Yayınlanma tarihi: 1 Şubat 2016 | Güncellenme tarihi: 7 Mart 2016
Android Güvenlik Bülteni Aylık Yayınlama sürecimiz kapsamında, Nexus cihazlara kablosuz (OTA) güncelleme aracılığıyla bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı resimleri de Google Developers sitesinde yayınlandı. LMY49G veya sonraki sürümler ve 1 Şubat 2016 veya sonraki güvenlik yaması düzeyine sahip Android M, bu sorunları giderir. Güvenlik yaması düzeyini kontrol etmeyle ilgili talimatlar için Nexus dokümanlarına bakın.
İş ortakları, bültende açıklanan sorunlar hakkında 4 Ocak 2016'da veya daha önce bilgilendirilmiştir. Uygun durumlarda, bu sorunlara yönelik kaynak kod yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayınlanmıştır.
Bu sorunlardan en ciddi olanı, medya dosyaları işlenirken e-posta, web tarayıcısı ve MMS gibi birden fazla yöntemle etkilenen cihazda uzaktan kod çalıştırmayı etkinleştirebilecek kritik bir güvenlik açığıdır. Broadcom'un kablosuz sürücüsündeki uzaktan kod yürütme güvenlik açığı da kritik öneme sahiptir. Bu güvenlik açığı, saldırganla aynı ağa bağlıyken etkilenen bir cihazda uzaktan kod yürütmeye izin verebilir. Önem değerlendirmesi, platform ve hizmet azaltmalarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerinde oluşturabileceği etkiye dayanır.
Yeni bildirilen bu sorunların müşteriler tarafından aktif olarak istismar edildiğine dair bir bildirim almadık. Android güvenlik platformu korumaları ve Android platformunun güvenliğini artıran SafetyNet gibi hizmet korumaları hakkında ayrıntılı bilgi için Önlemler bölümüne bakın. Tüm müşterilerin cihazlarında bu güncellemeleri kabul etmelerini öneririz.
Çözümler
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltma yöntemlerinin özetidir. Bu özellikler, Android'de güvenlik açıklarının başarılı bir şekilde kötüye kullanılması olasılığını azaltır.
- Android platformunun yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorunun istismar edilmesini zorlaştırmaktadır. Tüm kullanıcıları mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ederiz.
- Android Güvenlik Ekibi, Uygulamaları Doğrula ve SafetyNet ile kötüye kullanım olup olmadığını etkin bir şekilde izler. Bu sayede, yüklenmek üzere olan potansiyel olarak zararlı uygulamalar hakkında uyarı alırsınız. Cihaz köklendirme araçları Google Play'de yasaktır. Google Play dışından uygulama yükleyen kullanıcıları korumak için Uygulamaları Doğrula özelliği varsayılan olarak etkindir ve kullanıcıları bilinen köklendirme uygulamaları konusunda uyarır. Doğrula Uygulamalar, ayrıcalık yükseltme güvenlik açıklarından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini tespit edip engellemeye çalışır. Bu tür bir uygulama zaten yüklüyse Uygulamaları Doğrula, kullanıcıyı bilgilendirir ve bu tür uygulamaları kaldırmaya çalışır.
- Google Hangouts ve Messenger uygulamaları, uygun olduğunda medyayı mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür ederiz
Katkılarından dolayı aşağıdaki araştırmacılara teşekkür ederiz:
- Android ve Chrome Güvenlik Ekibi: CVE-2016-0809, CVE-2016-0810
- Broadgate Ekibi: CVE-2016-0801, CVE-2015-0802
- Chiachih Wu (@chiachih_wu), Mingjian Zhou (@Mingjian_Zhou) ve Qihoo 360'daki C0RE Ekibi'nden Xuxian Jiang: CVE-2016-0804
- Google Pixel C Ekibi'nden David Riley: CVE-2016-0812
- Gengjia Chen (@chengjia4574) Lab IceSword, Qihoo 360: CVE-2016-0805
- Qidan He (@Flanker_hqd) of KeenLab (@keen_lab), Tencent: CVE-2016-0811
- Trend Micro'dan (www.trendmicro.com) Seven Shen (@lingtongshen): CVE-2016-0803
- Alibaba Inc.'den Weichao Sun (@sunblate): CVE-2016-0808
- Android Güvenlik Ekibi'nden Zach Riggle (@ebeip90): CVE-2016-0807
Güvenlik Açığı Ayrıntıları
Aşağıdaki bölümlerde, 01.02.2016 yaması düzeyi için geçerli olan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Sorunun açıklaması, önem düzeyi gerekçesi ve CVE, ilişkili hata, önem düzeyi, etkilenen sürümler ve bildirilme tarihi içeren bir tablo bulunur. Mümkün olduğunda, sorunu gideren AOSP commit'ini hata kimliğine bağlarız. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, ek AOSP referansları hata kimliğinin ardından gelen sayılara bağlanır.
Broadcom Wi-Fi Sürücüsünde Uzaktan Kod Yürütme Güvenlik Açığı
Broadcom Wi-Fi sürücüsündeki birden fazla uzaktan yürütme güvenlik açığı, uzaktaki bir saldırganın, çekirdek bağlamında uzaktan kod yürütmeye yol açacak şekilde çekirdek belleğini bozmak için özel olarak hazırlanmış kablosuz kontrol mesajı paketlerini kullanmasına olanak tanıyabilir. Bu güvenlik açıkları, saldırgan ve kurban aynı ağla ilişkilendirildiğinde tetiklenebilir. Bu sorun, kullanıcı etkileşimi gerektirmeden çekirdek bağlamında uzaktan kod çalıştırma olasılığı nedeniyle Kritik olarak değerlendirilir.
| CVE | Hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-0801 | ANDROID-25662029 ANDROID-25662233 |
Kritik (Critical) | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 25 Ekim 2015 |
| CVE-2016-0802 | ANDROID-25306181 | Kritik (Critical) | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 26 Ekim 2015 |
Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açığı
Özel olarak hazırlanmış bir medya dosyasının ve verilerinin işlenmesi sırasında mediaserver'daki güvenlik açıkları, saldırganın mediaserver işlemi olarak bellek bozulmasına ve uzaktan kod yürütmeye neden olmasına izin verebilir.
Etkilenen işlev, işletim sisteminin temel bir parçası olarak sağlanır ve uzaktan içerikle erişilmesine olanak tanıyan birden fazla uygulama vardır. Bunlardan en önemlileri MMS ve tarayıcıda medya oynatmadır.
Bu sorun, mediaserver hizmeti bağlamında uzaktan kod çalıştırma olasılığı nedeniyle Kritik önem düzeyinde olarak derecelendirilmiştir. mediaserver hizmeti, ses ve video akışlarına ve üçüncü taraf uygulamalarının normalde erişemeyeceği ayrıcalıklara erişebilir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-0803 | ANDROID-25812794 | Kritik (Critical) | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 19 Kasım 2015 |
| CVE-2016-0804 | ANDROID-25070434 | Kritik (Critical) | 5.0, 5.1.1, 6.0, 6.0.1 | 12 Ekim 2015 |
Qualcomm Performans Modülü'nde Yetki Yükseltme Güvenlik Açığı
Qualcomm'un ARM işlemcileri için performans etkinliği yöneticisi bileşeninde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdekte keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir ve cihazın işletim sistemini yeniden flaşlayarak onarılması gerekebilir.
| CVE | Hata | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-0805 | ANDROID-25773204* | Kritik (Critical) | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 15 Kasım 2015 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden edinilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm Kablosuz Ağ Sürücüsünde Ayrıcalık Yükseltme Güvenlik Açığı
Qualcomm kablosuz sürücüsünde, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilecek bir güvenlik açığı vardır. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik önem düzeyinde olarak değerlendirilir ve cihazın işletim sistemini yeniden flaşlayarak onarılması gerekebilir.
| CVE | Hata | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-0806 | ANDROID-25344453* | Kritik (Critical) | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 15 Kasım 2015 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden edinilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Hata Ayıklama Aracı'nda ayrıcalık yükseltme güvenlik açığı
Hata Ayıklama Aracı bileşeninde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın cihazın kök bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik önem düzeyinde olarak değerlendirilir ve cihazın işletim sistemini yeniden flaşlayarak onarılması gerekebilir.
| CVE | AOSP bağlantısıyla ilgili hata | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-0807 | ANDROID-25187394 | Kritik (Critical) | 6.0 ve 6.0.1 | Google Dahili |
Minikin'de Hizmet Reddi Güvenlik Açığı
Minikin kitaplığındaki hizmet reddi güvenlik açığı, yerel bir saldırganın etkilenen bir cihaza erişimi geçici olarak engellemesine olanak tanıyabilir. Bir saldırgan, güvenilmeyen bir yazı tipinin yüklenmesine ve Minikin bileşeninde taşmaya neden olarak kilitlenmeye yol açabilir. Hizmet Dışı Bırakma sürekli yeniden başlatma döngüsüne yol açtığı için bu sorun yüksek önem düzeyinde olarak derecelendirilmiştir.
| CVE | AOSP bağlantısıyla ilgili hata | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-0808 | ANDROID-25645298 | Yüksek | 5.0, 5.1.1, 6.0, 6.0.1 | 3 Kasım 2015 |
Kablosuz Ağda Ayrıcalık Yükseltme Güvenlik Açığı
Wi-Fi bileşeninde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın sistem bağlamında rastgele kod yürütmesine olanak tanıyabilir. Cihazlar yalnızca yakın mesafedeyken bu soruna karşı savunmasızdır. Bu sorun, uzaktan "normal" özellikler elde etmek için kullanılabileceğinden yüksek önem düzeyinde olarak derecelendirilmiştir. Genellikle bu izinlere yalnızca yerel olarak yüklenen üçüncü taraf uygulamaları erişebilir.
| CVE | AOSP bağlantısıyla ilgili hata | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-0809 | ANDROID-25753768 | Yüksek | 6.0, 6.0.1 | Google Dahili |
Mediaserver'da ayrıcalık yükseltme güvenlik açığı
mediaserver'da ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir sistem uygulaması bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, üçüncü taraf uygulamaların erişemediği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yüksek düzeyli özellikler elde etmek için kullanılabileceğinden yüksek önem derecesine sahiptir.
| CVE | AOSP bağlantısıyla ilgili hata | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-0810 | ANDROID-25781119 | Yüksek | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | Google Dahili |
libmediaplayerservice'teki Bilgi Açıklama Güvenlik Açığı
libmediaplayerservice'teki bilgi açığa çıkarma güvenlik açığı, saldırganların platformu istismar etmesini zorlaştırmak için mevcut güvenlik önlemlerinin atlanmasına izin verebilir. Bu sorunlar, üçüncü taraf uygulamaların erişemediği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yüksek düzeyli özellikler elde etmek için de kullanılabileceğinden yüksek önem düzeyinde olarak değerlendirilir.
| CVE | AOSP bağlantısıyla ilgili hata | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-0811 | ANDROID-25800375 | Yüksek | 6.0, 6.0.1 | 16 Kasım 2015 |
Kurulum Sihirbazı'nda Yetki Yükseltme Güvenlik Açığı
Kurulum Sihirbazı'ndaki bir güvenlik açığı, kötü amaçlı bir saldırganın Fabrika Ayarlarına Sıfırlama Koruması'nı atlatmasına ve cihaza erişmesine olanak tanıyabilir. Bu güvenlik açığı, cihaza fiziksel erişimi olan bir kullanıcının Fabrika Ayarlarına Sıfırlama Koruması'nı atlatmasına olanak tanıdığı için orta düzeyde öneme sahiptir. Bu da saldırganın cihazı başarıyla sıfırlayıp tüm verileri silmesine olanak tanır.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-0812 | ANDROID-25229538 | Orta seviye | 5.1.1, 6.0 | Google Dahili |
| CVE-2016-0813 | ANDROID-25476219 | Orta seviye | 5.1.1, 6.0, 6.0.1 | Google Dahili |
Sık Sorulan Sorular ve Yanıtları
Bu bölümde, bu bülteni okuduktan sonra aklınıza gelebilecek sık sorulan soruların yanıtları ele alınmaktadır.
1. Cihazımın bu sorunları giderecek şekilde güncellenip güncellenmediğini nasıl öğrenebilirim?
LMY49G veya sonraki sürümler ve 1 Şubat 2016 veya sonraki bir güvenlik yaması düzeyine sahip Android 6.0 bu sorunları giderir. Güvenlik yaması düzeyini kontrol etmeyle ilgili talimatlar için Nexus dokümanlarına bakın. Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-02-01]
Düzeltmeler
- 1 Şubat 2016: Bülten yayınlandı.
- 2 Şubat 2016: Bülten, AOSP bağlantılarını içerecek şekilde düzeltildi.
- 07 Mart 2016: Bülten, ek AOSP bağlantıları içerecek şekilde düzeltildi.