Nexus Güvenlik Bülteni - Şubat 2016

01 Şubat 2016'da yayınlandı | 7 Mart 2016'da güncellendi

Android Güvenlik Bülteni Aylık Sürüm sürecimizin bir parçası olarak kablosuz (OTA) güncelleme aracılığıyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı görüntüleri de Google Geliştirici sitesinde yayınlandı. LMY49G veya sonraki sürümleri ve 1 Şubat 2016 veya sonraki Güvenlik Düzeltme Eki Düzeyine sahip Android M sürümleri bu sorunları giderir. Güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın.

Bültende açıklanan konularla ilgili olarak ortaklara 4 Ocak 2016 veya öncesinde bilgi verildi. Uygun olduğu durumlarda, bu sorunlara yönelik kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır.

Bu sorunlardan en ciddi olanı, etkilenen bir cihazda medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden fazla yöntemle uzaktan kod yürütülmesine olanak tanıyan Kritik bir güvenlik açığıdır. Broadcom'un Wi-Fi sürücüsündeki Uzaktan Kod Yürütme Güvenlik Açığı da, saldırganla aynı ağa bağlıyken etkilenen bir cihazda uzaktan kod yürütülmesine izin verebileceğinden Kritik önemdedir. Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.

Yeni bildirilen bu sorunların aktif müşteri istismarına ilişkin hiçbir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Azaltıcı Önlemler bölümüne bakın. Tüm müşterilerimizi cihazlarına yönelik bu güncellemeleri kabul etmeye teşvik ediyoruz.

Azaltmalar

Bu , Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltımların bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.

  • Android platformunun daha yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorundan yararlanmayı daha da zorlaştırıyor. Tüm kullanıcılarımızı mümkün olduğunca Android'in en son sürümüne güncelleme yapmaya teşvik ediyoruz.
  • Android Güvenlik ekibi, yüklenmek üzere olan potansiyel zararlı uygulamalar hakkında uyarı verecek olan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Cihaz rootlama araçları Google Play'de yasaktır. Google Play dışından uygulama yükleyen kullanıcıları korumak için Uygulamaları Doğrula özelliği varsayılan olarak etkindir ve kullanıcıları bilinen köklendirme uygulamaları konusunda uyarır. Uygulamaları Doğrula, ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaları tanımlamaya ve yüklemesini engellemeye çalışır. Böyle bir uygulama zaten kuruluysa Verify Apps kullanıcıyı bilgilendirecek ve bu tür uygulamaları kaldırmaya çalışacaktır.
  • Uygun olduğu üzere Google Hangouts ve Messenger uygulamaları, medya sunucusu gibi işlemlere otomatik olarak medya aktarmamaktadır.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür ederiz:

Güvenlik Açığı Ayrıntıları

Aşağıdaki bölümlerde, 2016-02-01 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, ciddiyet gerekçesi ve CVE, ilgili hata, önem derecesi, etkilenen sürümler ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren AOSP taahhüdünü hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek AOSP referansları hata kimliğini takip eden numaralara bağlanır.

Broadcom Wi-Fi Sürücüsünde Uzaktan Kod Yürütme Güvenlik Açığı

Broadcom Wi-Fi sürücüsündeki çoklu uzaktan yürütme güvenlik açıkları, uzak bir saldırganın, çekirdek bağlamında uzaktan kod yürütülmesine yol açacak şekilde çekirdek belleğini bozmak için özel hazırlanmış kablosuz kontrol mesajı paketlerini kullanmasına izin verebilir. Bu güvenlik açıkları, saldırgan ve kurbanın aynı ağ ile ilişkilendirilmesi durumunda tetiklenebilmektedir. Bu sorun, kullanıcı etkileşimi gerektirmeden çekirdek bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.

CVE Hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0801 ANDROID-25662029
ANDROID-25662233
Kritik 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 Ekim 2015
CVE-2016-0802 ANDROID-25306181 Kritik 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26 Ekim 2015

Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açığı

Medya dosyası ve özel hazırlanmış bir dosyanın verilerinin işlenmesi sırasında, medya sunucusundaki güvenlik açıkları, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olmasına olanak verebilir.

Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanmaktadır ve başta MMS ve medyanın tarayıcıda oynatılması olmak üzere, bu işlevselliğe uzak içerikle erişilmesine olanak tanıyan çok sayıda uygulama vardır.

Bu sorun, medya sunucusu hizmeti bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Mediaserver hizmetinin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0803 ANDROID-25812794 Kritik 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 19 Kasım 2015
CVE-2016-0804 ANDROID-25070434 Kritik 5.0, 5.1.1, 6.0, 6.0.1 12 Ekim 2015

Qualcomm Performans Modülünde Ayrıcalık Güvenlik Açığı Yükselişi

Qualcomm'un ARM işlemcilerine yönelik performans olay yöneticisi bileşenindeki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek içinde rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, yerel kalıcı cihaz güvenliği ihlali olasılığı nedeniyle Kritik önem derecesine sahip olarak derecelendirilmiştir ve muhtemelen işletim sisteminin yeniden flaşlanmasıyla cihazın onarılması gerekebilir.

CVE Böcek Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0805 ANDROID-25773204* Kritik 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 15 Kasım 2015

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm Wi-Fi Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi

Qualcomm Wi-Fi sürücüsünde, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak verebilecek bir güvenlik açığı var. Bu sorun, yerel kalıcı cihaz güvenliği ihlali olasılığı nedeniyle Kritik önem derecesine sahip olarak derecelendirilmiştir ve muhtemelen işletim sisteminin yeniden flaşlanmasıyla cihazın onarılması gerekebilir.

CVE Böcek Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0806 ANDROID-25344453* Kritik 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 15 Kasım 2015

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Hata Ayıklayıcıda Ayrıcalık Güvenlik Açığı Yükselişi

Debuggerd bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, cihazın kök bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, yerel kalıcı cihaz güvenliği ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir ve muhtemelen işletim sisteminin yeniden flaşlanmasıyla cihazın onarılması gerekebilir.

CVE AOSP bağlantısıyla ilgili hata Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0807 ANDROID-25187394 Kritik 6.0 ve 6.0.1 Google Dahili

Minikin'de Hizmet Reddi Güvenlik Açığı

Minikin kütüphanesindeki bir hizmet reddi güvenlik açığı, yerel bir saldırganın etkilenen cihaza erişimi geçici olarak engellemesine olanak tanıyabilir. Saldırgan, güvenilmeyen bir yazı tipinin yüklenmesine neden olabilir ve Minikin bileşeninde taşmaya neden olarak çökmeye neden olabilir. Hizmet Reddi sürekli bir yeniden başlatma döngüsüne yol açtığı için bu durum yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantısıyla ilgili hata Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0808 ANDROID-25645298 Yüksek 5.0, 5.1.1, 6.0, 6.0.1 3 Kasım 2015

Wi-Fi'de Ayrıcalık Güvenlik Açığının Yükselmesi

Wi-Fi bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın Sistem bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bir cihaz yalnızca yerel yakınlıktayken bu soruna karşı savunmasızdır. Bu sorun, uzaktan " normal " yetenekler kazanmak için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir. Genellikle bu izinlere yalnızca yerel olarak yüklenen üçüncü taraf uygulamalar erişebilir.

CVE AOSP bağlantısıyla ilgili hata Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0809 ANDROID-25753768 Yüksek 6.0, 6.0.1 Google Dahili

Mediaserver'da Ayrıcalık Güvenlik Açığı Yükselişi

Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, Üçüncü taraf bir uygulama tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantısıyla ilgili hata Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0810 ANDROID-25781119 Yüksek 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 Google Dahili

Libmediaplayerservice'te Bilginin İfşa Edilmesi Güvenlik Açığı

Libmediaplayerservice'teki bir bilginin açığa çıkması güvenlik açığı, saldırganların platformu istismar etmesini zorlaştıracak şekilde güvenlik önlemlerinin atlanmasına izin verebilir. Bu sorunlar, Üçüncü taraf uygulamalar tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için de kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantısıyla ilgili hata Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0811 ANDROID-25800375 Yüksek 6.0, 6.0.1 16 Kasım 2015

Kurulum Sihirbazı'nda Ayrıcalık Yükselmesi Güvenlik Açığı

Kurulum Sihirbazı'ndaki bir güvenlik açığı, kötü niyetli bir saldırganın Fabrika Sıfırlama Korumasını atlamasına ve cihaza erişmesine olanak tanıyabilir. Bu durum, bir cihaza fiziksel erişimi olan birinin, bir saldırganın cihazı başarılı bir şekilde sıfırlayarak tüm verileri silmesini sağlayan Fabrika Sıfırlama Korumasını atlamasına olanak tanıdığından, Orta önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0812 ANDROID-25229538 Ilıman 5.1.1, 6.0 Google Dahili
CVE-2016-0813 ANDROID-25476219 Ilıman 5.1.1, 6.0, 6.0.1 Google Dahili

Sık Sorulan Sorular ve Cevaplar

Bu bölümde, bu bülteni okuduktan sonra karşılaşabileceğiniz genel soruların yanıtları gözden geçirilmektedir.

1. Cihazımın bu sorunları çözecek şekilde güncellenip güncellenmediğini nasıl belirleyebilirim?

LMY49G veya üzeri sürümler ve 1 Şubat 2016 veya üzeri Güvenlik Düzeltme Eki Düzeyine sahip Android 6.0 sürümleri bu sorunları giderir. Güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın. Bu güncellemeleri içeren cihaz üreticileri yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-02-01]

Revizyonlar

  • 01 Şubat 2016: Bülten yayınlandı.
  • 02 Şubat 2016: Bülten, AOSP bağlantılarını içerecek şekilde revize edildi.
  • 07 Mart 2016: Bülten, ek AOSP bağlantılarını içerecek şekilde revize edildi.