این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

بولتن امنیتی Nexus - دسامبر 2015

منتشر شده در 16 آذر 1394 | به روز شده در 7 مارس 2016

ما یک به‌روزرسانی امنیتی برای دستگاه‌های Nexus از طریق به‌روزرسانی هوایی (OTA) به عنوان بخشی از فرآیند انتشار ماهانه بولتن امنیتی Android خود منتشر کرده‌ایم. تصاویر سفت‌افزار Nexus نیز در سایت Google Developer منتشر شده است. بیلدهای LMY48Z یا جدیدتر و Android 6.0 با سطح وصله امنیتی 1 دسامبر 2015 یا جدیدتر این مشکلات را برطرف می‌کنند. برای جزئیات بیشتر به بخش پرسش ها و پاسخ های رایج مراجعه کنید.

در تاریخ 2 نوامبر 2015 یا قبل از آن، شرکا در مورد این مسائل مطلع شدند و به‌روزرسانی‌هایی را ارائه کردند. در صورت لزوم، وصله‌های کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) منتشر شده است.

شدیدترین این مشکلات یک آسیب پذیری امنیتی بحرانی است که می تواند اجرای کد از راه دور را در دستگاه آسیب دیده از طریق چندین روش مانند ایمیل، مرور وب و MMS هنگام پردازش فایل های رسانه ای فعال کند. ارزیابی شدت بر اساس تأثیری است که بهره‌برداری از آسیب‌پذیری احتمالاً روی دستگاه آسیب‌دیده می‌گذارد، با این فرض که پلت‌فرم و کاهش خدمات برای اهداف توسعه غیرفعال شده باشند یا اگر با موفقیت دور زده شوند.

ما هیچ گزارشی مبنی بر بهره برداری فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد محافظت از پلتفرم امنیتی اندروید و محافظت از خدمات مانند SafetyNet، که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش کاهش دهنده ها مراجعه کنید. ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.

کاهش

این خلاصه‌ای از کاهش‌های ارائه‌شده توسط پلتفرم امنیتی Android و محافظت‌های خدماتی مانند SafetyNet است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.

بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
تیم امنیت Android با Verify Apps و SafetyNet که در مورد برنامه‌های بالقوه مضر در شرف نصب هشدار می‌دهند، به طور فعال در حال نظارت بر سوء استفاده است. ابزارهای روت کردن دستگاه در Google Play ممنوع است. برای محافظت از کاربرانی که برنامه‌های خارج از Google Play را نصب می‌کنند، Verify Apps به طور پیش‌فرض فعال است و به کاربران در مورد برنامه‌های روت‌شده شناخته شده هشدار می‌دهد. Verify Apps تلاش می کند تا نصب برنامه های مخرب شناخته شده ای را که از یک آسیب پذیری افزایش امتیاز سوء استفاده می کنند، شناسایی و مسدود کند. اگر چنین برنامه‌ای قبلاً نصب شده باشد، Verify Apps به کاربر اطلاع می‌دهد و سعی می‌کند چنین برنامه‌هایی را حذف کند.
در صورت لزوم، برنامه‌های Google Hangouts و Messenger رسانه‌ها را به‌طور خودکار به فرآیندهایی مانند مدیا سرور منتقل نمی‌کنند.

سپاسگزاریها

مایلیم از این پژوهشگران به خاطر مشارکتشان تشکر کنیم:

آبیشک آریا، الیور چانگ و مارتین باربلا از تیم امنیتی Google Chrome: CVE-2015-6616، CVE-2015-6617، CVE-2015-6623، CVE-2015-6626، CVE-2015-6619، CVE-2015-6615 ، CVE-2015-6634
Flanker ( @flanker_hqd ) از KeenTeam ( @K33nTeam ): CVE-2015-6620
گوانگ گونگ (龚广) ( @oldfresher , higongguang@gmail.com) شرکت فناوری Qihoo 360 : CVE-2015-6626
مارک کارتر ( @hanpingchinese ) از EmberMitre Ltd: CVE-2015-6630
Michał Bednarski ( https://github.com/michalbednarski ): CVE-2015-6621
ناتالی سیلوانوویچ از Google Project Zero: CVE-2015-6616
پیتر پای از Trend Micro: CVE-2015-6616، CVE-2015-6628
قیدان او ( @flanker_hqd ) و مارکو گراسی ( @marcograss ) از KeenTeam ( @K33nTeam ): CVE-2015-6622
تزو یین (نینا) تای: CVE-2015-6627
خواکین رینودو ( @xeroxnir ) از Programa STIC در Fundación Dr. Manuel Sadosky، بوئنوس آیرس، آرژانتین: CVE-2015-6631
Wangtao (نئوبایت) Baidu X-Team: CVE-2015-6626

جزئیات آسیب پذیری امنیتی

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله 01-12-2015 اعمال می‌شود، ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، اشکال مرتبط، شدت، نسخه های به روز شده و تاریخ گزارش شده وجود دارد. زمانی که در دسترس باشد، تغییر AOSP که مشکل را برطرف کرده است را به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی AOSP به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

آسیب پذیری های اجرای کد از راه دور در Mediaserver

در طول فایل رسانه و پردازش داده‌های یک فایل ساخته‌شده خاص، آسیب‌پذیری‌های موجود در مدیاسرور می‌تواند به مهاجم اجازه دهد که باعث خرابی حافظه و اجرای کد از راه دور به عنوان فرآیند سرور رسانه‌ای شود.

عملکرد آسیب‌دیده به‌عنوان بخش اصلی سیستم‌عامل ارائه می‌شود و برنامه‌های متعددی وجود دارد که امکان دسترسی به آن را با محتوای راه دور فراهم می‌کند، به ویژه MMS و مرورگر پخش رسانه.

این موضوع به دلیل امکان اجرای کد از راه دور در زمینه سرویس سرور رسانه، به عنوان یک شدت بحرانی رتبه بندی می شود. سرویس مدیا سرور به جریان های صوتی و تصویری و همچنین به امتیازاتی دسترسی دارد که برنامه های شخص ثالث معمولاً نمی توانند به آنها دسترسی داشته باشند.

CVE	اشکال (ها) با پیوندهای AOSP	شدت	نسخه های به روز شده	تاریخ گزارش شده
CVE-2015-6616	ANDROID-24630158	بحرانی	6.0 و پایین تر	گوگل داخلی
	ANDROID-23882800	بحرانی	6.0 و پایین تر	گوگل داخلی
	ANDROID-17769851	بحرانی	5.1 و پایین تر	گوگل داخلی
	ANDROID-24441553	بحرانی	6.0 و پایین تر	22 سپتامبر 2015
	ANDROID-24157524	بحرانی	6.0	8 سپتامبر 2015

آسیب پذیری اجرای کد از راه دور در Skia

یک آسیب‌پذیری در مؤلفه Skia ممکن است هنگام پردازش یک فایل رسانه‌ای ساخته‌شده به‌ویژه مورد استفاده قرار گیرد، که می‌تواند منجر به تخریب حافظه و اجرای کد از راه دور در یک فرآیند ممتاز شود. این مشکل به دلیل امکان اجرای کد از راه دور از طریق چندین روش حمله مانند ایمیل، مرور وب و MMS هنگام پردازش فایل های رسانه ای، به عنوان یک شدت بحرانی رتبه بندی می شود.

CVE	اشکال (ها) با پیوندهای AOSP	شدت	نسخه های به روز شده	تاریخ گزارش شده
CVE-2015-6617	ANDROID-23648740	بحرانی	6.0 و پایین تر	گوگل داخلی

افزایش امتیاز در کرنل

افزایش آسیب پذیری امتیاز در هسته سیستم می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه ریشه دستگاه اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، به عنوان یک شدت بحرانی رتبه بندی شده است و دستگاه فقط با فلش مجدد سیستم عامل قابل تعمیر است.

CVE	اشکال (ها) با پیوندهای AOSP	شدت	نسخه های به روز شده	تاریخ گزارش شده
CVE-2015-6619	ANDROID-23520714	بحرانی	6.0 و پایین تر	7 ژوئن 2015

آسیب پذیری های اجرای کد از راه دور در درایور نمایشگر

آسیب‌پذیری‌هایی در درایورهای نمایشگر وجود دارد که هنگام پردازش یک فایل رسانه‌ای، می‌تواند باعث خرابی حافظه و اجرای کد دلخواه بالقوه در زمینه درایور حالت کاربر بارگیری شده توسط مدیاسرور شود. این مشکل به دلیل امکان اجرای کد از راه دور از طریق چندین روش حمله مانند ایمیل، مرور وب و MMS هنگام پردازش فایل های رسانه ای، به عنوان یک شدت بحرانی رتبه بندی می شود.

CVE	اشکال (ها) با پیوندهای AOSP	شدت	نسخه های به روز شده	تاریخ گزارش شده
CVE-2015-6633	ANDROID-23987307*	بحرانی	6.0 و پایین تر	گوگل داخلی
CVE-2015-6634	ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ]	بحرانی	5.1 و پایین تر	گوگل داخلی

*پچ این مشکل در AOSP نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری اجرای کد از راه دور در بلوتوث

یک آسیب پذیری در مؤلفه بلوتوث اندروید می تواند اجرای کد از راه دور را امکان پذیر کند. با این حال قبل از اینکه این اتفاق بیفتد چندین مرحله دستی لازم است. برای انجام این کار، پس از فعال شدن نمایه شبکه شخصی (PAN) (به عنوان مثال با استفاده از اتصال بلوتوث) و جفت شدن دستگاه، به یک دستگاه با موفقیت جفت شده نیاز است. اجرای کد از راه دور در اختیار سرویس بلوتوث خواهد بود. یک دستگاه فقط از طریق دستگاهی که با موفقیت جفت شده است در مجاورت محلی در برابر این مشکل آسیب پذیر است.

این مشکل به‌عنوان «شدت بالا» رتبه‌بندی می‌شود، زیرا یک مهاجم می‌تواند از راه دور کد دلخواه را تنها پس از انجام چندین مرحله دستی و از طریق یک مهاجم محلی نزدیک که قبلاً مجاز به جفت کردن یک دستگاه بوده است، اجرا کند.

CVE	اشکال(ها)	شدت	نسخه های به روز شده	تاریخ گزارش شده
CVE-2015-6618	ANDROID-24595992*	بالا	4.4، 5.0 و 5.1	28 سپتامبر 2015

افزایش آسیب پذیری های امتیاز در libstagefright

آسیب پذیری های متعددی در libstagefright وجود دارد که می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه سرویس مدیا سرور اجرا کند. این مشکل به‌عنوان شدت بالا رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن قابلیت‌های بالا استفاده کرد، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیستند.

CVE	اشکال (ها) با پیوندهای AOSP	شدت	نسخه های به روز شده	تاریخ گزارش شده
CVE-2015-6620	ANDROID-24123723	بالا	6.0 و پایین تر	10 سپتامبر 2015
CVE-2015-6620	ANDROID-24445127	بالا	6.0 و پایین تر	2 سپتامبر 2015

افزایش آسیب پذیری Privilege در SystemUI

هنگام تنظیم زنگ هشدار با استفاده از برنامه ساعت، یک آسیب‌پذیری در مؤلفه SystemUI می‌تواند به برنامه اجازه دهد تا یک کار را در سطح امتیاز بالا اجرا کند. این مشکل به‌عنوان شدت بالا رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن قابلیت‌های بالا استفاده کرد، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیستند.

CVE	اشکال (ها) با پیوندهای AOSP	شدت	نسخه های به روز شده	تاریخ گزارش شده
CVE-2015-6621	ANDROID-23909438	بالا	5.0، 5.1 و 6.0	7 سپتامبر 2015

آسیب پذیری افشای اطلاعات در کتابخانه Native Frameworks

یک آسیب‌پذیری افشای اطلاعات در کتابخانه Native Frameworks Android می‌تواند به دور زدن اقدامات امنیتی برای افزایش دشواری مهاجمان در سوء استفاده از پلتفرم اجازه دهد. این مسائل به‌عنوان شدت بالا رتبه‌بندی می‌شوند، زیرا می‌توانند برای به دست آوردن قابلیت‌های بالا، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیستند، استفاده شوند.

CVE	اشکال (ها) با پیوندهای AOSP	شدت	نسخه های به روز شده	تاریخ گزارش شده
CVE-2015-6622	ANDROID-23905002	بالا	6.0 و پایین تر	7 سپتامبر 2015

افزایش آسیب پذیری امتیاز در وای فای

افزایش آسیب‌پذیری امتیاز در Wi-Fi می‌تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک سرویس سیستم بالا اجرا کند. این مشکل به‌عنوان شدت بالا رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن قابلیت‌های بالا استفاده کرد، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیستند.

CVE	اشکال (ها) با پیوندهای AOSP	شدت	نسخه های به روز شده	تاریخ گزارش شده
CVE-2015-6623	ANDROID-24872703	بالا	6.0	گوگل داخلی

افزایش آسیب پذیری امتیاز در سرور سیستم

افزایش آسیب پذیری امتیاز در مؤلفه System Server می تواند یک برنامه مخرب محلی را قادر سازد تا به اطلاعات مربوط به سرویس دسترسی پیدا کند. این مشکل به‌عنوان شدت بالا رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن قابلیت‌های بالا استفاده کرد، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیستند.

CVE	اشکال (ها) با پیوندهای AOSP	شدت	نسخه های به روز شده	تاریخ گزارش شده
CVE-2015-6624	ANDROID-23999740	بالا	6.0	گوگل داخلی

آسیب پذیری های افشای اطلاعات در libstagefright

آسیب‌پذیری‌های افشای اطلاعات در libstagefright وجود دارد که در حین برقراری ارتباط با سرور رسانه، می‌تواند امکان دور زدن اقدامات امنیتی را برای افزایش دشواری مهاجمان در سوء استفاده از پلتفرم فراهم کند. این مسائل به‌عنوان شدت بالا رتبه‌بندی می‌شوند، زیرا می‌توانند برای به دست آوردن قابلیت‌های بالا، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیستند، استفاده شوند.

CVE	اشکال (ها) با پیوندهای AOSP	شدت	نسخه های به روز شده	تاریخ گزارش شده
CVE-2015-6632	ANDROID-24346430	بالا	6.0 و پایین تر	گوگل داخلی
CVE-2015-6626	ANDROID-24310423	بالا	6.0 و پایین تر	2 سپتامبر 2015
CVE-2015-6631	ANDROID-24623447	بالا	6.0 و پایین تر	21 اوت 2015

آسیب پذیری افشای اطلاعات در صدا

یک آسیب‌پذیری در مؤلفه صوتی می‌تواند در طول پردازش فایل صوتی مورد سوء استفاده قرار گیرد. این آسیب‌پذیری می‌تواند به یک برنامه مخرب محلی اجازه دهد، در طول پردازش یک فایل ساخته‌شده خاص، باعث افشای اطلاعات شود. این مشکل به‌عنوان شدت بالا رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن قابلیت‌های بالا استفاده کرد، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیستند.

CVE	اشکال (ها) با پیوندهای AOSP	شدت	نسخه های به روز شده	تاریخ گزارش شده
CVE-2015-6627	ANDROID-24211743	بالا	6.0 و پایین تر	گوگل داخلی

آسیب پذیری افشای اطلاعات در چارچوب رسانه

یک آسیب‌پذیری افشای اطلاعات در Media Framework وجود دارد که در حین برقراری ارتباط با سرور رسانه، می‌تواند امکان دور زدن اقدامات امنیتی را برای افزایش دشواری مهاجمان در سوء استفاده از پلتفرم فراهم کند. این مشکل به‌عنوان شدت بالا رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن قابلیت‌های بالا، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیست، استفاده کرد.

CVE	اشکال (ها) با پیوندهای AOSP	شدت	نسخه های به روز شده	تاریخ گزارش شده
CVE-2015-6628	ANDROID-24074485	بالا	6.0 و پایین تر	8 سپتامبر 2015

آسیب پذیری افشای اطلاعات در وای فای

یک آسیب‌پذیری در مؤلفه Wi-Fi می‌تواند به مهاجم اجازه دهد تا سرویس Wi-Fi اطلاعات را فاش کند. این مشکل به‌عنوان شدت بالا رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن قابلیت‌های بالا استفاده کرد، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیستند.

CVE	اشکال (ها) با پیوندهای AOSP	شدت	نسخه های به روز شده	تاریخ گزارش شده
CVE-2015-6629	ANDROID-22667667	بالا	5.1 و 5.0	گوگل داخلی

افزایش آسیب پذیری امتیاز در سرور سیستم

افزایش آسیب پذیری امتیاز در سرور سیستم می تواند یک برنامه مخرب محلی را قادر سازد تا به اطلاعات مربوط به سرویس Wi-Fi دسترسی پیدا کند. این مشکل به‌عنوان شدت متوسط رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن نامناسب مجوزهای « خطرناک » استفاده کرد.

CVE	اشکال (ها) با پیوندهای AOSP	شدت	نسخه های به روز شده	تاریخ گزارش شده
CVE-2015-6625	ANDROID-23936840	در حد متوسط	6.0	گوگل داخلی

آسیب پذیری افشای اطلاعات در SystemUI

یک آسیب‌پذیری افشای اطلاعات در SystemUI می‌تواند یک برنامه مخرب محلی را قادر سازد تا به تصاویر صفحه دسترسی پیدا کند. این مشکل به‌عنوان شدت متوسط رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن نامناسب مجوزهای « خطرناک » استفاده کرد.

CVE	اشکال (ها) با پیوندهای AOSP	شدت	نسخه های به روز شده	تاریخ گزارش شده
CVE-2015-6630	ANDROID-19121797	در حد متوسط	5.0، 5.1 و 6.0	22 ژانویه 2015

پرسش ها و پاسخ های متداول

این بخش پاسخ به سؤالات رایجی را که ممکن است پس از خواندن این بولتن رخ دهد، بررسی می کند.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

بیلدهای LMY48Z یا جدیدتر و Android 6.0 با سطح وصله امنیتی 1 دسامبر 2015 یا جدیدتر این مشکلات را برطرف می‌کنند. برای دستورالعمل‌های نحوه بررسی سطح وصله امنیتی، به مستندات Nexus مراجعه کنید. سازندگان دستگاه‌هایی که شامل این به‌روزرسانی‌ها هستند، باید سطح رشته وصله را روی: [ro.build.version.security_patch]:[01-12-2015] تنظیم کنند.

تجدید نظرها

07 دسامبر 2015: در ابتدا منتشر شد
9 دسامبر 2015: بولتن اصلاح شد تا شامل پیوندهای AOSP باشد.
22 دسامبر 2015: اعتبار گمشده به بخش قدردانی اضافه شد.
07 مارس 2016: اعتبار گمشده به بخش قدردانی اضافه شد.