نشرة أمان Nexus - شباط (فبراير) 2016

تنظيم صفحاتك في مجموعات يمكنك حفظ المحتوى وتصنيفه حسب إعداداتك المفضّلة.

تم النشر في 01 فبراير 2016 | تم التحديث في 7 آذار (مارس) 2016

لقد أصدرنا تحديثًا أمنيًا لأجهزة Nexus من خلال تحديث عبر الأثير (OTA) كجزء من عملية الإصدار الشهري لنشرة أمان Android. تم أيضًا إصدار صور برنامج Nexus الثابت إلى موقع Google Developer . يعمل الإصداران LMY49G أو الأحدث ونظام Android M مع مستوى تصحيح الأمان بتاريخ 1 فبراير 2016 أو ما بعده على معالجة هذه المشكلات. راجع وثائق Nexus للحصول على إرشادات حول كيفية التحقق من مستوى تصحيح الأمان.

تم إخطار الشركاء بالمشكلات الموضحة في النشرة في 4 يناير 2016 أو قبل ذلك. حيثما أمكن ، تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP).

إن أخطر هذه المشكلات هو الثغرة الأمنية الحرجة التي يمكن أن تتيح تنفيذ التعليمات البرمجية عن بُعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. تعتبر ثغرة تنفيذ التعليمات البرمجية عن بُعد في برنامج تشغيل Wi-Fi الخاص بشركة Broadcom أيضًا من الخطورة الحرجة لأنها قد تسمح بتنفيذ التعليمات البرمجية عن بُعد على جهاز متأثر أثناء الاتصال بالشبكة نفسها التي يستخدمها المهاجم. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر ، بافتراض تعطيل عمليات التخفيف من النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم يكن لدينا أي تقارير عن استغلال العملاء النشط لهذه المشكلات التي تم الإبلاغ عنها حديثًا. ارجع إلى قسم التخفيف للحصول على تفاصيل حول حماية منصة أمان Android وحماية الخدمة مثل SafetyNet ، التي تعمل على تحسين أمان نظام Android الأساسي. نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

التخفيفات

هذا ملخص لعوامل التخفيف التي يوفرها نظام أمان Android الأساسي وإجراءات حماية الخدمة مثل SafetyNet. تقلل هذه الإمكانات من احتمالية نجاح استغلال الثغرات الأمنية على Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة من خلال التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق Android Security بمراقبة إساءة الاستخدام بنشاط من خلال Verify Apps and SafetyNet والتي ستحذر من التطبيقات التي يحتمل أن تكون ضارة على وشك التثبيت. أدوات تجذير الجهاز محظورة داخل Google Play. لحماية المستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play ، يتم تمكين Verify Apps افتراضيًا وسيحذر المستخدمين من تطبيقات الجذر المعروفة. يحاول التحقق من التطبيقات تحديد ومنع تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم بالفعل تثبيت مثل هذا التطبيق ، فستقوم Verify Apps بإخطار المستخدم ومحاولة إزالة أي من هذه التطبيقات.
  • حسب الاقتضاء ، لا تقوم تطبيقات Google Hangouts و Messenger بتمرير الوسائط تلقائيًا إلى عمليات مثل خادم الوسائط.

شكر وتقدير

نود أن نشكر هؤلاء الباحثين على مساهماتهم:

  • فريق أمان Android و Chrome: CVE -201809، CVE-2016-0810
  • فريق برودجيت: CVE-2014801 ، CVE-2015
  • Chiachih Wu ( chiachih_wu ) و Mingjian Zhou (Mingjian_Zhou) و Xuxian Jiang من فريق C0RE و Qihoo 360 : CVE -201804
  • ديفيد رايلي من فريق Google Pixel C: CVE-2016-0812
  • Gengjia Chen ( @ chengjia4574 ) من Lab IceSword ، Qihoo 360: CVE-2014805
  • Qidan He ( Flanker_hqd ) من KeenLab ( keen_lab ) ، تينسنت: CVE-2016-0811
  • Seven Shen ( lingtongshen ) من Trend Micro ( www.trendmicro.com ): CVE -201803
  • Weichao Sun ( sunblate ) من Alibaba Inc: CVE-Coco -201808
  • Zach Riggle ( @ ebeip90 ) من فريق أمان Android: CVE -201807

تفاصيل الثغرات الأمنية

في الأقسام أدناه ، نقدم تفاصيل عن كل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-02-01. يوجد وصف للمشكلة ، والأساس المنطقي للخطورة ، وجدول مع CVE ، والخطأ المرتبط ، والخطورة ، والإصدارات المتأثرة ، وتاريخ الإبلاغ. عند توفرها ، سنربط التزام AOSP الذي عالج المشكلة بمعرف الخطأ. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع AOSP الإضافية بأرقام تتبع معرّف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في برنامج تشغيل Wi-Fi من Broadcom

قد تسمح الثغرات الأمنية المتعددة للتنفيذ عن بُعد في برنامج تشغيل Broadcom Wi-Fi للمهاجم عن بُعد باستخدام حزم رسائل التحكم اللاسلكي المصممة خصيصًا لإفساد ذاكرة kernel بطريقة تؤدي إلى تنفيذ التعليمات البرمجية عن بُعد في سياق kernel. يمكن تشغيل هذه الثغرات الأمنية عندما يكون المهاجم والضحية مرتبطين بنفس الشبكة. تم تصنيف هذه المشكلة على أنها خطيرة للغاية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق kernel دون الحاجة إلى تدخل المستخدم.

CVE البق خطورة الإصدارات المحدثة ذكرت تاريخ
CVE -2017801 ANDROID-25662029
ANDROID-25662233
حرج 4.4.4 ، 5.0 ، 5.1.1 ، 6.0 ، 6.0.1 25 أكتوبر 2015
CVE -2017802 ANDROID-25306181 حرج 4.4.4 ، 5.0 ، 5.1.1 ، 6.0 ، 6.0.1 26 أكتوبر 2015

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Mediaserver

أثناء معالجة ملف الوسائط والبيانات لملف تم إنشاؤه خصيصًا ، قد تسمح الثغرات الأمنية في خادم الوسائط للمهاجم بالتسبب في تلف الذاكرة وتنفيذ التعليمات البرمجية عن بُعد كعملية خادم وسيط.

يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل وهناك العديد من التطبيقات التي تسمح بالوصول إليها من خلال المحتوى البعيد ، وأبرزها MMS وتشغيل المتصفح للوسائط.

تم تصنيف هذه المشكلة على أنها خطيرة للغاية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق خدمة الخادم الوسيط. تتمتع خدمة mediaserver بإمكانية الوصول إلى تدفقات الصوت والفيديو بالإضافة إلى الوصول إلى الامتيازات التي لا يمكن لتطبيقات الجهات الخارجية الوصول إليها بشكل طبيعي.

CVE البق مع روابط AOSP خطورة الإصدارات المحدثة ذكرت تاريخ
CVE -2017803 ANDROID-25812794 حرج 4.4.4 ، 5.0 ، 5.1.1 ، 6.0 ، 6.0.1 19 نوفمبر 2015
CVE -2017804 ANDROID-25070434 حرج 5.0 ، 5.1.1 ، 6.0 ، 6.0.1 12 أكتوبر 2015

رفع مستوى ضعف الامتياز في وحدة أداء Qualcomm

يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكون مدير حدث الأداء لمعالجات ARM من Qualcomm إلى تمكين تطبيق ضار محلي لتنفيذ تعليمات برمجية عشوائية داخل النواة. تم تصنيف هذه المشكلة على أنها خطيرة للغاية نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز وقد يحتاج الجهاز إلى الإصلاح عن طريق إعادة وميض نظام التشغيل.

CVE حشرة خطورة الإصدارات المحدثة ذكرت تاريخ
CVE -2017805 ANDROID-25773204 * حرج 4.4.4 ، 5.0 ، 5.1.1 ، 6.0 ، 6.0.1 15 نوفمبر 2015

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ثغرة أمنية في برنامج تشغيل Qualcomm Wi-Fi

هناك ثغرة أمنية في برنامج تشغيل Qualcomm Wi-Fi قد تمكن تطبيقًا ضارًا محليًا من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها خطيرة للغاية نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز وقد يحتاج الجهاز إلى الإصلاح عن طريق إعادة وميض نظام التشغيل.

CVE حشرة خطورة الإصدارات المحدثة ذكرت تاريخ
CVE -2017806 ANDROID-25344453 * حرج 4.4.4 ، 5.0 ، 5.1.1 ، 6.0 ، 6.0.1 15 نوفمبر 2015

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

رفع مستوى ضعف الامتياز في مصحح الأخطاء د

يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكون Debuggerd إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية ضمن سياق جذر الجهاز. تم تصنيف هذه المشكلة على أنها خطيرة للغاية نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز وقد يحتاج الجهاز إلى الإصلاح عن طريق إعادة وميض نظام التشغيل.

CVE علة مع رابط AOSP خطورة الإصدارات المحدثة ذكرت تاريخ
CVE -2017807 ANDROID-25187394 حرج 6.0 و 6.0.1 جوجل الداخلية

رفض الخدمة في Minikin

قد تسمح ثغرة رفض الخدمة في مكتبة Minikin لمهاجم محلي بحظر الوصول مؤقتًا إلى جهاز متأثر. قد يتسبب المهاجم في تحميل خط غير موثوق به ويسبب تجاوزًا في مكون Minikin مما يؤدي إلى تعطل. تم تصنيف هذا على أنه شديد الخطورة لأن رفض الخدمة يؤدي إلى حلقة إعادة تشغيل مستمرة.

CVE علة مع رابط AOSP خطورة الإصدارات المحدثة ذكرت تاريخ
CVE -2017808 ANDROID-25645298 عالٍ 5.0 ، 5.1.1 ، 6.0 ، 6.0.1 3 نوفمبر 2015

رفع مستوى ضعف الامتياز في شبكة Wi-Fi

يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكون Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية ضمن سياق النظام. الجهاز عرضة لهذه المشكلة فقط عندما يكون على مقربة من المنطقة. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنه يمكن استخدامها لاكتساب الإمكانات " العادية " عن بُعد. بشكل عام ، لا يمكن الوصول إلى هذه الأذونات إلا لتطبيقات الجهات الخارجية المثبتة محليًا.

CVE علة مع رابط AOSP خطورة الإصدارات المحدثة ذكرت تاريخ
CVE -2017809 ANDROID-25753768 عالٍ 6.0 ، 6.0.1 جوجل الداخلية

رفع مستوى ضعف الامتياز في Mediaserver

يمكن أن يؤدي ارتفاع مستوى ضعف الامتيازات في خادم الوسائط إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنه يمكن استخدامها لاكتساب قدرات عالية ، مثل امتيازات أذونات Signature أو SignatureOrSystem ، والتي لا يمكن الوصول إليها من قبل تطبيق جهة خارجية.

CVE علة مع رابط AOSP خطورة الإصدارات المحدثة ذكرت تاريخ
CVE-2016-0810 ANDROID-25781119 عالٍ 4.4.4 ، 5.0 ، 5.1.1 ، 6.0 ، 6.0.1 جوجل الداخلية

ثغرة أمنية في الكشف عن المعلومات في خدمة اللاعبين الوسيطيين

قد تسمح ثغرة الكشف عن المعلومات في خدمة libmediaplayer بتجاوز الإجراءات الأمنية المعمول بها لزيادة صعوبة استغلال المهاجمين للمنصة. تم تصنيف هذه المشكلات على أنها عالية الخطورة لأنه يمكن استخدامها أيضًا لاكتساب قدرات عالية ، مثل امتيازات أذونات Signature أو SignatureOrSystem ، والتي لا يمكن الوصول إليها من قبل تطبيقات الجهات الخارجية.

CVE علة مع رابط AOSP خطورة الإصدارات المحدثة ذكرت تاريخ
CVE-2016-0811 ANDROID-25800375 عالٍ 6.0 ، 6.0.1 16 نوفمبر 2015

ارتفاع ثغرة أمنية في الامتياز في معالج الإعداد

قد تسمح الثغرة الأمنية في معالج الإعداد لمهاجم ضار بتجاوز حماية إعادة تعيين إعدادات المصنع والوصول إلى الجهاز. تم تصنيف هذا على أنه متوسط ​​الخطورة لأنه من المحتمل أن يسمح لشخص لديه وصول مادي إلى جهاز بتجاوز حماية إعادة ضبط المصنع ، والتي تمكن المهاجم من إعادة تعيين الجهاز بنجاح ، ومسح جميع البيانات.

CVE البق مع روابط AOSP خطورة الإصدارات المحدثة ذكرت تاريخ
CVE-2016-0812 ANDROID-25229538 معتدل 5.1.1 ، 6.0 جوجل الداخلية
CVE-2016-0813 ANDROID-25476219 معتدل 5.1.1 ، 6.0 ، 6.0.1 جوجل الداخلية

أسئلة وأجوبة شائعة

يستعرض هذا القسم الإجابات على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا كان قد تم تحديث جهازي لمعالجة هذه المشكلات؟

يعالج الإصداران LMY49G أو الأحدث ونظام Android 6.0 مع مستوى تصحيح الأمان بتاريخ 1 فبراير 2016 أو أحدث هذه المشكلات. راجع وثائق Nexus للحصول على إرشادات حول كيفية التحقق من مستوى تصحيح الأمان. يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على: [ro.build.version.security_patch]: [2016-02-01]

التنقيحات

  • 01 فبراير 2016: تم نشر النشرة.
  • 02 فبراير 2016: تمت مراجعة النشرة لتشمل روابط AOSP.
  • 07 مارس 2016: تمت مراجعة النشرة لتشمل روابط AOSP إضافية.