نشرة أمان Nexus - كانون الثاني (يناير) 2016

تم النشر في ٤ يناير ٢٠١٦ | تم التحديث في 28 أبريل 2016

لقد أصدرنا تحديثًا أمنيًا لأجهزة Nexus من خلال تحديث عبر الأثير (OTA) كجزء من عملية الإصدار الشهري لنشرة أمان Android. تم أيضًا إصدار صور برنامج Nexus الثابت إلى موقع Google Developer . يعالج الإصداران LMY49F أو الأحدث ونظام Android 6.0 مع مستوى تصحيح الأمان بتاريخ 1 يناير 2016 أو أحدث هذه المشكلات. راجع قسم الأسئلة والأجوبة الشائعة لمزيد من التفاصيل.

تم إخطار الشركاء وتقديم تحديثات للمشكلات الموضحة في هذه النشرة في 7 ديسمبر 2015 أو قبل ذلك. حيثما أمكن ، تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP).

إن أخطر هذه المشكلات هو الثغرة الأمنية الحرجة التي يمكن أن تتيح تنفيذ التعليمات البرمجية عن بُعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر ، بافتراض تعطيل عمليات التخفيف من النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم يكن لدينا أي تقارير عن استغلال العملاء النشط لهذه المشكلات التي تم الإبلاغ عنها حديثًا. ارجع إلى قسم التخفيف للحصول على تفاصيل حول حماية منصة أمان Android وحماية الخدمة مثل SafetyNet ، التي تعمل على تحسين أمان نظام Android الأساسي. نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

التخفيفات

هذا ملخص لعوامل التخفيف التي يوفرها نظام أمان Android الأساسي وإجراءات حماية الخدمة مثل SafetyNet. تقلل هذه الإمكانات من احتمالية نجاح استغلال الثغرات الأمنية على Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة من خلال التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق Android Security بمراقبة إساءة الاستخدام بنشاط من خلال Verify Apps and SafetyNet والتي ستحذر من التطبيقات التي يحتمل أن تكون ضارة على وشك التثبيت. أدوات تجذير الجهاز محظورة داخل Google Play. لحماية المستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play ، يتم تمكين Verify Apps افتراضيًا وسيحذر المستخدمين من تطبيقات الجذر المعروفة. يحاول التحقق من التطبيقات تحديد ومنع تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم بالفعل تثبيت مثل هذا التطبيق ، فستقوم Verify Apps بإخطار المستخدم ومحاولة إزالة أي من هذه التطبيقات.
  • حسب الاقتضاء ، لا تقوم تطبيقات Google Hangouts و Messenger بتمرير الوسائط تلقائيًا إلى عمليات مثل خادم الوسائط.

شكر وتقدير

نود أن نشكر هؤلاء الباحثين على مساهماتهم:

  • Abhishek Arya و Oliver Chang و Martin Barbella من فريق Google Chrome Security Team: CVE-2015-6636
  • Sen Nie ( nforest_ ) و jfang من مختبر KEEN ، Tencent ( @ K33nTeam ): CVE-2015-6637
  • Yabin Cui من فريق Android Bionic: CVE-2015-6640
  • Tom Craig من Google X: CVE-2015-6641
  • جان هورن ( https://thejh.net ): CVE-2015-6642
  • Jouni Malinen PGP id EFC895FA: CVE-2015-5310
  • Quan Nguyen من فريق مهندس أمن المعلومات في Google: CVE-2015-6644
  • Gal Beniamini ( @ laginimaineb ، http://bits-please.blogspot.com ): CVE-2015-6639

تفاصيل الثغرات الأمنية

في الأقسام أدناه ، نقدم تفاصيل عن كل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-01-01. يوجد وصف للمشكلة ، والأساس المنطقي للخطورة ، وجدول مع CVE والخطأ المرتبط والخطورة والإصدارات المحدثة وتاريخ الإبلاغ. عند توفرها ، سنربط تغيير AOSP الذي عالج المشكلة بمعرف الخطأ. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع AOSP الإضافية بأرقام تتبع معرّف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Mediaserver

أثناء معالجة ملف الوسائط والبيانات لملف تم إنشاؤه خصيصًا ، قد تسمح الثغرات الأمنية في خادم الوسائط للمهاجم بالتسبب في تلف الذاكرة وتنفيذ التعليمات البرمجية عن بُعد كعملية خادم وسيط.

يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل وهناك العديد من التطبيقات التي تسمح بالوصول إليها من خلال المحتوى البعيد ، وأبرزها MMS وتشغيل المتصفح للوسائط.

تم تصنيف هذه المشكلة على أنها خطيرة للغاية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق خدمة الخادم الوسيط. تتمتع خدمة mediaserver بإمكانية الوصول إلى تدفقات الصوت والفيديو بالإضافة إلى الوصول إلى الامتيازات التي لا يمكن لتطبيقات الجهات الخارجية الوصول إليها بشكل طبيعي.

CVE الأخطاء التي تحتوي على روابط AOSP خطورة الإصدارات المحدثة ذكرت تاريخ
CVE-2015-6636 ANDROID-25070493 حرج 5.0 ، 5.1.1 ، 6.0 ، 6.0.1 جوجل الداخلية
ANDROID-24686670 حرج 5.0 ، 5.1.1 ، 6.0 ، 6.0.1 جوجل الداخلية

رفع مستوى ضعف الامتياز في برنامج تشغيل متنوع sd

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل SD من MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية داخل النواة. تم تصنيف هذه المشكلة على أنها خطيرة للغاية نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، وفي هذه الحالة قد يحتاج الجهاز إلى الإصلاح عن طريق إعادة وميض نظام التشغيل.

CVE علة (ق) خطورة الإصدارات المحدثة ذكرت تاريخ
CVE-2015-6637 ANDROID-25307013 * حرج 4.4.4 ، 5.0 ، 5.1.1 ، 6.0 ، 6.0.1 26 أكتوبر 2015

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

رفع مستوى ضعف الامتياز في برنامج Imagination Technologies

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل kernel من Imagination Technologies إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية داخل النواة. تم تصنيف هذه المشكلة على أنها خطيرة للغاية نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، وفي هذه الحالة قد يحتاج الجهاز إلى الإصلاح عن طريق إعادة وميض نظام التشغيل.

CVE علة (ق) خطورة الإصدارات المحدثة ذكرت تاريخ
CVE-2015-6638 ANDROID-24673908 * حرج 5.0 ، 5.1.1 ، 6.0 ، 6.0.1 جوجل الداخلية

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

رفع نقاط ضعف الامتياز في Trustzone

ارتفاع نقاط ضعف الامتياز في تطبيق Widevine QSEE TrustZone يمكن أن يتيح حل وسط ، وتطبيق ذي امتياز مع إمكانية الوصول إلى QSEECOM لتنفيذ تعليمات برمجية عشوائية في سياق Trustzone. تم تصنيف هذه المشكلة على أنها خطيرة للغاية نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، وفي هذه الحالة قد يحتاج الجهاز إلى الإصلاح عن طريق إعادة وميض نظام التشغيل.

CVE علة (ق) خطورة الإصدارات المحدثة ذكرت تاريخ
CVE-2015-6639 ANDROID-24446875 * حرج 5.0 ، 5.1.1 ، 6.0 ، 6.0.1 23 سبتمبر 2015
CVE-2015-6647 ANDROID-24441554 * حرج 5.0 ، 5.1.1 ، 6.0 ، 6.0.1 27 سبتمبر 2015

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

رفع مستوى ضعف الامتياز في Kernel

قد يؤدي ارتفاع ثغرة الامتياز في النواة إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في النواة. تم تصنيف هذه المشكلة على أنها خطيرة للغاية نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، وفي هذه الحالة قد يحتاج الجهاز إلى الإصلاح عن طريق إعادة وميض نظام التشغيل.

CVE الأخطاء التي تحتوي على رابط AOSP خطورة الإصدارات المحدثة ذكرت تاريخ
CVE-2015-6640 ANDROID-20017123 حرج 4.4.4 ، 5.0 ، 5.1.1 ، 6.0 جوجل الداخلية

رفع مستوى ضعف الامتياز في البلوتوث

يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكون Bluetooth إلى تمكين جهاز بعيد مقترن عبر Bluetooth من الوصول إلى معلومات المستخدم الخاصة (جهات الاتصال). تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنه يمكن استخدامها لاكتساب إمكانات " خطيرة " عن بُعد ، ولا يمكن الوصول إلى هذه الأذونات إلا لتطبيقات الجهات الخارجية المثبتة محليًا.

CVE الأخطاء التي تحتوي على روابط AOSP خطورة الإصدارات المحدثة ذكرت تاريخ
CVE-2015-6641 ANDROID-23607427 [ 2 ] عالٍ 6.0 ، 6.0.1 جوجل الداخلية

ثغرة أمنية في الكشف عن المعلومات في Kernel

قد تسمح ثغرة الكشف عن المعلومات في النواة بتجاوز الإجراءات الأمنية المعمول بها لزيادة صعوبة استغلال المهاجمين للمنصة. تم تصنيف هذه المشكلات على أنها عالية الخطورة لأنه يمكن استخدامها أيضًا لاكتساب قدرات عالية ، مثل امتيازات أذونات Signature أو SignatureOrSystem ، والتي لا يمكن الوصول إليها من قبل تطبيقات الجهات الخارجية.

CVE علة (ق) خطورة الإصدارات المحدثة ذكرت تاريخ
CVE-2015-6642 ANDROID-24157888 * عالٍ 4.4.4 ، 5.0 ، 5.1.1 ، 6.0 12 سبتمبر 2015

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ثغرة أمنية في الامتياز في معالج الإعداد

قد يؤدي ارتفاع ثغرة الامتياز في معالج الإعداد إلى تمكين مهاجم لديه وصول مادي إلى الجهاز للوصول إلى إعدادات الجهاز وإجراء إعادة تعيين يدوي للجهاز. تم تصنيف هذه المشكلة على أنها متوسطة الخطورة لأنه يمكن استخدامها للعمل بشكل غير صحيح مع حماية إعادة تعيين إعدادات المصنع.

CVE الأخطاء التي تحتوي على روابط AOSP خطورة الإصدارات المحدثة ذكرت تاريخ
CVE-2015-6643 ANDROID-25290269 [ 2 ] معتدل 5.1.1 ، 6.0 ، 6.0.1 جوجل الداخلية

رفع مستوى ضعف الامتياز في شبكة Wi-Fi

يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكون Wi-Fi إلى تمكين مهاجم محلي قريب من الوصول إلى المعلومات المتعلقة بخدمة Wi-Fi. الجهاز عرضة لهذه المشكلة فقط عندما يكون على مقربة من المنطقة. تم تصنيف هذه المشكلة على أنها متوسطة الخطورة لأنه يمكن استخدامها لاكتساب القدرات " العادية " عن بُعد ، ولا يمكن الوصول إلى هذه الأذونات إلا لتطبيقات الجهات الخارجية المثبتة محليًا.

CVE الأخطاء التي تحتوي على روابط AOSP خطورة الإصدارات المحدثة ذكرت تاريخ
CVE-2015-5310 ANDROID-25266660 معتدل 4.4.4 ، 5.0 ، 5.1.1 ، 6.0 ، 6.0.1 25 أكتوبر 2015

ثغرة الكشف عن المعلومات في قلعة القفز

قد تؤدي ثغرة الكشف عن المعلومات في Bouncy Castle إلى تمكين تطبيق ضار محلي من الوصول إلى معلومات المستخدم الخاصة. تم تصنيف هذه المشكلة على أنها متوسطة الخطورة لأنه يمكن استخدامها للحصول على أذونات " خطيرة " بشكل غير صحيح.

CVE الأخطاء التي تحتوي على روابط AOSP خطورة الإصدارات المحدثة ذكرت تاريخ
CVE-2015-6644 ANDROID-24106146 معتدل 4.4.4 ، 5.0 ، 5.1.1 ، 6.0 ، 6.0.1 جوجل الداخلية

رفض ثغرة أمنية في الخدمة في SyncManager

قد يؤدي رفض ثغرة أمنية في برنامج SyncManager إلى تمكين تطبيق ضار محلي من التسبب في حلقة إعادة تشغيل. تم تصنيف هذه المشكلة على أنها متوسطة الخطورة لأنه يمكن استخدامها للتسبب في رفض محلي مؤقت للخدمة قد يلزم إصلاحه من خلال إعادة تعيين إعدادات المصنع.

CVE الأخطاء التي تحتوي على روابط AOSP خطورة الإصدارات المحدثة ذكرت تاريخ
CVE-2015-6645 ANDROID-23591205 معتدل 4.4.4 ، 5.0 ، 5.1.1 ، 6.0 جوجل الداخلية

تقليل سطح الهجوم لنواة Nexus

SysV IPC غير مدعوم في أي Android Kernel. لقد أزلنا هذا من نظام التشغيل لأنه يكشف عن سطح هجوم إضافي لا يضيف وظائف إلى النظام يمكن أن تستغلها التطبيقات الضارة. أيضًا ، لا تتوافق System V IPCs مع دورة حياة تطبيقات Android لأن الموارد المخصصة غير قابلة للتحرير بواسطة مدير الذاكرة مما يؤدي إلى تسرب موارد kernel العالمي. يعالج هذا التغيير مشكلة مثل CVE-2015-7613.

CVE علة (ق) خطورة الإصدارات المحدثة ذكرت تاريخ
CVE-2015-6646 ANDROID-22300191 * معتدل 6.0 جوجل الداخلية

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

أسئلة وأجوبة شائعة

يستعرض هذا القسم الإجابات على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا كان قد تم تحديث جهازي لمعالجة هذه المشكلات؟

يعالج الإصداران LMY49F أو الأحدث ونظام Android 6.0 مع مستوى تصحيح الأمان بتاريخ 1 يناير 2016 أو أحدث هذه المشكلات. راجع وثائق Nexus للحصول على إرشادات حول كيفية التحقق من مستوى تصحيح الأمان. يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على: [ro.build.version.security_patch]: [2016-01-01]

التنقيحات

  • 4 يناير 2016: تم نشر النشرة.
  • 06 يناير 2016: تمت مراجعة النشرة لتشمل روابط AOSP.
  • 28 أبريل 2016: تمت إزالة CVE-2015-6617 من شكر وتقدير وإضافة CVE-2015-6647 إلى جدول الملخص