Buletin Keamanan Nexus - Maret 2016

Diterbitkan 07 Maret 2016 | Diperbarui 08 Maret 2016

Kami telah merilis pembaruan keamanan untuk perangkat Nexus melalui pembaruan over-the-air (OTA) sebagai bagian dari proses Rilis Bulanan Buletin Keamanan Android. Gambar firmware Nexus juga telah dirilis ke situs Pengembang Google . Build LMY49H atau lebih baru dan Android M dengan Tingkat Patch Keamanan 1 Maret 2016 atau lebih baru mengatasi masalah ini. Lihat dokumentasi Nexus untuk petunjuk tentang cara memeriksa tingkat patch keamanan.

Mitra telah diberitahu tentang masalah yang dijelaskan dalam buletin pada tanggal 1 Februari 2016 atau sebelumnya. Jika memungkinkan, patch kode sumber untuk masalah ini telah dirilis ke repositori Android Open Source Project (AOSP).

Masalah yang paling parah adalah kerentanan keamanan Kritis yang memungkinkan eksekusi kode jarak jauh pada perangkat yang terpengaruh melalui berbagai metode seperti email, penjelajahan web, dan MMS saat memproses file media. Penilaian tingkat keparahan didasarkan pada dampak eksploitasi kerentanan pada perangkat yang terkena dampak, dengan asumsi platform dan mitigasi layanan dinonaktifkan untuk tujuan pengembangan atau jika berhasil dilewati.

Kami belum menerima laporan mengenai eksploitasi aktif pelanggan atas masalah yang baru dilaporkan ini. Lihat bagian Mitigasi untuk detail tentang perlindungan platform keamanan Android dan perlindungan layanan seperti SafetyNet, yang meningkatkan keamanan platform Android. Kami mendorong semua pelanggan untuk menerima pembaruan ini pada perangkat mereka.

Mitigasi

Ini adalah ringkasan mitigasi yang diberikan oleh platform keamanan Android dan perlindungan layanan seperti SafetyNet. Kemampuan ini mengurangi kemungkinan kerentanan keamanan berhasil dieksploitasi di Android.

  • Eksploitasi banyak masalah di Android menjadi lebih sulit dengan penyempurnaan pada platform Android versi terbaru. Kami mendorong semua pengguna untuk memperbarui ke versi Android terbaru jika memungkinkan.
  • Tim Keamanan Android secara aktif memantau penyalahgunaan dengan Verify Apps dan SafetyNet yang akan memperingatkan tentang aplikasi yang berpotensi berbahaya yang akan diinstal. Alat rooting perangkat dilarang di Google Play. Untuk melindungi pengguna yang memasang aplikasi dari luar Google Play, Verifikasi Aplikasi diaktifkan secara default dan akan memperingatkan pengguna tentang aplikasi rooting yang diketahui. Verifikasi Aplikasi berupaya mengidentifikasi dan memblokir pemasangan aplikasi berbahaya yang diketahui mengeksploitasi kerentanan peningkatan hak istimewa. Jika aplikasi tersebut telah diinstal, Verifikasi Aplikasi akan memberi tahu pengguna dan berupaya menghapus aplikasi tersebut.
  • Sesuai kebutuhan, aplikasi Google Hangouts dan Messenger tidak secara otomatis meneruskan media ke proses seperti server media.

Ucapan Terima Kasih

Kami ingin mengucapkan terima kasih kepada para peneliti atas kontribusi mereka:

  • Abhishek Arya, Oliver Chang, dan Martin Barbella dari Tim Keamanan Google Chrome: CVE-2016-0815
  • Anestis Bechtsoudis ( @anestisb ) dari SENSUS SA: CVE-2016-0816, CVE-2016-0824
  • Chad Brubaker dari Keamanan Android: CVE-2016-0818
  • Tandai Merek Google Project Zero: CVE-2016-0820
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), dan Xuxian Jiang dari Tim C0RE dari Qihoo 360 : CVE-2016-0826
  • Peter Pi ( @heisecode ) dari Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
  • Scott Bauer ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
  • Wish Wu ( @wish_wu ) dari Trend Micro Inc.: CVE-2016-0819
  • Yongzheng Wu dan Tieyan Li dari Huawei: CVE-2016-0831
  • Su Mon Kywe dan Yingjiu Li dari Universitas Manajemen Singapura: CVE-2016-0831
  • Zach Riggle ( @ebeip90 ) dari Tim Keamanan Android: CVE-2016-0821

Detail Kerentanan Keamanan

Pada bagian di bawah ini, kami memberikan rincian untuk masing-masing kerentanan keamanan yang berlaku pada tingkat patch 01-03-2016. Terdapat deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, bug terkait, tingkat keparahan, versi yang terpengaruh, dan tanggal pelaporan. Jika tersedia, kami akan menautkan perubahan AOSP yang mengatasi masalah tersebut ke ID bug. Ketika beberapa perubahan berhubungan dengan satu bug, referensi AOSP tambahan ditautkan ke nomor setelah ID bug.

Kerentanan Eksekusi Kode Jarak Jauh di Server Media

Selama pemrosesan file media dan data dari file yang dibuat khusus, kerentanan di server media dapat memungkinkan penyerang menyebabkan kerusakan memori dan eksekusi kode jarak jauh sebagai proses server media.

Fungsionalitas yang terpengaruh disediakan sebagai bagian inti dari sistem operasi, dan terdapat beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media di browser.

Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks layanan server media. Layanan server media memiliki akses ke streaming audio dan video serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.

CVE Bug dengan tautan AOSP Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2016-0815 ANDROID-26365349 Kritis 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Internal
CVE-2016-0816 ANDROID-25928803 Kritis 6.0, 6.0.1 Google Internal

Kerentanan Eksekusi Kode Jarak Jauh di libvpx

Selama pemrosesan file media dan data dari file yang dibuat khusus, kerentanan di server media dapat memungkinkan penyerang menyebabkan kerusakan memori dan eksekusi kode jarak jauh sebagai proses server media.

Fungsionalitas yang terpengaruh disediakan sebagai bagian inti dari sistem operasi dan terdapat beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media di browser.

Masalah ini dinilai sebagai tingkat keparahan Kritis karena dapat digunakan untuk eksekusi kode jarak jauh dalam konteks layanan server media. Layanan server media memiliki akses ke streaming audio dan video serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.

CVE Bug dengan tautan AOSP Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2016-1621 ANDROID-23452792 [2] [3] Kritis 4.4.4, 5.0.2, 5.1.1, 6.0 Google Internal

Peningkatan Hak Istimewa di Conscrypt

Kerentanan di Conscrypt dapat menyebabkan jenis sertifikat tertentu yang tidak valid, yang dikeluarkan oleh Otoritas Sertifikat (CA) perantara, menjadi salah dipercaya. Hal ini memungkinkan terjadinya serangan man-in-the-middle. Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan peningkatan hak istimewa dan eksekusi kode arbitrer jarak jauh.

CVE Bug dengan tautan AOSP Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2016-0818 ANDROID-26232830 [2] Kritis 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Internal

Peningkatan Kerentanan Hak Istimewa pada Komponen Kinerja Qualcomm

Peningkatan kerentanan hak istimewa pada komponen kinerja Qualcomm dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer di kernel. Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan kerusakan perangkat permanen lokal, dan perangkat hanya dapat diperbaiki dengan mem-flash ulang sistem operasi.

CVE Serangga Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2016-0819 ANDROID-25364034* Kritis 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 Oktober 2015

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Hak Istimewa pada Driver Kernel Wi-Fi MediaTek

Terdapat kerentanan pada driver kernel Wi-Fi MediaTek yang memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan peningkatan hak istimewa dan eksekusi kode arbitrer dalam konteks kernel.

CVE Serangga Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2016-0820 ANDROID-26267358* Kritis 6.0.1 18 Desember 2015

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Hak Istimewa pada Komponen Kernel Keyring

Peningkatan kerentanan hak istimewa di Komponen Kernel Keyring dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer di dalam kernel. Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan kerusakan perangkat permanen lokal dan perangkat hanya dapat diperbaiki dengan mem-flash ulang sistem operasi. Namun, di Android versi 5.0 dan lebih tinggi, aturan SELinux mencegah aplikasi pihak ketiga menjangkau kode yang terpengaruh.

Catatan: Sebagai referensi, patch di AOSP tersedia untuk versi kernel tertentu: 4.1 , 3.18 , 3.14 , dan 3.10 .

CVE Serangga Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2016-0728 ANDROID-26636379 Kritis 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 Januari 2016

Kerentanan Bypass Mitigasi di Kernel

Kerentanan pemintas mitigasi di kernel dapat memungkinkan pengabaian langkah-langkah keamanan untuk meningkatkan kesulitan penyerang dalam mengeksploitasi platform. Masalah ini dinilai sebagai tingkat keparahan yang tinggi karena dapat memungkinkan pengabaian langkah-langkah keamanan untuk meningkatkan kesulitan penyerang dalam mengeksploitasi platform.

Catatan: Pembaruan untuk masalah ini terletak di hulu Linux .

CVE Serangga Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2016-0821 ANDROID-26186802 Tinggi 6.0.1 Google Internal

Peningkatan Hak Istimewa dalam Driver Kernel Konektivitas MediaTek

Terdapat peningkatan kerentanan hak istimewa dalam driver kernel konektivitas MediaTek yang dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Biasanya bug eksekusi kode kernel seperti ini akan dinilai kritis, tetapi karena memerlukan kompromi terlebih dahulu pada layanan conn_launcher, hal ini membenarkan penurunan versi ke peringkat tingkat keparahan tinggi.

CVE Serangga Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2016-0822 ANDROID-25873324* Tinggi 6.0.1 24 November 2015

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Kerentanan Keterbukaan Informasi di Kernel

Kerentanan pengungkapan informasi di kernel dapat memungkinkan pengabaian langkah-langkah keamanan untuk meningkatkan kesulitan penyerang dalam mengeksploitasi platform. Masalah-masalah ini dinilai sebagai tingkat keparahan yang tinggi karena memungkinkan adanya bypass lokal terhadap teknologi mitigasi eksploitasi seperti ASLR dalam proses yang memiliki hak istimewa.

Catatan: Perbaikan untuk masalah ini terletak di Linux upstream .

CVE Serangga Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2016-0823 ANDROID-25739721* Tinggi 6.0.1 Google Internal

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Kerentanan Pengungkapan Informasi di libstagefright

Kerentanan pengungkapan informasi di libstagefright dapat memungkinkan pengabaian langkah-langkah keamanan untuk meningkatkan kesulitan penyerang dalam mengeksploitasi platform. Masalah ini dinilai sebagai tingkat keparahan Tinggi karena masalah ini juga dapat digunakan untuk mendapatkan kemampuan yang lebih tinggi, seperti hak istimewa izin Signature atau SignatureOrSystem , yang tidak dapat diakses oleh aplikasi pihak ketiga.

CVE Bug dengan tautan AOSP Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2016-0824 ANDROID-25765591 Tinggi 6.0, 6.0.1 18 November 2015

Kerentanan Keterbukaan Informasi di Widevine

Kerentanan pengungkapan informasi di Aplikasi Tepercaya Widevine dapat memungkinkan kode yang berjalan dalam konteks kernel mengakses informasi di penyimpanan aman TrustZone. Masalah ini dinilai sebagai tingkat keparahan Tinggi karena dapat digunakan untuk mendapatkan kemampuan yang lebih tinggi, seperti hak istimewa izin Signature atau SignatureOrSystem .

CVE Bug) Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2016-0825 ANDROID-20860039* Tinggi 6.0.1 Google Internal

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Hak Istimewa di Server Media

Peningkatan kerentanan hak istimewa di server media dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks aplikasi sistem yang ditingkatkan. Masalah ini dinilai sebagai tingkat keparahan Tinggi karena dapat digunakan untuk mendapatkan kemampuan yang lebih tinggi, seperti hak istimewa izin Signature atau SignatureOrSystem , yang tidak dapat diakses oleh aplikasi pihak ketiga.

CVE Bug dengan tautan AOSP Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2016-0826 ANDROID-26265403 [2] Tinggi 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 Desember 2015
CVE-2016-0827 ANDROID-26347509 Tinggi 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 Desember 2015

Kerentanan Keterbukaan Informasi di Mediaserver

Kerentanan pengungkapan informasi di server media dapat memungkinkan pengabaian langkah-langkah keamanan untuk meningkatkan kesulitan penyerang dalam mengeksploitasi platform. Masalah ini dinilai sebagai tingkat keparahan Tinggi karena masalah ini juga dapat digunakan untuk mendapatkan kemampuan yang lebih tinggi, seperti hak istimewa izin Signature atau SignatureOrSystem , yang tidak dapat diakses oleh aplikasi pihak ketiga.

CVE Bug dengan tautan AOSP Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2016-0828 ANDROID-26338113 Tinggi 5.0.2, 5.1.1, 6.0, 6.0.1 27 Desember 2015
CVE-2016-0829 ANDROID-26338109 Tinggi 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 Desember 2015

Kerentanan Penolakan Layanan Jarak Jauh di Bluetooth

Kerentanan penolakan layanan jarak jauh pada komponen Bluetooth dapat memungkinkan penyerang proksimal memblokir akses ke perangkat yang terpengaruh. Penyerang dapat menyebabkan meluapnya perangkat Bluetooth yang teridentifikasi di komponen Bluetooth, yang menyebabkan kerusakan memori dan penghentian layanan. Hal ini dinilai sebagai tingkat keparahan Tinggi karena menyebabkan Penolakan Layanan pada layanan Bluetooth, yang berpotensi hanya dapat diperbaiki dengan flash perangkat.

CVE Bug dengan tautan AOSP Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2016-0830 ANDROID-26071376 Tinggi 6.0, 6.0.1 Google Internal

Kerentanan Keterbukaan Informasi dalam Teleponi

Kerentanan pengungkapan informasi dalam komponen Telephony dapat memungkinkan aplikasi mengakses informasi sensitif. Masalah ini dinilai tingkat keparahannya sedang karena dapat digunakan untuk mengakses data secara tidak benar tanpa izin.

CVE Bug dengan tautan AOSP Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2016-0831 ANDROID-25778215 Sedang 5.0.2, 5.1.1, 6.0, 6.0.1 16 November 2015

Peningkatan Kerentanan Hak Istimewa di Wizard Penyiapan

Kerentanan dalam Wizard Penyiapan dapat memungkinkan penyerang yang memiliki akses fisik ke perangkat mendapatkan akses ke pengaturan perangkat dan melakukan pengaturan ulang perangkat secara manual. Masalah ini dinilai sebagai tingkat keparahan sedang karena dapat digunakan untuk mengatasi perlindungan pengaturan ulang pabrik secara tidak benar.

CVE Bug) Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2016-0832 ANDROID-25955042* Sedang 5.1.1, 6.0, 6.0.1 Google Internal

* Tidak ada patch kode sumber yang disediakan untuk pembaruan ini.

Pertanyaan dan Jawaban Umum

Bagian ini mengulas jawaban atas pertanyaan umum yang mungkin muncul setelah membaca buletin ini.

1. Bagaimana cara menentukan apakah perangkat saya diperbarui untuk mengatasi masalah ini?

Membangun LMY49H atau lebih baru dan Android 6.0 dengan Tingkat Patch Keamanan 1 Maret 2016 atau lebih baru mengatasi masalah ini. Lihat dokumentasi Nexus untuk petunjuk tentang cara memeriksa tingkat patch keamanan. Produsen perangkat yang menyertakan pembaruan ini harus menetapkan tingkat string patch ke: [ro.build.version.security_patch]:[2016-03-01]

Revisi

  • 07 Maret 2016: Buletin diterbitkan.
  • 08 Maret 2016: Buletin direvisi untuk menyertakan tautan AOSP.