Yayınlanma tarihi: 7 Aralık 2015 | Güncelleme tarihi: 7 Mart 2016
Android Güvenlik Bülteni Aylık Yayınlama sürecimiz kapsamında, Nexus cihazlara kablosuz (OTA) güncelleme aracılığıyla bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı resimleri de Google Developers sitesinde yayınlandı. LMY48Z veya sonraki sürümler ve 1 Aralık 2015 veya sonraki bir güvenlik yaması düzeyine sahip Android 6.0 bu sorunları giderir. Daha fazla bilgi için Sık Sorulan Sorular ve Yanıtlar bölümüne bakın.
İş ortakları, 2 Kasım 2015'te veya daha önce bu sorunlar hakkında bilgilendirildi ve güncellemeler sağlandı. Uygun durumlarda, bu sorunlara yönelik kaynak kod yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayınlanmıştır.
Bu sorunlardan en ciddi olanı, medya dosyaları işlenirken e-posta, web tarayıcısı ve MMS gibi birden fazla yöntemle etkilenen cihazda uzaktan kod çalıştırmayı etkinleştirebilecek kritik bir güvenlik açığıdır. Önem değerlendirmesi, platform ve hizmet azaltmalarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerinde oluşturabileceği etkiye dayanır.
Yeni bildirilen bu sorunların müşteriler tarafından aktif olarak istismar edildiğine dair bir bildirim almadık. Android platformunun güvenliğini artıran Android güvenlik platformu korumaları ve SafetyNet gibi hizmet korumaları hakkında ayrıntılı bilgi için Önlemler bölümüne bakın. Tüm müşterilerin cihazlarında bu güncellemeleri kabul etmelerini öneririz.
Çözümler
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltıcı önlemlerin özetidir. Bu özellikler, Android'de güvenlik açıklarının başarılı bir şekilde kötüye kullanılması olasılığını azaltır.
- Android platformunun yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorunun istismar edilmesini zorlaştırmaktadır. Tüm kullanıcıları mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ederiz.
- Android Güvenlik Ekibi, Uygulamaları Doğrula ve SafetyNet ile kötüye kullanım olup olmadığını etkin bir şekilde izler. Bu sayede, yüklenmek üzere olan potansiyel olarak zararlı uygulamalar hakkında uyarı alırsınız. Cihaz köklendirme araçları Google Play'de yasaktır. Google Play dışından uygulama yükleyen kullanıcıları korumak için Uygulamaları Doğrula özelliği varsayılan olarak etkindir ve kullanıcıları bilinen köklendirme uygulamaları konusunda uyarır. Doğrula Uygulamalar, ayrıcalık yükseltme güvenlik açıklarından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini tespit edip engellemeye çalışır. Bu tür bir uygulama zaten yüklüyse Uygulamaları Doğrula, kullanıcıyı bilgilendirir ve bu tür uygulamaları kaldırmaya çalışır.
- Google Hangouts ve Messenger uygulamaları, uygun olduğunda medyayı mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür ederiz
Katkılarından dolayı aşağıdaki araştırmacılara teşekkür ederiz:
- Google Chrome Güvenlik Ekibi'nden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633, CVE-2015-6634
- KeenTeam (@K33nTeam) üyesi Flanker (@flanker_hqd): CVE-2015-6620
- Qihoo 360 Technology Co.Ltd'den Guang Gong (龚广) (@oldfresher, higongguang@gmail.com): CVE-2015-6626
- EmberMitre Ltd.'den Mark Carter (@hanpingchinese): CVE-2015-6630
- Michał Bednarski (https://github.com/michalbednarski): CVE-2015-6621
- Google Project Zero'dan Natalie Silvanovich: CVE-2015-6616
- Trend Micro'dan Peter Pi: CVE-2015-6616, CVE-2015-6628
- KeenTeam (@K33nTeam) üyesi Qidan He (@flanker_hqd) ve Marco Grassi (@marcograss): CVE-2015-6622
- Tzu-Yin (Nina) Tai: CVE-2015-6627
- Joaquín Rinaudo (@xeroxnir), Programa STIC, Fundación Dr. Manuel Sadosky, Buenos Aires, Arjantin: CVE-2015-6631
- Baidu X-Team'den Wangtao (neobyte): CVE-2015-6626
Güvenlik Açığı Ayrıntıları
Aşağıdaki bölümlerde, 01.12.2015 yaması düzeyi için geçerli olan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Sorunun açıklaması, önem düzeyi gerekçesi ve CVE, ilişkili hata, önem düzeyi, güncellenen sürümler ve bildirilme tarihi içeren bir tablo bulunur. Mümkün olduğunda, sorunu gideren AOSP değişikliğini hata kimliğine bağlayacağız. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, ek AOSP referansları hata kimliğinin ardından gelen sayılara bağlanır.
Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açıkları
Özel olarak hazırlanmış bir medya dosyasının ve verilerinin işlenmesi sırasında mediaserver'daki güvenlik açıkları, saldırganın mediaserver işlemi olarak bellek bozulmasına ve uzaktan kod yürütmeye neden olmasına izin verebilir.
Etkilenen işlev, işletim sisteminin temel bir parçası olarak sağlanır ve uzaktan içerikle erişilmesine olanak tanıyan birden fazla uygulama vardır. Bunlardan en önemlileri MMS ve tarayıcıda medya oynatmadır.
Bu sorun, mediaserver hizmeti bağlamında uzaktan kod çalıştırma olasılığı nedeniyle Kritik önem düzeyinde olarak derecelendirilmiştir. mediaserver hizmeti, ses ve video akışlarına ve üçüncü taraf uygulamalarının normalde erişemeyeceği ayrıcalıklara erişebilir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6616 | ANDROID-24630158 | Kritik (Critical) | 6.0 ve önceki sürümler | Google Dahili |
| ANDROID-23882800 | Kritik (Critical) | 6.0 ve önceki sürümler | Google Dahili | |
| ANDROID-17769851 | Kritik (Critical) | 5.1 ve önceki sürümler | Google Dahili | |
| ANDROID-24441553 | Kritik (Critical) | 6.0 ve önceki sürümler | 22 Eylül 2015 | |
| ANDROID-24157524 | Kritik (Critical) | 6.0 | 8 Eylül 2015 |
Skia'da Uzaktan Kod Yürütme Güvenlik Açığı
Özel olarak hazırlanmış bir medya dosyası işlenirken Skia bileşenindeki bir güvenlik açığından yararlanılabilir. Bu durum, bellek bozulmasına ve ayrıcalıklı bir işlemde uzaktan kod çalıştırılmasına neden olabilir. Medya dosyaları işlenirken e-posta, web tarayıcısı ve MMS gibi birden fazla saldırı yöntemi aracılığıyla uzaktan kod çalıştırma olasılığı nedeniyle bu sorun kritik önem düzeyinde olarak değerlendirilir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6617 | ANDROID-23648740 | Kritik (Critical) | 6.0 ve önceki sürümler | Yalnızca Google |
Çekirdekte ayrıcalık yükseltme
Sistem çekirdeğinde ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın cihaz kök bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik önem düzeyinde olarak değerlendirilir ve cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6619 | ANDROID-23520714 | Kritik (Critical) | 6.0 ve önceki sürümler | 7 Haziran 2015 |
Ekran Sürücüsünde Uzaktan Kod Yürütme Güvenlik Açığı
Ekran sürücülerinde, bir medya dosyası işlenirken mediaserver tarafından yüklenen kullanıcı modu sürücüsü bağlamında bellek bozulmasına ve olası keyfi kod yürütme işlemlerine neden olabilecek güvenlik açıkları vardır. Bu sorun, medya dosyaları işlenirken e-posta, web tarayıcısı ve MMS gibi birden fazla saldırı yöntemi aracılığıyla uzaktan kod çalıştırma olasılığı nedeniyle Kritik olarak değerlendirilir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6633 | ANDROID-23987307* | Kritik (Critical) | 6.0 ve önceki sürümler | Google Dahili |
| CVE-2015-6634 | ANDROID-24163261 [2] [3] [4] | Kritik (Critical) | 5.1 ve önceki sürümler | Google Dahili |
*Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden edinilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Bluetooth'ta Uzaktan Kod Yürütme Güvenlik Açığı
Android'in Bluetooth bileşenindeki bir güvenlik açığı, uzaktan kod çalıştırılmasına izin verebilir. Ancak bunun gerçekleşmesi için birden fazla manuel adım gerekir. Bunu yapmak için kişisel alan ağı (PAN) profilinin etkinleştirilmesi (ör. Bluetooth tethering kullanılarak) ve cihazın eşlenmesi sonrasında başarıyla eşlenmiş bir cihaz gerekir. Uzaktan kod yürütme, Bluetooth hizmetinin ayrıcalığıdır. Bir cihaz yalnızca yerel yakınlıktayken başarıyla eşlenmiş bir cihazdan bu soruna karşı savunmasızdır.
Bir saldırgan, rastgele kodu yalnızca birden fazla manuel adım uygulandıktan sonra ve daha önce cihazı eşlemeye izin verilmiş olan yerel olarak yakın bir saldırgandan uzaktan yürütebileceğinden bu sorun yüksek önem derecesine sahiptir.
| CVE | Hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6618 | ANDROID-24595992* | Yüksek | 4.4, 5.0 ve 5.1 | 28 Eylül 2015 |
*Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden edinilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
libstagefright'ta ayrıcalık yükseltme güvenlik açıkları
libstagefright'ta, yerel bir kötü amaçlı uygulamanın mediaserver hizmeti bağlamında keyfi kod yürütmesine olanak tanıyabilecek birden fazla güvenlik açığı vardır. Bu sorun, üçüncü taraf uygulamaların erişemediği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yüksek düzeyli özellikler elde etmek için kullanılabileceğinden yüksek önem derecesine sahiptir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6620 | ANDROID-24123723 | Yüksek | 6.0 ve önceki sürümler | 10 Eylül 2015 |
| ANDROID-24445127 | Yüksek | 6.0 ve önceki sürümler | 2 Eylül 2015 |
SystemUI'de ayrıcalık yükseltme güvenlik açığı
Saat uygulamasını kullanarak alarm ayarlanırken SystemUI bileşenindeki bir güvenlik açığı, bir uygulamanın bir görevi yükseltilmiş ayrıcalık düzeyinde yürütmesine izin verebilir. Bu sorun, üçüncü taraf uygulamaların erişemediği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yüksek düzeyli özellikler elde etmek için kullanılabileceğinden yüksek önem derecesine sahiptir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6621 | ANDROID-23909438 | Yüksek | 5.0, 5.1 ve 6.0 | 7 Eylül 2015 |
Yerel Çerçeveler Kitaplığında Bilgi Açıklama Güvenlik Açığı
Android Native Frameworks Library'deki bir bilgi açığı, platformdan yararlanan saldırganların zorluğunu artırmak için mevcut güvenlik önlemlerinin atlanmasına izin verebilir. Bu sorunlar, üçüncü taraf uygulamaların erişemediği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yüksek düzeyli özellikler elde etmek için de kullanılabileceğinden yüksek önem düzeyinde olarak değerlendirilir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6622 | ANDROID-23905002 | Yüksek | 6.0 ve önceki sürümler | 7 Eylül 2015 |
Kablosuz Ağda Ayrıcalık Yükseltme Güvenlik Açığı
Kablosuz ağda ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir sistem hizmeti bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, üçüncü taraf uygulamaların erişemediği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yüksek düzeyli özellikler elde etmek için kullanılabileceğinden yüksek önem derecesine sahiptir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6623 | ANDROID-24872703 | Yüksek | 6.0 | Google Dahili |
Sistem Sunucusunda Yetki Yükseltme Güvenlik Açığı
Sistem sunucusu bileşeninde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın hizmetle ilgili bilgilere erişmesine olanak tanıyabilir. Bu sorun, üçüncü taraf uygulamaların erişemediği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yüksek düzeyli özellikler elde etmek için kullanılabileceğinden yüksek önem derecesine sahiptir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6624 | ANDROID-23999740 | Yüksek | 6.0 | Yalnızca Google |
libstagefright'taki Bilgi Açıklamasıyla İlgili Güvenlik Açıkları
libstagefright'ta, mediaserver ile iletişim sırasında saldırganların platformdan yararlanmasını zorlaştırmak için mevcut güvenlik önlemlerinin atlanmasına izin verebilecek bilgi açığa çıkarma güvenlik açıkları vardır. Bu sorunlar, üçüncü taraf uygulamaların erişemediği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yüksek düzeyde özellikler elde etmek için de kullanılabileceğinden yüksek önem derecesine sahiptir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6632 | ANDROID-24346430 | Yüksek | 6.0 ve önceki sürümler | Google Dahili |
| CVE-2015-6626 | ANDROID-24310423 | Yüksek | 6.0 ve önceki sürümler | 2 Eylül 2015 |
| CVE-2015-6631 | ANDROID-24623447 | Yüksek | 6.0 ve önceki sürümler | 21 Ağustos 2015 |
Seslerde Bilgi İfşa Etme Güvenlik Açığı
Ses bileşenindeki bir güvenlik açığından ses dosyası işlenirken yararlanılabilir. Bu güvenlik açığı, yerel bir kötü amaçlı uygulamanın, özel olarak hazırlanmış bir dosyanın işlenmesi sırasında bilgi ifşa etmesine neden olabilir. Bu sorun, üçüncü taraf uygulamaların erişemediği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yüksek düzeyli özellikler elde etmek için kullanılabileceğinden yüksek önem derecesine sahiptir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6627 | ANDROID-24211743 | Yüksek | 6.0 ve önceki sürümler | Google Dahili |
Medya Çerçevesinde Bilgi İfşa Etme Güvenlik Açığı
Media Framework'de, mediaserver ile iletişim sırasında platformdan yararlanan saldırganların zorluğunu artırmak için mevcut güvenlik önlemlerinin atlanmasına izin verebilecek bir bilgi ifşa güvenlik açığı vardır. Bu sorun, üçüncü taraf uygulamaların erişemediği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yüksek düzeyli özellikler elde etmek için de kullanılabileceğinden yüksek önem düzeyinde olarak değerlendirilir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6628 | ANDROID-24074485 | Yüksek | 6.0 ve önceki sürümler | 8 Eylül 2015 |
Kablosuz Ağda Bilgi Açıklama Güvenlik Açığı
Kablosuz bileşendeki bir güvenlik açığı, saldırganın kablosuz hizmetin bilgi ifşa etmesine neden olmasına neden olabilir. Bu sorun, üçüncü taraf uygulamaların erişemediği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yüksek düzeyli özellikler elde etmek için kullanılabileceğinden yüksek önem düzeyinde olarak değerlendirilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6629 | ANDROID-22667667 | Yüksek | 5.1 ve 5.0 | Google Dahili |
Sistem Sunucusunda Yetki Yükseltme Güvenlik Açığı
Sistem sunucusunda ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın kablosuz hizmetle ilgili bilgilere erişmesine olanak tanıyabilir. "Tehlikeli" izinleri uygunsuz bir şekilde elde etmek için kullanılabileceğinden bu sorun orta önem düzeyinde olarak derecelendirilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6625 | ANDROID-23936840 | Orta seviye | 6.0 | Google Dahili |
SystemUI'de Bilgi Açıklama Güvenlik Açığı
SystemUI'deki bilgi ifşa etme güvenlik açığı, yerel kötü amaçlı bir uygulamanın ekran görüntülerine erişmesine olanak tanıyabilir. Bu sorun, "tehlikeli" izinleri uygunsuz bir şekilde elde etmek için kullanılabileceğinden orta önem düzeyinde olarak derecelendirilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6630 | ANDROID-19121797 | Orta seviye | 5.0, 5.1 ve 6.0 | 22 Ocak 2015 |
Sık Sorulan Sorular ve Yanıtları
Bu bölümde, bu bülteni okuduktan sonra aklınıza gelebilecek sık sorulan soruların yanıtları ele alınmaktadır.
1. Cihazımın bu sorunları giderecek şekilde güncellenip güncellenmediğini nasıl öğrenebilirim?
LMY48Z veya sonraki sürümler ve 1 Aralık 2015 veya sonraki bir güvenlik yaması düzeyine sahip Android 6.0 bu sorunları giderir. Güvenlik yaması düzeyini kontrol etmeyle ilgili talimatlar için Nexus dokümanlarına bakın. Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2015-12-01]
Düzeltmeler
- 7 Aralık 2015: İlk Yayınlanma
- 9 Aralık 2015: Bülten, AOSP bağlantılarını içerecek şekilde düzeltildi.
- 22 Aralık 2015: Teşekkür bölümünde eksik kredi eklendi.
- 7 Mart 2016: Teşekkür bölümünde eksik olan kredi eklendi.