโหว่ที่อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของบริการ mediaserver ได้ ปัญหานี้จัดอยู่ในระดับความรุนแรงสูงเนื่องจากสามารถใช้เพื่อเข้าถึงสิทธิ์ที่แอปพลิเคชันของบุคคลที่สามเข้าถึงไม่ได้โดยตรง
| CVE | ข้อบกพร่องเกี่ยวกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่ได้รับผลกระทบ | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-6612 | ANDROID-23540426 | สูง | 6.0 และต่ำกว่า | 23 สิงหาคม 2015 |
ช่องโหว่การยกระดับสิทธิ์ในบลูทูธ
บลูทูธมีช่องโหว่ที่ทำให้แอปพลิเคชันภายในสามารถส่งคำสั่งไปยังพอร์ตแก้ไขข้อบกพร่องที่รับฟังในอุปกรณ์ ปัญหานี้จัดอยู่ในระดับความรุนแรงสูงเนื่องจากสามารถใช้เพื่อเพิ่มความสามารถ เช่น สิทธิ์ลายเซ็นหรือ SignatureOrSystem ซึ่งแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้
| CVE | ข้อบกพร่องเกี่ยวกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่ได้รับผลกระทบ | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-6613 | ANDROID-24371736 | สูง | 6.0 | ภายในของ Google |
ช่องโหว่การยกระดับสิทธิ์ในโทรศัพท์
ช่องโหว่ในคอมโพเนนต์โทรศัพท์ซึ่งอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องส่งข้อมูลที่ไม่ได้รับอนุญาตไปยังอินเทอร์เฟซเครือข่ายที่ถูกจํากัด ซึ่งอาจส่งผลต่อค่าบริการอินเทอร์เน็ต นอกจากนี้ยังอาจทำให้อุปกรณ์ไม่ได้รับสายและช่วยให้ผู้โจมตีควบคุมการตั้งค่าการปิดเสียงการโทรได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อรับสิทธิ์ที่ "อันตราย" อย่างไม่เหมาะสม
| CVE | ข้อบกพร่องเกี่ยวกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่ได้รับผลกระทบ | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-6614 | ANDROID-21900139 [2] [3] | ปานกลาง | 5.0, 5.1 | 8 มิ.ย. 2015 |
คำถามที่พบบ่อยและคำตอบ
ส่วนนี้จะอธิบายคำตอบสำหรับคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้แล้ว
บิลด์ LMY48X ขึ้นไปและ Android Marshmallow ที่มีระดับแพตช์ความปลอดภัยของวันที่ 1 พฤศจิกายน 2015 ขึ้นไปจะแก้ไขปัญหาเหล่านี้ได้ โปรดดูวิธีการตรวจสอบระดับแพตช์ความปลอดภัยในเอกสารประกอบของ Nexus ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงแพตช์เป็น [ro.build.version.security_patch]:[2015-11-01]
การแก้ไข
- 2 พฤศจิกายน 2015: เผยแพร่ครั้งแรก