بولتن امنیتی Nexus - مارس 2016

تاریخ انتشار 16 اسفند 1394 | به روز شده در 08 مارس 2016

ما یک به‌روزرسانی امنیتی برای دستگاه‌های Nexus از طریق به‌روزرسانی هوایی (OTA) به عنوان بخشی از فرآیند انتشار ماهانه بولتن امنیتی Android خود منتشر کرده‌ایم. تصاویر سفت‌افزار Nexus نیز در سایت Google Developer منتشر شده است. بیلدهای LMY49H یا جدیدتر و Android M با سطح وصله امنیتی 01 مارس 2016 یا جدیدتر این مشکلات را برطرف می‌کنند. برای دستورالعمل‌های نحوه بررسی سطح وصله امنیتی، به مستندات Nexus مراجعه کنید.

شرکا در مورد مسائل توضیح داده شده در بولتن در تاریخ 1 فوریه 2016 یا قبل از آن مطلع شدند. در صورت لزوم، وصله‌های کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) منتشر شده است.

شدیدترین این مشکلات یک آسیب پذیری امنیتی بحرانی است که می تواند اجرای کد از راه دور را در دستگاه آسیب دیده از طریق چندین روش مانند ایمیل، مرور وب و MMS هنگام پردازش فایل های رسانه ای فعال کند. ارزیابی شدت بر اساس تأثیری است که بهره‌برداری از آسیب‌پذیری احتمالاً روی دستگاه آسیب‌دیده می‌گذارد، با این فرض که پلت‌فرم و کاهش خدمات برای اهداف توسعه غیرفعال شده باشند یا اگر با موفقیت دور زده شوند.

ما هیچ گزارشی مبنی بر بهره برداری فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد محافظت از پلتفرم امنیتی اندروید و محافظت از خدمات مانند SafetyNet، که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش کاهش دهنده ها مراجعه کنید. ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.

اقدامات کاهشی

این خلاصه‌ای از کاهش‌های ارائه‌شده توسط پلتفرم امنیتی Android و محافظت‌های خدماتی مانند SafetyNet است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.

  • بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
  • تیم امنیت Android با Verify Apps و SafetyNet که در مورد برنامه‌های بالقوه مضر در شرف نصب هشدار می‌دهند، به طور فعال در حال نظارت بر سوء استفاده است. ابزارهای روت کردن دستگاه در Google Play ممنوع است. برای محافظت از کاربرانی که برنامه‌های خارج از Google Play را نصب می‌کنند، Verify Apps به طور پیش‌فرض فعال است و به کاربران در مورد برنامه‌های روت‌شده شناخته شده هشدار می‌دهد. Verify Apps تلاش می کند تا نصب برنامه های مخرب شناخته شده ای را که از یک آسیب پذیری افزایش امتیاز سوء استفاده می کنند، شناسایی و مسدود کند. اگر چنین برنامه‌ای قبلاً نصب شده باشد، Verify Apps به کاربر اطلاع می‌دهد و سعی می‌کند چنین برنامه‌هایی را حذف کند.
  • در صورت لزوم، برنامه‌های Google Hangouts و Messenger رسانه‌ها را به‌طور خودکار به فرآیندهایی مانند مدیا سرور منتقل نمی‌کنند.

سپاسگزاریها

مایلیم از این پژوهشگران به خاطر مشارکتشان تشکر کنیم:

  • آبیشک آریا، الیور چانگ و مارتین باربلا از تیم امنیتی Google Chrome: CVE-2016-0815
  • Anestis Bechtsoudis ( @anestisb ) از CENSUS SA: CVE-2016-0816, CVE-2016-0824
  • Chad Brubaker از Android Security: CVE-2016-0818
  • علامت تجاری Google Project Zero: CVE-2016-0820
  • Mingjian Zhou ( @Mingjian_Zhou )، Chiachih Wu ( @chiachih_wu )، و Xuxian Jiang از تیم C0RE از Qihoo 360 : CVE-2016-0826
  • پیتر پی ( @heisecode ) از Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
  • اسکات بائر ( sbauer@eng.utah.edu ، sbauer@plzdonthack.me ): CVE-2016-0822
  • Wish Wu ( @wish_wu ) از Trend Micro Inc.: CVE-2016-0819
  • یونگ ژنگ وو و تیان لی از هواوی: CVE-2016-0831
  • سو مون کیوه و یینگیو لی از دانشگاه مدیریت سنگاپور: CVE-2016-0831
  • زک ریگل ( @ebeip90 ) از تیم امنیتی اندروید: CVE-2016-0821

جزئیات آسیب پذیری امنیتی

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله 01-03-2016 اعمال می‌شوند، ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، اشکال مرتبط، شدت، نسخه های آسیب دیده و تاریخ گزارش شده وجود دارد. زمانی که در دسترس باشد، تغییر AOSP که مشکل را برطرف کرده است را به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی AOSP به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

آسیب پذیری اجرای کد از راه دور در Mediaserver

در طول فایل رسانه و پردازش داده‌های یک فایل ساخته‌شده خاص، آسیب‌پذیری‌های موجود در مدیاسرور می‌تواند به مهاجم اجازه دهد که باعث خرابی حافظه و اجرای کد از راه دور به عنوان فرآیند سرور رسانه‌ای شود.

عملکرد آسیب‌دیده به‌عنوان بخش اصلی سیستم‌عامل ارائه می‌شود و برنامه‌های متعددی وجود دارد که امکان دسترسی به آن را با محتوای راه دور فراهم می‌کند، به ویژه MMS و پخش رسانه از مرورگر.

این موضوع به دلیل امکان اجرای کد از راه دور در زمینه سرویس سرور رسانه، به عنوان یک شدت بحرانی رتبه بندی می شود. سرویس مدیا سرور به جریان‌های صوتی و تصویری و همچنین به امتیازاتی دسترسی دارد که برنامه‌های شخص ثالث معمولاً نمی‌توانند به آن‌ها دسترسی داشته باشند.

CVE اشکالات پیوندهای AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2016-0815 ANDROID-26365349 بحرانی 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 گوگل داخلی
CVE-2016-0816 ANDROID-25928803 بحرانی 6.0، 6.0.1 گوگل داخلی

آسیب پذیری های اجرای کد از راه دور در libvpx

در طول فایل رسانه و پردازش داده‌های یک فایل ساخته‌شده خاص، آسیب‌پذیری‌های موجود در مدیاسرور می‌تواند به مهاجم اجازه دهد که باعث خرابی حافظه و اجرای کد از راه دور به عنوان فرآیند سرور رسانه‌ای شود.

عملکرد آسیب‌دیده به‌عنوان بخش اصلی سیستم‌عامل ارائه می‌شود و برنامه‌های متعددی وجود دارد که امکان دسترسی به آن را با محتوای راه دور فراهم می‌کند، به ویژه MMS و مرورگر پخش رسانه.

این مسائل به‌عنوان شدت بحرانی رتبه‌بندی می‌شوند، زیرا می‌توان از آنها برای اجرای کد از راه دور در چارچوب سرویس سرور رسانه استفاده کرد. سرویس مدیا سرور به جریان های صوتی و تصویری و همچنین به امتیازاتی دسترسی دارد که برنامه های شخص ثالث معمولاً نمی توانند به آنها دسترسی داشته باشند.

CVE اشکال در پیوندهای AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2016-1621 ANDROID-23452792 [2] [3] بحرانی 4.4.4، 5.0.2، 5.1.1، 6.0 گوگل داخلی

ارتقای امتیاز در Conscrypt

یک آسیب‌پذیری در Conscrypt می‌تواند به یک نوع خاص از گواهی نامعتبر، صادر شده توسط یک مرجع صدور گواهینامه (CA)، اجازه دهد که به اشتباه قابل اعتماد باشد. این ممکن است یک حمله man-in-the-middle را فعال کند. این موضوع به دلیل احتمال افزایش امتیاز و اجرای کد دلخواه از راه دور، به عنوان یک شدت بحرانی رتبه بندی می شود.

CVE اشکال در پیوندهای AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2016-0818 ANDROID-26232830 [2] بحرانی 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 گوگل داخلی

افزایش آسیب پذیری امتیاز در مؤلفه عملکرد کوالکام

افزایش آسیب پذیری امتیاز در مؤلفه عملکرد کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، به عنوان یک شدت بحرانی رتبه بندی شده است و دستگاه فقط با فلش مجدد سیستم عامل قابل تعمیر است.

CVE حشره شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2016-0819 ANDROID-25364034* بحرانی 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 29 اکتبر 2015

* پچ این مشکل در AOSP نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری Privilege در درایور هسته Wi-Fi MediaTek

یک آسیب پذیری در درایور هسته وای فای MediaTek وجود دارد که می تواند یک برنامه مخرب محلی را قادر به اجرای کد دلخواه در متن هسته کند. این موضوع به دلیل امکان افزایش امتیاز و اجرای کد دلخواه در زمینه هسته، به عنوان یک شدت بحرانی رتبه بندی می شود.

CVE حشره شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2016-0820 ANDROID-26267358* بحرانی 6.0.1 18 دسامبر 2015

* پچ این مشکل در AOSP نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در مؤلفه Keyring Kernel

افزایش آسیب پذیری امتیاز در مؤلفه Keyring Kernel می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، به عنوان یک شدت بحرانی رتبه بندی شده است و دستگاه به طور بالقوه فقط با فلش مجدد سیستم عامل قابل تعمیر است. با این حال، در نسخه های اندروید 5.0 و بالاتر، قوانین SELinux از دسترسی برنامه های شخص ثالث به کد آسیب دیده جلوگیری می کند.

توجه: برای مرجع، وصله در AOSP برای نسخه‌های هسته خاصی در دسترس است: 4.1 ، 3.18 ، 3.14 و 3.10 .

CVE حشره شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2016-0728 ANDROID-26636379 بحرانی 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 11 ژانویه 2016

کاهش آسیب پذیری دور زدن در هسته

یک آسیب‌پذیری بای پس کاهشی در هسته می‌تواند امکان دور زدن اقدامات امنیتی را برای افزایش دشواری مهاجمان در بهره‌برداری از پلتفرم فراهم کند. این مشکل به‌عنوان شدت بالا رتبه‌بندی می‌شود، زیرا می‌تواند امکان دور زدن اقدامات امنیتی را برای افزایش دشواری مهاجمان در بهره‌برداری از پلتفرم فراهم کند.

توجه: به روز رسانی برای این مشکل در بالادست لینوکس قرار دارد .

CVE حشره شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2016-0821 ANDROID-26186802 بالا 6.0.1 گوگل داخلی

افزایش امتیاز در درایور هسته اتصال MediaTek

درایور هسته اتصال MediaTek آسیب‌پذیری بالایی دارد که می‌تواند یک برنامه مخرب محلی را قادر به اجرای کد دلخواه در متن هسته کند. به طور معمول یک اشکال اجرای کد هسته مانند این بحرانی ارزیابی می شود، اما از آنجایی که ابتدا باید سرویس conn_launcher را به خطر بیندازید، کاهش به رتبه بندی با شدت بالا را توجیه می کند.

CVE حشره شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2016-0822 ANDROID-25873324* بالا 6.0.1 24 نوامبر 2015

* پچ این مشکل در AOSP نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری افشای اطلاعات در کرنل

یک آسیب‌پذیری افشای اطلاعات در هسته می‌تواند امکان دور زدن اقدامات امنیتی را برای افزایش دشواری مهاجمان در بهره‌برداری از پلتفرم فراهم کند. این مسائل به‌عنوان شدت بالا رتبه‌بندی می‌شوند، زیرا می‌توانند امکان دور زدن محلی فناوری‌های کاهش بهره‌برداری مانند ASLR را در یک فرآیند ممتاز فراهم کنند.

توجه: رفع این مشکل در لینوکس upstream قرار دارد .

CVE حشره شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2016-0823 ANDROID-25739721* بالا 6.0.1 گوگل داخلی

* پچ این مشکل در AOSP نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری افشای اطلاعات در libstagefright

آسیب‌پذیری افشای اطلاعات در libstagefright می‌تواند به دور زدن اقدامات امنیتی برای افزایش دشواری مهاجمان در سوء استفاده از پلتفرم اجازه دهد. این مسائل به‌عنوان شدت بالا رتبه‌بندی می‌شوند، زیرا می‌توانند برای به دست آوردن قابلیت‌های بالا، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیستند، استفاده شوند.

CVE اشکال با پیوند AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2016-0824 ANDROID-25765591 بالا 6.0، 6.0.1 18 نوامبر 2015

آسیب پذیری افشای اطلاعات در Widevine

یک آسیب‌پذیری افشای اطلاعات در Widevine Trusted Application می‌تواند به کدهای در حال اجرا در زمینه هسته اجازه دهد تا به اطلاعات در ذخیره‌سازی امن TrustZone دسترسی داشته باشند. این مشکل به‌عنوان با شدت بالا رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن قابلیت‌های بالا، مانند امتیازات مجوز Signature یا SignatureOrSystem استفاده کرد.

CVE اشکال(ها) شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2016-0825 ANDROID-20860039* بالا 6.0.1 گوگل داخلی

* پچ این مشکل در AOSP نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در مدیا سرور

افزایش آسیب‌پذیری امتیاز در مدیاسرور می‌تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک برنامه کاربردی سیستم بالا اجرا کند. این مشکل به‌عنوان شدت بالا رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن قابلیت‌های بالا استفاده کرد، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیستند.

CVE اشکالات پیوندهای AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2016-0826 ANDROID-26265403 [2] بالا 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 17 دسامبر 2015
CVE-2016-0827 ANDROID-26347509 بالا 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 28 دسامبر 2015

آسیب پذیری افشای اطلاعات در مدیا سرور

یک آسیب‌پذیری افشای اطلاعات در سرور رسانه‌ای می‌تواند امکان دور زدن اقدامات امنیتی را برای افزایش دشواری مهاجمان در سوء استفاده از پلتفرم فراهم کند. این مسائل به‌عنوان شدت بالا رتبه‌بندی می‌شوند، زیرا می‌توانند برای به دست آوردن قابلیت‌های بالا، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیستند، استفاده شوند.

CVE اشکالات پیوندهای AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2016-0828 ANDROID-26338113 بالا 5.0.2، 5.1.1، 6.0، 6.0.1 27 دسامبر 2015
CVE-2016-0829 ANDROID-26338109 بالا 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 27 دسامبر 2015

آسیب پذیری Remote Denial of Service در بلوتوث

آسیب پذیری انکار سرویس از راه دور در مؤلفه بلوتوث می تواند به مهاجم پروگزیمال اجازه دهد تا دسترسی به دستگاه آسیب دیده را مسدود کند. یک مهاجم می‌تواند باعث سرریز دستگاه‌های بلوتوث شناسایی‌شده در مؤلفه بلوتوث شود که منجر به خراب شدن حافظه و توقف سرویس می‌شود. این به عنوان یک شدت بالا رتبه بندی می شود زیرا منجر به انکار سرویس از سرویس بلوتوث می شود که به طور بالقوه فقط با فلاش دستگاه قابل رفع است.

CVE اشکال با پیوند AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2016-0830 ANDROID-26071376 بالا 6.0، 6.0.1 گوگل داخلی

آسیب پذیری افشای اطلاعات در تلفن

یک آسیب‌پذیری افشای اطلاعات در مؤلفه تلفن می‌تواند به برنامه اجازه دسترسی به اطلاعات حساس را بدهد. این مشکل به شدت متوسط ​​رتبه بندی شده است زیرا می تواند برای دسترسی نادرست به داده ها بدون مجوز استفاده شود.

CVE اشکال با پیوند AOSP شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2016-0831 ANDROID-25778215 در حد متوسط 5.0.2، 5.1.1، 6.0، 6.0.1 16 نوامبر 2015

افزایش آسیب پذیری Privilege در Setup Wizard

یک آسیب‌پذیری در Setup Wizard می‌تواند مهاجمی را که به دستگاه دسترسی فیزیکی دارد، قادر می‌سازد تا به تنظیمات دستگاه دسترسی پیدا کند و بازنشانی دستی دستگاه را انجام دهد. این مشکل به‌عنوان شدت متوسط ​​رتبه‌بندی می‌شود، زیرا می‌توان از آن برای کار نادرست در مورد حفاظت بازنشانی کارخانه استفاده کرد.

CVE اشکال(ها) شدت نسخه های به روز شده تاریخ گزارش شده
CVE-2016-0832 ANDROID-25955042* در حد متوسط 5.1.1، 6.0، 6.0.1 گوگل داخلی

* هیچ وصله کد منبع برای این به روز رسانی ارائه نشده است.

پرسش ها و پاسخ های متداول

این بخش پاسخ به سوالات رایجی که ممکن است پس از خواندن این بولتن رخ دهد را مرور می کند.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

بیلدهای LMY49H یا جدیدتر و Android 6.0 با سطح وصله امنیتی 1 مارس 2016 یا جدیدتر این مشکلات را برطرف می‌کنند. برای دستورالعمل‌های نحوه بررسی سطح وصله امنیتی، به مستندات Nexus مراجعه کنید. سازندگان دستگاه‌هایی که شامل این به‌روزرسانی‌ها هستند، باید سطح رشته وصله را روی: [ro.build.version.security_patch]:[01-03-2016] تنظیم کنند.

تجدید نظرها

  • 7 مارس 2016: بولتن منتشر شد.
  • 8 مارس 2016: بولتن اصلاح شد تا شامل پیوندهای AOSP باشد.