بولتن امنیتی Nexus - دسامبر 2015

منتشر شده در 16 آذر 1394 | به روز شده در 7 مارس 2016

ما یک به‌روزرسانی امنیتی برای دستگاه‌های Nexus از طریق به‌روزرسانی هوایی (OTA) به عنوان بخشی از فرآیند انتشار ماهانه بولتن امنیتی Android خود منتشر کرده‌ایم. تصاویر سفت‌افزار Nexus نیز در سایت Google Developer منتشر شده است. بیلدهای LMY48Z یا جدیدتر و Android 6.0 با سطح وصله امنیتی 1 دسامبر 2015 یا جدیدتر این مشکلات را برطرف می‌کنند. برای جزئیات بیشتر به بخش پرسش ها و پاسخ های رایج مراجعه کنید.

در تاریخ 2 نوامبر 2015 یا قبل از آن، شرکا در مورد این مسائل مطلع شدند و به‌روزرسانی‌هایی را ارائه کردند. در صورت لزوم، وصله‌های کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) منتشر شده است.

شدیدترین این مشکلات یک آسیب پذیری امنیتی بحرانی است که می تواند اجرای کد از راه دور را در دستگاه آسیب دیده از طریق چندین روش مانند ایمیل، مرور وب و MMS هنگام پردازش فایل های رسانه ای فعال کند. ارزیابی شدت بر اساس تأثیری است که بهره‌برداری از آسیب‌پذیری احتمالاً روی دستگاه آسیب‌دیده می‌گذارد، با این فرض که پلت‌فرم و کاهش خدمات برای اهداف توسعه غیرفعال شده باشند یا اگر با موفقیت دور زده شوند.

ما هیچ گزارشی مبنی بر بهره برداری فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد محافظت از پلتفرم امنیتی اندروید و محافظت از خدمات مانند SafetyNet، که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش کاهش دهنده ها مراجعه کنید. ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.

اقدامات کاهشی

این خلاصه‌ای از کاهش‌های ارائه‌شده توسط پلتفرم امنیتی Android و محافظت‌های خدماتی مانند SafetyNet است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.

  • بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
  • تیم امنیت Android با Verify Apps و SafetyNet که در مورد برنامه‌های بالقوه مضر در شرف نصب هشدار می‌دهند، به طور فعال در حال نظارت بر سوء استفاده است. ابزارهای روت کردن دستگاه در Google Play ممنوع است. برای محافظت از کاربرانی که برنامه‌های خارج از Google Play را نصب می‌کنند، Verify Apps به طور پیش‌فرض فعال است و به کاربران در مورد برنامه‌های روت‌شده شناخته شده هشدار می‌دهد. Verify Apps تلاش می کند تا نصب برنامه های مخرب شناخته شده ای را که از یک آسیب پذیری افزایش امتیاز سوء استفاده می کنند، شناسایی و مسدود کند. اگر چنین برنامه‌ای قبلاً نصب شده باشد، Verify Apps به کاربر اطلاع می‌دهد و سعی می‌کند چنین برنامه‌هایی را حذف کند.
  • در صورت لزوم، برنامه‌های Google Hangouts و Messenger رسانه‌ها را به‌طور خودکار به فرآیندهایی مانند مدیا سرور منتقل نمی‌کنند.

سپاسگزاریها

مایلیم از این پژوهشگران به خاطر مشارکتشان تشکر کنیم:

  • آبیشک آریا، الیور چانگ و مارتین باربلا از تیم امنیتی Google Chrome: CVE-2015-6616، CVE-2015-6617، CVE-2015-6623، CVE-2015-6626، CVE-2015-6619، CVE-2015-6615 ، CVE-2015-6634
  • Flanker ( @flanker_hqd ) از KeenTeam ( @K33nTeam ): CVE-2015-6620
  • گوانگ گونگ (龚广) ( @oldfresher , higongguang@gmail.com) شرکت فناوری Qihoo 360 : CVE-2015-6626
  • مارک کارتر ( @hanpingchinese ) از EmberMitre Ltd: CVE-2015-6630
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2015-6621
  • ناتالی سیلوانوویچ از Google Project Zero: CVE-2015-6616
  • پیتر پای از Trend Micro: CVE-2015-6616، CVE-2015-6628
  • قیدان او ( @flanker_hqd ) و مارکو گراسی ( @marcograss ) از KeenTeam ( @K33nTeam ): CVE-2015-6622
  • تزو یین (نینا) تای: CVE-2015-6627
  • خواکین رینودو ( @xeroxnir ) از Programa STIC در Fundación Dr. Manuel Sadosky، بوئنوس آیرس، آرژانتین: CVE-2015-6631
  • Wangtao (نئوبایت) Baidu X-Team: CVE-2015-6626

جزئیات آسیب پذیری امنیتی

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله 01-12-2015 اعمال می‌شود، ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، اشکال مرتبط، شدت، نسخه های به روز شده و تاریخ گزارش شده وجود دارد. زمانی که در دسترس باشد، تغییر AOSP که مشکل را برطرف کرده است را به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی AOSP به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

آسیب پذیری های اجرای کد از راه دور در Mediaserver

در طول فایل رسانه و پردازش داده‌های یک فایل ساخته‌شده خاص، آسیب‌پذیری‌های موجود در مدیاسرور می‌تواند به مهاجم اجازه دهد که باعث خرابی حافظه و اجرای کد از راه دور به عنوان فرآیند سرور رسانه‌ای شود.

عملکرد آسیب‌دیده به‌عنوان بخش اصلی سیستم‌عامل ارائه می‌شود و برنامه‌های متعددی وجود دارد که امکان دسترسی به آن را با محتوای راه دور فراهم می‌کند، به ویژه MMS و مرورگر پخش رسانه.

این موضوع به دلیل امکان اجرای کد از راه دور در زمینه سرویس سرور رسانه، به عنوان یک شدت بحرانی رتبه بندی می شود. سرویس مدیا سرور به جریان های صوتی و تصویری و همچنین به امتیازاتی دسترسی دارد که برنامه های شخص ثالث معمولاً نمی توانند به آنها دسترسی داشته باشند.

CVE اشکال (ها) با پیوندهای AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2015-6616 ANDROID-24630158 بحرانی 6.0 و پایین تر گوگل داخلی
ANDROID-23882800 بحرانی 6.0 و پایین تر گوگل داخلی
ANDROID-17769851 بحرانی 5.1 و پایین تر گوگل داخلی
ANDROID-24441553 بحرانی 6.0 و پایین تر 22 سپتامبر 2015
ANDROID-24157524 بحرانی 6.0 8 سپتامبر 2015

آسیب پذیری اجرای کد از راه دور در Skia

یک آسیب‌پذیری در مؤلفه Skia ممکن است هنگام پردازش یک فایل رسانه‌ای ساخته‌شده به‌ویژه مورد استفاده قرار گیرد، که می‌تواند منجر به تخریب حافظه و اجرای کد از راه دور در یک فرآیند ممتاز شود. این مشکل به دلیل امکان اجرای کد از راه دور از طریق چندین روش حمله مانند ایمیل، مرور وب و MMS هنگام پردازش فایل های رسانه ای، به عنوان یک شدت بحرانی رتبه بندی می شود.

CVE اشکال (ها) با پیوندهای AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2015-6617 ANDROID-23648740 بحرانی 6.0 و پایین تر گوگل داخلی

افزایش امتیاز در کرنل

افزایش آسیب پذیری امتیاز در هسته سیستم می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه ریشه دستگاه اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، به عنوان یک شدت بحرانی رتبه بندی شده است و دستگاه فقط با فلش مجدد سیستم عامل قابل تعمیر است.

CVE اشکال (ها) با پیوندهای AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2015-6619 ANDROID-23520714 بحرانی 6.0 و پایین تر 7 ژوئن 2015

آسیب پذیری های اجرای کد از راه دور در درایور نمایشگر

آسیب‌پذیری‌هایی در درایورهای نمایشگر وجود دارد که هنگام پردازش یک فایل رسانه‌ای، می‌تواند باعث خرابی حافظه و اجرای کد دلخواه بالقوه در زمینه درایور حالت کاربر بارگیری شده توسط مدیاسرور شود. این مشکل به دلیل امکان اجرای کد از راه دور از طریق چندین روش حمله مانند ایمیل، مرور وب و MMS هنگام پردازش فایل های رسانه ای، به عنوان یک شدت بحرانی رتبه بندی می شود.

CVE اشکال (ها) با پیوندهای AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2015-6633 ANDROID-23987307* بحرانی 6.0 و پایین تر گوگل داخلی
CVE-2015-6634 ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] بحرانی 5.1 و پایین تر گوگل داخلی

*پچ این مشکل در AOSP نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری اجرای کد از راه دور در بلوتوث

یک آسیب پذیری در مؤلفه بلوتوث اندروید می تواند اجرای کد از راه دور را امکان پذیر کند. با این حال قبل از اینکه این اتفاق بیفتد چندین مرحله دستی لازم است. برای انجام این کار، پس از فعال شدن نمایه شبکه شخصی (PAN) (به عنوان مثال با استفاده از اتصال بلوتوث) و جفت شدن دستگاه، به یک دستگاه با موفقیت جفت شده نیاز است. اجرای کد از راه دور در اختیار سرویس بلوتوث خواهد بود. یک دستگاه فقط از طریق دستگاهی که با موفقیت جفت شده است در مجاورت محلی در برابر این مشکل آسیب پذیر است.

این مشکل به‌عنوان «شدت بالا» رتبه‌بندی می‌شود، زیرا یک مهاجم می‌تواند از راه دور کد دلخواه را تنها پس از انجام چندین مرحله دستی و از طریق یک مهاجم محلی نزدیک که قبلاً مجاز به جفت کردن یک دستگاه بوده است، اجرا کند.

CVE اشکال(ها) شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2015-6618 ANDROID-24595992* بالا 4.4، 5.0 و 5.1 28 سپتامبر 2015

*پچ این مشکل در AOSP نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری های امتیاز در libstagefright

آسیب پذیری های متعددی در libstagefright وجود دارد که می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه سرویس مدیا سرور اجرا کند. این مشکل به‌عنوان شدت بالا رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن قابلیت‌های بالا استفاده کرد، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیستند.

CVE اشکال (ها) با پیوندهای AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2015-6620 ANDROID-24123723 بالا 6.0 و پایین تر 10 سپتامبر 2015
ANDROID-24445127 بالا 6.0 و پایین تر 2 سپتامبر 2015

افزایش آسیب پذیری Privilege در SystemUI

هنگام تنظیم زنگ هشدار با استفاده از برنامه ساعت، یک آسیب‌پذیری در مؤلفه SystemUI می‌تواند به برنامه اجازه دهد تا یک کار را در سطح امتیاز بالا اجرا کند. این مشکل به‌عنوان شدت بالا رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن قابلیت‌های بالا استفاده کرد، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیستند.

CVE اشکال (ها) با پیوندهای AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2015-6621 ANDROID-23909438 بالا 5.0، 5.1 و 6.0 7 سپتامبر 2015

آسیب پذیری افشای اطلاعات در کتابخانه Native Frameworks

یک آسیب‌پذیری افشای اطلاعات در کتابخانه Native Frameworks Android می‌تواند به دور زدن اقدامات امنیتی برای افزایش دشواری مهاجمان در سوء استفاده از پلتفرم اجازه دهد. این مسائل به‌عنوان شدت بالا رتبه‌بندی می‌شوند، زیرا می‌توانند برای به دست آوردن قابلیت‌های بالا، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیستند، استفاده شوند.

CVE اشکال (ها) با پیوندهای AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2015-6622 ANDROID-23905002 بالا 6.0 و پایین تر 7 سپتامبر 2015

افزایش آسیب پذیری امتیاز در وای فای

افزایش آسیب‌پذیری امتیاز در Wi-Fi می‌تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک سرویس سیستم بالا اجرا کند. این مشکل به‌عنوان شدت بالا رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن قابلیت‌های بالا استفاده کرد، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیستند.

CVE اشکال (ها) با پیوندهای AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2015-6623 ANDROID-24872703 بالا 6.0 گوگل داخلی

افزایش آسیب پذیری امتیاز در سرور سیستم

افزایش آسیب پذیری امتیاز در مؤلفه System Server می تواند یک برنامه مخرب محلی را قادر سازد تا به اطلاعات مربوط به سرویس دسترسی پیدا کند. این مشکل به‌عنوان شدت بالا رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن قابلیت‌های بالا استفاده کرد، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیستند.

CVE اشکال (ها) با پیوندهای AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2015-6624 ANDROID-23999740 بالا 6.0 گوگل داخلی

آسیب پذیری های افشای اطلاعات در libstagefright

آسیب‌پذیری‌های افشای اطلاعات در libstagefright وجود دارد که در حین برقراری ارتباط با سرور رسانه، می‌تواند امکان دور زدن اقدامات امنیتی را برای افزایش دشواری مهاجمان در سوء استفاده از پلتفرم فراهم کند. این مسائل به‌عنوان شدت بالا رتبه‌بندی می‌شوند، زیرا می‌توانند برای به دست آوردن قابلیت‌های بالا، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیستند، استفاده شوند.

CVE اشکال (ها) با پیوندهای AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2015-6632 ANDROID-24346430 بالا 6.0 و پایین تر گوگل داخلی
CVE-2015-6626 ANDROID-24310423 بالا 6.0 و پایین تر 2 سپتامبر 2015
CVE-2015-6631 ANDROID-24623447 بالا 6.0 و پایین تر 21 اوت 2015

آسیب پذیری افشای اطلاعات در صدا

یک آسیب‌پذیری در مؤلفه صوتی می‌تواند در طول پردازش فایل صوتی مورد سوء استفاده قرار گیرد. این آسیب‌پذیری می‌تواند به یک برنامه مخرب محلی اجازه دهد، در طول پردازش یک فایل ساخته‌شده خاص، باعث افشای اطلاعات شود. این مشکل به‌عنوان شدت بالا رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن قابلیت‌های بالا استفاده کرد، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیستند.

CVE اشکال (ها) با پیوندهای AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2015-6627 ANDROID-24211743 بالا 6.0 و پایین تر گوگل داخلی

آسیب پذیری افشای اطلاعات در چارچوب رسانه

یک آسیب‌پذیری افشای اطلاعات در Media Framework وجود دارد که در حین برقراری ارتباط با سرور رسانه، می‌تواند امکان دور زدن اقدامات امنیتی را برای افزایش دشواری مهاجمان در سوء استفاده از پلتفرم فراهم کند. این مشکل به‌عنوان شدت بالا رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن قابلیت‌های بالا، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیست، استفاده کرد.

CVE اشکال (ها) با پیوندهای AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2015-6628 ANDROID-24074485 بالا 6.0 و پایین تر 8 سپتامبر 2015

آسیب پذیری افشای اطلاعات در وای فای

یک آسیب‌پذیری در مؤلفه Wi-Fi می‌تواند به مهاجم اجازه دهد تا سرویس Wi-Fi اطلاعات را فاش کند. این مشکل به‌عنوان شدت بالا رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن قابلیت‌های بالا استفاده کرد، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیستند.

CVE اشکال (ها) با پیوندهای AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2015-6629 ANDROID-22667667 بالا 5.1 و 5.0 گوگل داخلی

افزایش آسیب پذیری امتیاز در سرور سیستم

افزایش آسیب پذیری امتیاز در سرور سیستم می تواند یک برنامه مخرب محلی را قادر سازد تا به اطلاعات مربوط به سرویس Wi-Fi دسترسی پیدا کند. این مشکل به‌عنوان شدت متوسط ​​رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن نامناسب مجوزهای « خطرناک » استفاده کرد.

CVE اشکال (ها) با پیوندهای AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2015-6625 ANDROID-23936840 در حد متوسط 6.0 گوگل داخلی

آسیب پذیری افشای اطلاعات در SystemUI

یک آسیب‌پذیری افشای اطلاعات در SystemUI می‌تواند یک برنامه مخرب محلی را قادر سازد تا به تصاویر صفحه دسترسی پیدا کند. این مشکل به‌عنوان شدت متوسط ​​رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن نامناسب مجوزهای « خطرناک » استفاده کرد.

CVE اشکال (ها) با پیوندهای AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2015-6630 ANDROID-19121797 در حد متوسط 5.0، 5.1 و 6.0 22 ژانویه 2015

پرسش ها و پاسخ های متداول

این بخش پاسخ به سؤالات رایجی را که ممکن است پس از خواندن این بولتن رخ دهد، بررسی می کند.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

بیلدهای LMY48Z یا جدیدتر و Android 6.0 با سطح وصله امنیتی 1 دسامبر 2015 یا جدیدتر این مشکلات را برطرف می‌کنند. برای دستورالعمل‌های نحوه بررسی سطح وصله امنیتی، به مستندات Nexus مراجعه کنید. سازندگان دستگاه‌هایی که شامل این به‌روزرسانی‌ها هستند، باید سطح رشته وصله را روی: [ro.build.version.security_patch]:[01-12-2015] تنظیم کنند.

تجدید نظرها

  • 07 دسامبر 2015: در ابتدا منتشر شد
  • 9 دسامبر 2015: بولتن اصلاح شد تا شامل پیوندهای AOSP باشد.
  • 22 دسامبر 2015: اعتبار گمشده به بخش قدردانی اضافه شد.
  • 07 مارس 2016: اعتبار گمشده به بخش قدردانی اضافه شد.