01 Şubat 2016 tarihinde yayınlandı | 7 Mart 2016'da güncellendi
Android Güvenlik Bülteni Aylık Sürüm sürecimizin bir parçası olarak kablosuz (OTA) güncellemesi aracılığıyla Nexus cihazlarına bir güvenlik güncellemesi yayınladık. Nexus ürün yazılımı görüntüleri de Google Developer sitesinde yayınlandı. LMY49G veya sonraki sürümleri ve 1 Şubat 2016 veya sonraki Güvenlik Düzeltme Eki Düzeyine sahip Android M sürümleri bu sorunları giderir. Güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın.
Ortaklara, 4 Ocak 2016 veya daha önceki bir tarihte bültende açıklanan sorunlar hakkında bilgi verildi. Uygun olduğunda, bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır.
Bu sorunlardan en ciddi olanı, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden çok yöntemle etkilenen bir cihazda uzaktan kod yürütülmesine olanak verebilecek bir Kritik güvenlik açığıdır. Broadcom'un Wi-Fi sürücüsündeki Uzaktan Kod Yürütme Güvenlik Açığı da, saldırganla aynı ağa bağlıyken etkilenen bir cihazda uzaktan kod yürütülmesine izin verebileceğinden, Kritik önemdedir. Önem derecesi değerlendirmesi , platform ve hizmet azaltmalarının geliştirme amaçları için devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerindeki etkisine dayanır.
Yeni bildirilen bu sorunlardan aktif müşteri yararlandığına dair herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Azaltmalar bölümüne bakın. Tüm müşterilerimizi cihazlarında bu güncellemeleri kabul etmeye teşvik ediyoruz.
Hafifletmeler
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltmaların bir özetidir. Bu yetenekler, güvenlik açıklarından Android'de başarıyla yararlanma olasılığını azaltır.
- Android platformunun daha yeni sürümlerinde yapılan geliştirmeler sayesinde Android'deki birçok sorundan yararlanma daha zor hale getirilmiştir. Tüm kullanıcıları, mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ediyoruz.
- Android Güvenlik ekibi, yüklenmek üzere olan zararlı olabilecek uygulamalar hakkında uyaracak olan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Google Play'de cihaz köklendirme araçları yasaktır. Google Play dışından uygulama yükleyen kullanıcıları korumak için, Uygulamaları Doğrula varsayılan olarak etkindir ve kullanıcıları bilinen köklendirme uygulamaları hakkında uyarır. Doğrulama Uygulamaları, bir ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini belirlemeye ve engellemeye çalışır. Böyle bir uygulama zaten yüklenmişse, Uygulamaları Doğrula, kullanıcıyı bilgilendirecek ve bu tür uygulamaları kaldırmaya çalışacaktır.
- Uygun olduğu şekilde, Google Hangouts ve Messenger uygulamaları, medyayı mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür
Bu araştırmacılara katkılarından dolayı teşekkür etmek isteriz:
- Android ve Chrome Güvenlik Ekibi: CVE-2016-0809, CVE-2016-0810
- Broadgate Ekibi: CVE-2016-0801, CVE-2015-0802
- Chiachih Wu ( @chiachih_wu ), Mingjian Zhou ( @Mingjian_Zhou ) ve C0RE Ekibinden Xuxian Jiang , Qihoo 360 : CVE-2016-0804
- Google Pixel C Ekibinden David Riley: CVE-2016-0812
- Lab IceSword'dan Gengjia Chen ( @chengjia4574 ), Qihoo 360: CVE-2016-0805
- KeenLab ( @keen_lab ), Tencent: CVE-2016-0811'den Qidan He ( @Flanker_hqd )
- Trend Micro'dan ( www.trendmicro.com ) Seven Shen ( @lingtongshen ): CVE-2016-0803
- Alibaba Inc'den Weichao Sun ( @sunblate ): CVE-2016-0808
- Android Güvenlik Ekibinden Zach Riggle ( @ebeip90 ): CVE-2016-0807
Güvenlik Açığı Ayrıntıları
Aşağıdaki bölümlerde, 2016-02-01 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili hata, önem derecesi, etkilenen sürümler ve rapor edilen tarihi içeren bir tablo vardır. Uygun olduğunda, sorunu gideren AOSP taahhüdünü hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek AOSP referansları, hata kimliğini izleyen sayılara bağlanır.
Broadcom Wi-Fi Sürücüsünde Uzaktan Kod Yürütme Güvenlik Açığı
Broadcom Wi-Fi sürücüsündeki birden çok uzaktan yürütme güvenlik açığı, uzaktaki bir saldırganın, çekirdek bağlamında uzaktan kod yürütülmesine yol açacak şekilde çekirdek belleğini bozmak için özel hazırlanmış kablosuz denetim ileti paketlerini kullanmasına izin verebilir. Bu güvenlik açıkları, saldırgan ve kurban aynı ağla ilişkilendirildiğinde tetiklenebilir. Bu sorun, kullanıcı etkileşimi gerektirmeden çekirdek bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.
CVE | Hatalar | önem | Güncellenmiş sürümler | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-0801 | ANDROID-25662029 ANDROID-25662233 | kritik | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 25 Ekim 2015 |
CVE-2016-0802 | ANDROID-25306181 | kritik | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 26 Ekim 2015 |
Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açığı
Medya dosyası ve özel hazırlanmış bir dosyanın veri işlemesi sırasında, medya sunucusundaki güvenlik açıkları, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olabilir.
Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanır ve uzak içerikle, özellikle de MMS ve tarayıcıdan medya oynatmayla ulaşılmasına izin veren birden çok uygulama vardır.
Bu sorun, medya sunucusu hizmeti bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Medya sunucusu hizmetinin, ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.
CVE | AOSP bağlantılarıyla ilgili hatalar | önem | Güncellenmiş sürümler | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-0803 | ANDROID-25812794 | kritik | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 19 Kasım 2015 |
CVE-2016-0804 | ANDROID-25070434 | kritik | 5.0, 5.1.1, 6.0, 6.0.1 | 12 Eki 2015 |
Qualcomm Performans Modülünde Ayrıcalık Yükselmesi Güvenlik Açığı
Qualcomm'un ARM işlemcileri için performans olay yöneticisi bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek içinde rastgele kod yürütmesini sağlayabilir. Bu sorun, yerel kalıcı bir aygıt ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir ve muhtemelen işletim sisteminin yeniden başlatılmasıyla aygıtın onarılması gerekebilir.
CVE | Böcek | önem | Güncellenmiş sürümler | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-0805 | ANDROID-25773204* | kritik | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 15 Kasım 2015 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm Wi-Fi Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
Qualcomm Wi-Fi sürücüsünde, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak verebilecek bir güvenlik açığı var. Bu sorun, yerel kalıcı bir aygıt ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir ve muhtemelen işletim sisteminin yeniden başlatılmasıyla aygıtın onarılması gerekebilir.
CVE | Böcek | önem | Güncellenmiş sürümler | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-0806 | ANDROID-25344453* | kritik | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 15 Kasım 2015 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Debuggerd'da Ayrıcalık Yükselmesi Güvenlik Açığı
Debuggerd bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın aygıt kök bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, yerel kalıcı bir aygıt ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir ve muhtemelen işletim sisteminin yeniden başlatılmasıyla aygıtın onarılması gerekebilir.
CVE | AOSP bağlantısıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-0807 | ANDROID-25187394 | kritik | 6.0 ve 6.0.1 | Google Dahili |
Minikin'de Hizmet Reddi Güvenlik Açığı
Minikin kitaplığındaki bir hizmet reddi güvenlik açığı, yerel bir saldırganın etkilenen bir aygıta erişimi geçici olarak engellemesine olanak verebilir. Saldırgan, güvenilmeyen bir yazı tipinin yüklenmesine neden olabilir ve Minikin bileşeninde çökmeye neden olan bir taşmaya neden olabilir. Hizmet Reddi, sürekli bir yeniden başlatma döngüsüne yol açtığı için bu, yüksek önem derecesi olarak derecelendirilir.
CVE | AOSP bağlantısıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-0808 | ANDROID-25645298 | Yüksek | 5.0, 5.1.1, 6.0, 6.0.1 | 3 Kasım 2015 |
Wi-Fi'de Ayrıcalık Yükselmesi Güvenlik Açığı
Wi-Fi bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın Sistem bağlamında rasgele kod yürütmesine olanak verebilir. Bir cihaz, yalnızca yerel yakınlıktayken bu soruna karşı savunmasızdır. Bu sorun, uzaktan “ normal ” yetenekler kazanmak için kullanılabildiğinden, Yüksek önem derecesi olarak derecelendirilmiştir. Genellikle bu izinlere yalnızca yerel olarak yüklenen üçüncü taraf uygulamalar tarafından erişilebilir.
CVE | AOSP bağlantısıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-0809 | ANDROID-25753768 | Yüksek | 6.0, 6.0.1 | Google Dahili |
Mediaserver'da Ayrıcalık Yükselmesi Güvenlik Açığı
Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, bir üçüncü taraf uygulaması tarafından erişilemeyen Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabileceğinden Yüksek önem derecesi olarak derecelendirilmiştir.
CVE | AOSP bağlantısıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-0810 | ANDROID-25781119 | Yüksek | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | Google Dahili |
libmediaplayerservice'de Bilgi İfşası Güvenlik Açığı
libmediaplayerservice'deki bir bilginin açığa çıkması güvenlik açığı, saldırganların platformdan yararlanmasını zorlaştıracak güvenlik önlemlerinin atlanmasına izin verebilir. Bu sorunlar, üçüncü taraf uygulamalar tarafından erişilemeyen İmza veya İmza veya Sistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için de kullanılabildikleri için Yüksek önem derecesi olarak derecelendirilir.
CVE | AOSP bağlantısıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-0811 | ANDROID-25800375 | Yüksek | 6.0, 6.0.1 | 16 Kasım 2015 |
Kurulum Sihirbazında Ayrıcalık Yükselmesi Güvenlik Açığı
Kurulum Sihirbazı'ndaki bir güvenlik açığı, kötü niyetli bir saldırganın Fabrika Ayarlarına Sıfırlama Korumasını atlamasına ve cihaza erişmesine izin verebilir. Bu, bir cihaza fiziksel erişimi olan birinin, bir saldırganın bir cihazı başarıyla sıfırlamasını ve tüm verileri silmesini sağlayan Fabrika Ayarlarına Sıfırlama Korumasını atlamasına olanak tanıdığından, Orta önem derecesi olarak derecelendirilmiştir.
CVE | AOSP bağlantılarıyla ilgili hatalar | önem | Güncellenmiş sürümler | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-0812 | ANDROID-25229538 | Ilıman | 5.1.1, 6.0 | Google Dahili |
CVE-2016-0813 | ANDROID-25476219 | Ilıman | 5.1.1, 6.0, 6.0.1 | Google Dahili |
Genel Sorular ve Cevaplar
Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek yaygın soruların yanıtlarını gözden geçirmektedir.
1. Cihazımın bu sorunları gidermek için güncellenip güncellenmediğini nasıl belirleyebilirim?
LMY49G veya sonraki sürümleri ve 1 Şubat 2016 veya sonraki Güvenlik Düzeltme Eki Düzeyine sahip Android 6.0 sürümleri bu sorunları giderir. Güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın. Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-02-01]
Revizyonlar
- 01 Şubat 2016: Bülten yayınlandı.
- 02 Şubat 2016: Bülten, AOSP bağlantılarını içerecek şekilde revize edildi.
- 07 Mart 2016: Bülten, ek AOSP bağlantılarını içerecek şekilde revize edildi.