פורסם ב-2 בנובמבר 2015
פרסמנו עדכון אבטחה למכשירי Nexus באמצעות עדכון אויר (OTA) כחלק מתהליך השחרור החודשי של עלון האבטחה של Android. תמונות הקושחה של Nexus שוחררו גם לאתר Google Developer . בונה LMY48X ואילך ו-Android Marshmallow עם רמת תיקון אבטחה של 1 בנובמבר 2015 ואילך מטפלים בבעיות אלה. עיין בסעיף שאלות ותשובות נפוצות לפרטים נוספים.
שותפים קיבלו הודעה על בעיות אלה ב-5 באוקטובר 2015 או קודם לכן. תיקוני קוד מקור לבעיות אלו ישוחררו למאגר Android Open Source Project (AOSP) במהלך 48 השעות הקרובות. אנו נשנה עלון זה עם קישורי AOSP כאשר הם יהיו זמינים.
החמורה ביותר מבין הבעיות הללו היא פגיעות אבטחה קריטית שעלולה לאפשר ביצוע קוד מרחוק במכשיר מושפע באמצעות מספר שיטות כגון דואר אלקטרוני, גלישה באינטרנט ו-MMS בעת עיבוד קובצי מדיה. הערכת החומרה מבוססת על ההשפעה שאולי תהיה לניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה וההפחתות השירות מושבתות למטרות פיתוח או אם יעקפו בהצלחה.
לא קיבלנו דיווחים על ניצול פעיל של לקוחות של בעיות אלה שדווחו לאחרונה. עיין בסעיף ההקלות לפרטים על הגנות פלטפורמת האבטחה של אנדרואיד והגנות שירות כגון SafetyNet, המשפרות את האבטחה של פלטפורמת אנדרואיד. אנו מעודדים את כל הלקוחות לקבל עדכונים אלה למכשירים שלהם.
הקלות
זהו סיכום של ההקלות שמספקות פלטפורמת האבטחה אנדרואיד והגנות שירות כגון SafetyNet. יכולות אלו מפחיתות את הסבירות שניתן יהיה לנצל בהצלחה פרצות אבטחה באנדרואיד.
- ניצול בעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
- צוות אבטחת אנדרואיד עוקב באופן פעיל אחר שימוש לרעה עם Verify Apps ו- SafetyNet אשר יזהירו מפני אפליקציות שעלולות להיות מזיקים שעומדים להתקין. כלי השתרשות מכשירים אסורים ב-Google Play. כדי להגן על משתמשים שמתקינים יישומים מחוץ ל-Google Play, Verify Apps מופעל כברירת מחדל והוא יזהיר משתמשים לגבי יישומי השתרשות ידועים. אימות אפליקציות מנסה לזהות ולחסום התקנה של יישומים זדוניים ידועים המנצלים פגיעות של הסלמה של הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע למשתמש וינסה להסיר אפליקציות כאלה.
- בהתאם, יישומי Google Hangouts ו-Messenger אינם מעבירים מדיה אוטומטית לתהליכים כגון שרת מדיה.
תודות
ברצוננו להודות לחוקרים אלו על תרומתם:
- אבישק אריה, אוליבר צ'אנג ומרטין ברבלה, צוות האבטחה של Google Chrome: CVE-2015-6608
- דניאל מיקאי (daniel.micay@copperhead.co) ב-Copperhead Security: CVE-2015-6609
- Dongkwan Kim ממעבדת System Security, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
- הונגיל קים ממעבדת אבטחת מערכת, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
- ג'ק טאנג מ-Trend Micro (@jacktang310): CVE-2015-6611
- Peter Pi של Trend Micro: CVE-2015-6611
- נטלי סילבנוביץ' מ-Google Project Zero: CVE-2015-6608
- Qidan He (@flanker_hqd) ו- Wen Xu (@antlr7) מ- KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
- גואנג גונג (龚广) ( @oldfresher , higongguang@gmail.com) של Qihoo 360 Technology CC o.Ltd : CVE-2015-6612
- Seven Shen של Trend Micro: CVE-2015-6610
פרטי פגיעות אבטחה
בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2015-11-01. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הבאג המשויך, החומרה, הגרסאות המושפעות ותאריך הדיווח. היכן שהוא זמין, קישרנו את השינוי ב-AOSP שטיפל בבעיה למזהה הבאג. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות של AOSP מקושרות למספרים בעקבות מזהה הבאג.
פגיעויות של ביצוע קוד מרחוק ב-Mediaserver
במהלך קבצי מדיה ועיבוד נתונים של קובץ בעל מבנה מיוחד, פגיעויות בשרת המדיה עלולות לאפשר לתוקף לגרום לפגיעה בזיכרון ולביצוע קוד מרחוק כתהליך שרת המדיה.
הפונקציונליות המושפעת מסופקת כחלק מרכזי ממערכת ההפעלה וישנן מספר יישומים המאפשרים להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת מדיה בדפדפן.
בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של שירות שרת המדיה. לשירות שרת המדיה יש גישה לזרמי אודיו ווידאו וכן גישה להרשאות שאפליקציות צד שלישי אינן יכולות לגשת אליהן בדרך כלל.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6608 | ANDROID-19779574 | קריטי | 5.0, 5.1, 6.0 | Google פנימי |
| ANDROID-23680780 | ||||
| ANDROID-23876444 | ||||
| ANDROID-23881715 | קריטי | 4.4, 5.0, 5.1, 6.0 | Google פנימי | |
| ANDROID-14388161 | קריטי | 4.4 ו-5.1 | Google פנימי | |
| ANDROID-23658148 | קריטי | 5.0, 5.1, 6.0 | Google פנימי |
פגיעות של ביצוע קוד מרחוק ב-libutils
ניתן לנצל פגיעות ב-libutils, ספרייה גנרית, במהלך עיבוד קבצי אודיו. פגיעות זו עלולה לאפשר לתוקף, במהלך עיבוד של קובץ בעל מבנה מיוחד, לגרום לפגיעה בזיכרון ולביצוע קוד מרחוק.
הפונקציונליות המושפעת מסופקת כ-API וקיימות מספר יישומים המאפשרים להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת מדיה בדפדפן. בעיה זו מדורגת כבעיית חומרה קריטית בשל האפשרות של ביצוע קוד מרחוק בשירות מיוחס. לרכיב המושפע יש גישה לזרמי אודיו ווידאו וכן גישה להרשאות שאפליקציות צד שלישי אינן יכולות לגשת אליהן בדרך כלל.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6609 | ANDROID-22953624 [ 2 ] | קריטי | 6.0 ומטה | 3 באוגוסט 2015 |
פרצות גילוי מידע ב-Mediaserver
ישנן פגיעויות של חשיפת מידע בשרת מדיה שיכולות לאפשר עקיפת אמצעי אבטחה במקום כדי להגביר את הקושי של תוקפים לנצל את הפלטפורמה.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6611 | ANDROID-23905951 [ 2 ] [ 3 ] | גָבוֹהַ | 6.0 ומטה | 07 בספטמבר 2015 |
| ANDROID-23912202* | ||||
| ANDROID-23953967* | ||||
| ANDROID-23696300 | גָבוֹהַ | 6.0 ומטה | 31 באוגוסט 2015 | |
| ANDROID-23600291 | גָבוֹהַ | 6.0 ומטה | 26 באוגוסט 2015 | |
| ANDROID-23756261 [ 2 ] | גָבוֹהַ | 6.0 ומטה | 26 באוגוסט 2015 | |
| ANDROID-23540907 [ 2 ] | גָבוֹהַ | 5.1 ומטה | 25 באוגוסט 2015 | |
| ANDROID-23541506 | גָבוֹהַ | 6.0 ומטה | 25 באוגוסט 2015 | |
| ANDROID-23284974* | ||||
| ANDROID-23542351* | ||||
| ANDROID-23542352* | ||||
| ANDROID-23515142 | גָבוֹהַ | 5.1 ומטה | 19 באוגוסט 2015 |
* התיקון עבור באג זה כלול בקישורי AOSP אחרים שסופקו.
פגיעות העלאת הרשאות ב-libstagefright
קיימת פגיעות העלאת הרשאות ב-libstagefright שיכולה לאפשר ליישום זדוני מקומי לגרום לפגיעה בזיכרון ולביצוע קוד שרירותי בהקשר של שירות שרת המדיה. בעוד שבעיה זו בדרך כלל תהיה מדורגת כקריטית, הערכנו את הנושא הזה כחומרה גבוהה בגלל סבירות נמוכה יותר שניתן לנצל אותה מרחוק.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6610 | ANDROID-23707088 [ 2 ] | גָבוֹהַ | 6.0 ומטה | 19 באוגוסט 2015 |
פגיעות העלאת הרשאות בליבמדיה
ישנה פגיעות ב-libmedia שיכולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של שירות שרת המדיה. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי לגשת להרשאות שאינן נגישות ישירות לאפליקציה של צד שלישי.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6612 | ANDROID-23540426 | גָבוֹהַ | 6.0 ומטה | 23 באוגוסט 2015 |
פגיעות העלאת הרשאות ב-Bluetooth
קיימת פגיעות ב-Bluetooth שיכולה לאפשר לאפליקציה מקומית לשלוח פקודות ליציאת ניפוי באגים מאזינה במכשיר. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6613 | ANDROID-24371736 | גָבוֹהַ | 6.0 | Google פנימי |
פגיעות של העלאת זכויות בטלפוניה
פגיעות ברכיב הטלפוניה שיכולה לאפשר לאפליקציה זדונית מקומית להעביר נתונים לא מורשים לממשקי הרשת המוגבלים, מה שעלול להשפיע על חיובי נתונים. זה יכול גם למנוע מהמכשיר לקבל שיחות כמו גם לאפשר לתוקף לשלוט בהגדרות ההשתקה של שיחות. בעיה זו מדורגת כחומרה בינונית מכיוון שניתן להשתמש בה כדי לקבל הרשאות " מסוכנות " באופן שגוי.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6614 | ANDROID-21900139 [ 2 ] [ 3 ] | לְמַתֵן | 5.0, 5.1 | 8 ביוני 2015 |
שאלות ותשובות נפוצות
חלק זה יסקור תשובות לשאלות נפוצות שעלולות להתרחש לאחר קריאת עלון זה.
1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלו?
בונה LMY48X ואילך ו-Android Marshmallow עם רמת תיקון אבטחה של 1 בנובמבר 2015 ואילך מטפלים בבעיות אלה. עיין בתיעוד של Nexus לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה. יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל: [ro.build.version.security_patch]:[2015-11-01]
תיקונים
- 2 בנובמבר 2015: פורסם במקור