Dipublikasikan 02 November 2015
Kami telah merilis update keamanan ke perangkat Nexus melalui update over-the-air (OTA) sebagai bagian dari proses Rilis Bulanan Buletin Keamanan Android kami. Image firmware Nexus juga telah dirilis ke situs Developer Google. Build LMY48X atau yang lebih baru dan Android Marshmallow dengan Level Patch Keamanan 1 November 2015 atau yang lebih baru mengatasi masalah ini. Lihat bagian Pertanyaan Umum dan Jawaban untuk mengetahui detail selengkapnya.
Partner telah diberi tahu tentang masalah ini pada 5 Oktober 2015 atau sebelumnya. Patch kode sumber untuk masalah ini akan dirilis ke repositori Project Open Source Android (AOSP) selama 48 jam ke depan. Kami akan merevisi buletin ini dengan link AOSP jika tersedia.
Masalah yang paling parah adalah kerentanan keamanan Kritis yang dapat memungkinkan eksekusi kode jarak jauh di perangkat yang terpengaruh melalui beberapa metode seperti email, penjelajahan web, dan MMS saat memproses file media. Penilaian keparahan berdasarkan efek yang mungkin akan ditimbulkan oleh eksploitasi kerentanan pada perangkat yang terpengaruh, dengan asumsi mitigasi platform dan layanan dinonaktifkan untuk tujuan pengembangan atau jika berhasil diabaikan.
Kami tidak menerima laporan tentang eksploitasi aktif oleh pelanggan terhadap masalah yang baru dilaporkan ini. Lihat bagian Mitigasi untuk mengetahui detail tentang perlindungan platform keamanan Android dan perlindungan layanan seperti SafetyNet, yang meningkatkan keamanan platform Android. Sebaiknya semua pelanggan menyetujui update ini ke perangkat mereka.
Mitigasi
Ini adalah ringkasan mitigasi yang disediakan oleh platform keamanan Android dan perlindungan layanan seperti SafetyNet. Kemampuan ini mengurangi kemungkinan kerentanan keamanan berhasil dieksploitasi di Android.
- Eksploitasi untuk banyak masalah di Android menjadi lebih sulit karena peningkatan di platform Android versi yang lebih baru. Sebaiknya semua pengguna mengupdate ke versi Android terbaru jika memungkinkan.
- Tim Android Security secara aktif memantau penyalahgunaan dengan Verify Apps dan SafetyNet yang akan memperingatkan tentang aplikasi yang berpotensi berbahaya yang akan diinstal. Alat rooting perangkat dilarang di Google Play. Untuk melindungi pengguna yang menginstal aplikasi dari luar Google Play, Verifikasi Aplikasi diaktifkan secara default dan akan memperingatkan pengguna tentang aplikasi rooting yang diketahui. Verify Apps mencoba mengidentifikasi dan memblokir penginstalan aplikasi berbahaya yang diketahui mengeksploitasi kerentanan eskalasi hak istimewa. Jika aplikasi tersebut telah diinstal, Verifikasi Aplikasi akan memberi tahu pengguna dan mencoba menghapus aplikasi tersebut.
- Sesuai kebutuhan, aplikasi Google Hangouts dan Messenger tidak otomatis meneruskan media ke proses seperti mediaserver.
Ucapan Terima Kasih
Kami ingin mengucapkan terima kasih kepada para peneliti berikut atas kontribusi mereka:
- Abhishek Arya, Oliver Chang, dan Martin Barbella, Tim Keamanan Google Chrome: CVE-2015-6608
- Daniel Micay (daniel.micay@copperhead.co) di Copperhead Security: CVE-2015-6609
- Dongkwan Kim dari System Security Lab, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
- Hongil Kim dari System Security Lab, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
- Jack Tang dari Trend Micro (@jacktang310): CVE-2015-6611
- Peter Pi dari Trend Micro: CVE-2015-6611
- Natalie Silvanovich dari Project Zero Google: CVE-2015-6608
- Qidan He (@flanker_hqd) dan Wen Xu (@antlr7) dari KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
- Guang Gong (龚广) (@oldfresher, higongguang@gmail.com) dari Qihoo 360 Technology CC o.Ltd: CVE-2015-6612
- Seven Shen dari Trend Micro: CVE-2015-6610
Detail Kerentanan Keamanan
Di bagian di bawah, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku untuk tingkat patch 01-11-2015. Terdapat deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, bug terkait, tingkat keparahan, versi yang terpengaruh, dan tanggal dilaporkan. Jika tersedia, kami telah menautkan perubahan AOSP yang mengatasi masalah tersebut ke ID bug. Jika beberapa perubahan terkait dengan satu bug, referensi AOSP tambahan akan ditautkan ke angka yang mengikuti ID bug.
Kerentanan Eksekusi Kode Jarak Jauh di Mediaserver
Selama pemrosesan file media dan data dari file yang dibuat secara khusus, kerentanan di mediaserver dapat memungkinkan penyerang menyebabkan kerusakan memori dan eksekusi kode jarak jauh saat proses mediaserver.
Fungsi yang terpengaruh disediakan sebagai bagian inti dari sistem operasi dan ada beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media browser.
Masalah ini dinilai sebagai Keparahan kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks layanan mediaserver. Layanan mediaserver memiliki akses ke streaming audio dan video serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Bug pada link AOSP | Tingkat Keparahan | Versi yang terpengaruh | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2015-6608 | ANDROID-19779574 | Kritis | 5.0, 5.1, 6.0 | Internal Google |
| ANDROID-23680780 | ||||
| ANDROID-23876444 | ||||
| ANDROID-23881715 | Kritis | 4.4, 5.0, 5.1, 6.0 | Internal Google | |
| ANDROID-14388161 | Kritis | 4.4 dan 5.1 | Internal Google | |
| ANDROID-23658148 | Kritis | 5.0, 5.1, 6.0 | Internal Google |
Kerentanan Eksekusi Kode Jarak Jauh di libutils
Kerentanan di libutils, library umum, dapat dieksploitasi selama pemrosesan file audio. Kerentanan ini dapat memungkinkan penyerang, selama pemrosesan file yang dibuat secara khusus, menyebabkan kerusakan memori dan eksekusi kode jarak jauh.
Fungsi yang terpengaruh disediakan sebagai API dan ada beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media browser. Masalah ini diberi rating sebagai masalah dengan tingkat keparahan Kritis karena kemungkinan eksekusi kode jarak jauh dalam layanan dengan hak istimewa. Komponen yang terpengaruh memiliki akses ke streaming audio dan video serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Bug pada link AOSP | Tingkat Keparahan | Versi yang terpengaruh | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2015-6609 | ANDROID-22953624 [2] | Kritis | 6.0 dan yang lebih lama | 3 Agustus 2015 |
Kerentanan Pengungkapan Informasi di Mediaserver
Ada kerentanan pengungkapan informasi di mediaserver yang dapat mengizinkan pengabaian tindakan keamanan yang diterapkan untuk mempersulit penyerang mengeksploitasi platform.
| CVE | Bug pada link AOSP | Tingkat Keparahan | Versi yang terpengaruh | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2015-6611 | ANDROID-23905951 [2] [3] | Tinggi | 6.0 dan yang lebih lama | 07 Sep 2015 |
| ANDROID-23912202* | ||||
| ANDROID-23953967* | ||||
| ANDROID-23696300 | Tinggi | 6.0 dan yang lebih lama | 31 Agustus 2015 | |
| ANDROID-23600291 | Tinggi | 6.0 dan yang lebih lama | 26 Agustus 2015 | |
| ANDROID-23756261 [2] | Tinggi | 6.0 dan yang lebih lama | 26 Agustus 2015 | |
| ANDROID-23540907 [2] | Tinggi | 5.1 dan yang lebih lama | 25 Agustus 2015 | |
| ANDROID-23541506 | Tinggi | 6.0 dan yang lebih lama | 25 Agustus 2015 | |
| ANDROID-23284974* | ||||
| ANDROID-23542351* | ||||
| ANDROID-23542352* | ||||
| ANDROID-23515142 | Tinggi | 5.1 dan yang lebih lama | 19 Agustus 2015 |
* Patch untuk bug ini disertakan dalam link AOSP lain yang disediakan.
Kerentanan Elevasi Hak Istimewa di libstagefright
Ada kerentanan peningkatan hak istimewa di libstagefright yang dapat memungkinkan aplikasi berbahaya lokal menyebabkan kerusakan memori dan eksekusi kode arbitrer dalam konteks layanan mediaserver. Meskipun masalah ini biasanya diberi rating Kritis, kami telah menilai masalah ini sebagai Severity Tinggi karena kemungkinan lebih rendah untuk dieksploitasi dari jarak jauh.
| CVE | Bug pada link AOSP | Tingkat Keparahan | Versi yang terpengaruh | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2015-6610 | ANDROID-23707088 [2] | Tinggi | 6.0 dan yang lebih lama | 19 Agustus 2015 |
Kerentanan Elevasi Hak Istimewa di libmedia
Ada kerentanan di libmedia yang dapat memungkinkan aplikasi lokal malicious menjalankan kode arbitrer dalam konteks layanan mediaserver. Masalah ini diberi rating Keparahan tinggi karena dapat digunakan untuk mengakses hak istimewa yang tidak dapat diakses secara langsung oleh aplikasi pihak ketiga.
| CVE | Bug pada link AOSP | Tingkat Keparahan | Versi yang terpengaruh | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2015-6612 | ANDROID-23540426 | Tinggi | 6.0 dan yang lebih lama | 23 Agustus 2015 |
Kerentanan Elevasi Hak Istimewa di Bluetooth
Ada kerentanan di Bluetooth yang dapat memungkinkan aplikasi lokal mengirim perintah ke port debug pemrosesan di perangkat. Masalah ini diberi rating Keparahan tinggi karena dapat digunakan untuk mendapatkan kemampuan yang ditingkatkan, seperti hak istimewa izin Signature atau SignatureOrSystem, yang tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Bug pada link AOSP | Tingkat Keparahan | Versi yang terpengaruh | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2015-6613 | ANDROID-24371736 | Tinggi | 6.0 | Internal Google |
Kerentanan Elevasi Hak Istimewa di Telepon
Kerentanan pada komponen Telepon yang dapat memungkinkan aplikasi berbahaya lokal meneruskan data yang tidak sah ke antarmuka jaringan yang dibatasi, yang berpotensi memengaruhi tagihan data. Hal ini juga dapat mencegah perangkat menerima panggilan serta memungkinkan penyerang mengontrol setelan bisukan panggilan. Masalah ini diberi rating Keparahan sedang karena dapat digunakan untuk mendapatkan izin “berbahaya” secara tidak tepat.
| CVE | Bug pada link AOSP | Tingkat Keparahan | Versi yang terpengaruh | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2015-6614 | ANDROID-21900139 [2] [3] | Sedang | 5.0, 5.1 | 8 Juni 2015 |
Pertanyaan Umum dan Jawaban
Bagian ini akan meninjau jawaban atas pertanyaan umum yang mungkin muncul setelah membaca buletin ini.
1. Bagaimana cara menentukan apakah perangkat saya telah diupdate untuk menyelesaikan masalah ini?
Build LMY48X atau yang lebih baru dan Android Marshmallow dengan Level Patch Keamanan 1 November 2015 atau yang lebih baru mengatasi masalah ini. Lihat dokumentasi Nexus untuk mengetahui petunjuk cara memeriksa tingkat patch keamanan. Produsen perangkat yang menyertakan update ini harus menetapkan tingkat string patch ke: [ro.build.version.security_patch]:[2015-11-01]
Revisi
- 02 November 2015: Pertama Kali Dipublikasikan