07 Mart 2016 tarihinde yayınlandı | 08 Mart 2016 güncellendi
Android Güvenlik Bülteni Aylık Sürüm sürecimizin bir parçası olarak kablosuz (OTA) güncellemesi aracılığıyla Nexus cihazlarına bir güvenlik güncellemesi yayınladık. Nexus ürün yazılımı görüntüleri de Google Developer sitesinde yayınlandı. LMY49H veya sonraki sürümleri ve 01 Mart 2016 veya sonraki Güvenlik Düzeltme Eki Düzeyine sahip Android M sürümleri bu sorunları giderir. Güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın.
Ortaklar, bültende açıklanan sorunlar hakkında 1 Şubat 2016 veya daha önce bilgilendirildi. Uygun olduğunda, bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır.
Bu sorunlardan en ciddi olanı, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden çok yöntemle etkilenen bir cihazda uzaktan kod yürütülmesine olanak verebilecek bir Kritik güvenlik açığıdır. Önem derecesi değerlendirmesi , platform ve hizmet azaltmalarının geliştirme amaçları için devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerindeki etkisine dayanır.
Yeni bildirilen bu sorunlardan aktif müşteri yararlandığına dair herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Azaltmalar bölümüne bakın. Tüm müşterilerimizi cihazlarında bu güncellemeleri kabul etmeye teşvik ediyoruz.
Hafifletmeler
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltmaların bir özetidir. Bu yetenekler, güvenlik açıklarından Android'de başarıyla yararlanma olasılığını azaltır.
- Android platformunun daha yeni sürümlerinde yapılan geliştirmeler sayesinde Android'deki birçok sorundan yararlanma daha zor hale getirilmiştir. Tüm kullanıcıları, mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ediyoruz.
- Android Güvenlik ekibi, yüklenmek üzere olan zararlı olabilecek uygulamalar hakkında uyaracak olan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Google Play'de cihaz köklendirme araçları yasaktır. Google Play dışından uygulama yükleyen kullanıcıları korumak için, Uygulamaları Doğrula varsayılan olarak etkindir ve kullanıcıları bilinen köklendirme uygulamaları hakkında uyarır. Doğrulama Uygulamaları, bir ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini belirlemeye ve engellemeye çalışır. Böyle bir uygulama zaten yüklenmişse, Uygulamaları Doğrula, kullanıcıyı bilgilendirecek ve bu tür uygulamaları kaldırmaya çalışacaktır.
- Uygun olduğu şekilde, Google Hangouts ve Messenger uygulamaları, medyayı mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür
Bu araştırmacılara katkılarından dolayı teşekkür etmek isteriz:
- Google Chrome Güvenlik Ekibinden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2016-0815
- CENSUS SA'dan Anestis Bechtsoudis ( @anestisb ): CVE-2016-0816, CVE-2016-0824
- Android Security'den Chad Brubaker: CVE-2016-0818
- Google Project Zero Marka Markası: CVE-2016-0820
- Qihoo 360'tan C0RE Ekibinden Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve Xuxian Jiang : CVE-2016-0826
- Trend Micro'dan Peter Pi ( @heisecode ): CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
- Scott Bauer ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
- Trend Micro Inc.'den Wish Wu ( @wish_wu ): CVE-2016-0819
- Huawei'den Yongzheng Wu ve Tieyan Li: CVE-2016-0831
- Singapur Yönetim Üniversitesi'nden Su Mon Kywe ve Yingjiu Li: CVE-2016-0831
- Android Güvenlik Ekibinden Zach Riggle ( @ebeip90 ): CVE-2016-0821
Güvenlik Açığı Ayrıntıları
Aşağıdaki bölümlerde, 2016-03-01 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili hata, önem derecesi, etkilenen sürümler ve rapor edilen tarihi içeren bir tablo vardır. Uygun olduğunda, sorunu gideren AOSP değişikliğini hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek AOSP referansları, hata kimliğini izleyen sayılara bağlanır.
Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açığı
Medya dosyası ve özel hazırlanmış bir dosyanın veri işlemesi sırasında, medya sunucusundaki güvenlik açıkları, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olabilir.
Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanır ve uzak içerikle, özellikle de MMS ve tarayıcıdan medya oynatmayla ulaşılmasına izin veren birden çok uygulama vardır.
Bu sorun, medya sunucusu hizmeti bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Medya sunucusu hizmetinin, ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.
| CVE | AOSP bağlantılarıyla ilgili hatalar | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0815 | ANDROID-26365349 | kritik | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Dahili |
| CVE-2016-0816 | ANDROID-25928803 | kritik | 6.0, 6.0.1 | Google Dahili |
libvpx'te Uzaktan Kod Yürütme Güvenlik Açıkları
Medya dosyası ve özel hazırlanmış bir dosyanın veri işlemesi sırasında, medya sunucusundaki güvenlik açıkları, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olabilir.
Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanır ve uzak içerikle, özellikle de MMS ve tarayıcıdan medya oynatmayla ulaşılmasına izin veren birden çok uygulama vardır.
Sorunlar, medya sunucusu hizmeti bağlamında uzaktan kod yürütmek için kullanılabildikleri için Kritik önem derecesi olarak derecelendirilir. Medya sunucusu hizmetinin, ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.
| CVE | AOSP bağlantılarıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-1621 | ANDROID-23452792 [2] [3] | kritik | 4.4.4, 5.0.2, 5.1.1, 6.0 | Google Dahili |
Conscrypt'te Ayrıcalığın Yükseltilmesi
Conscrypt'teki bir güvenlik açığı, bir ara Sertifika Yetkilisi (CA) tarafından verilen belirli bir geçersiz sertifika türünün yanlışlıkla güvenilmesine izin verebilir. Bu, ortadaki adam saldırısını etkinleştirebilir. Bu sorun, ayrıcalık yükselmesi ve uzaktan rastgele kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0818 | ANDROID-26232830 [2] | kritik | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Dahili |
Qualcomm Performans Bileşeninde Ayrıcalık Yükselmesi Güvenlik Açığı
Qualcomm performans bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdekte rasgele kod yürütmesine olanak verebilir. Bu sorun, yerel kalıcı bir aygıt ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir ve aygıt yalnızca işletim sisteminin yeniden yanıp sönmesiyle onarılabilir.
| CVE | Böcek | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0819 | ANDROID-25364034* | kritik | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 Ekim 2015 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
MediaTek Wi-Fi Kernel Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
MediaTek Wi-Fi çekirdek sürücüsünde, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilecek bir güvenlik açığı bulunmaktadır. Bu sorun, çekirdek bağlamında ayrıcalık yükseltme ve rastgele kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.
| CVE | Böcek | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0820 | ANDROID-26267358* | kritik | 6.0.1 | 18 Ara 2015 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Çekirdek Anahtarlık Bileşeninde Ayrıcalık Yükselmesi Güvenlik Açığı
Çekirdek Anahtarlık Bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek içinde rasgele kod yürütmesine olanak verebilir. Bu sorun, yerel kalıcı bir aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir ve aygıt yalnızca işletim sisteminin yeniden başlatılmasıyla onarılabilir. Ancak, Android 5.0 ve sonraki sürümlerinde SELinux kuralları, üçüncü taraf uygulamaların etkilenen koda ulaşmasını engeller.
Not: Referans olarak, AOSP'deki yama belirli çekirdek sürümleri için mevcuttur: 4.1 , 3.18 , 3.14 ve 3.10 .
| CVE | Böcek | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0728 | ANDROID-26636379 | kritik | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 Ocak 2016 |
Çekirdekte Azaltma Atlama Güvenlik Açığı
Çekirdekteki bir azaltma atlama güvenlik açığı, saldırganların platformu kullanma zorluğunu artırmak için güvenlik önlemlerinin atlanmasına izin verebilir. Saldırganların platformdan yararlanmasını zorlaştıracak güvenlik önlemlerinin atlanmasına izin verebileceğinden, bu sorun Yüksek önem derecesi olarak derecelendirilmiştir.
Not: Bu soruna ilişkin güncelleme , Linux yukarı akışında bulunur .
| CVE | Böcek | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0821 | ANDROID-26186802 | Yüksek | 6.0.1 | Google Dahili |
MediaTek Bağlantı Çekirdeği Sürücüsünde Ayrıcalığın Yükseltilmesi
MediaTek bağlantı çekirdeği sürücüsünde, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilecek bir ayrıcalık yükselmesi güvenlik açığı bulunmaktadır. Normalde bunun gibi bir çekirdek kodu yürütme hatası kritik olarak değerlendirilir, ancak önce conn_launcher hizmetinden ödün verilmesini gerektirdiğinden, Yüksek önem derecesine düşürmeyi haklı çıkarır.
| CVE | Böcek | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0822 | ANDROID-25873324* | Yüksek | 6.0.1 | 24 Kasım 2015 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Çekirdekte Bilgi İfşası Güvenlik Açığı
Çekirdekteki bir bilginin açığa çıkması güvenlik açığı, saldırganların platformu sömürme zorluğunu artırmak için güvenlik önlemlerinin atlanmasına izin verebilir. Bu sorunlar, ayrıcalıklı bir süreçte ASLR gibi istismar azaltma teknolojilerinin yerel olarak atlanmasına izin verebildikleri için Yüksek önem derecesi olarak derecelendirilmiştir.
Not: Bu soruna yönelik düzeltme , Linux yukarı akışında bulunur .
| CVE | Böcek | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0823 | ANDROID-25739721* | Yüksek | 6.0.1 | Google Dahili |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
libstagefright'ta Bilginin İfşa Edilmesi Güvenlik Açığı
libstagefright'taki bir bilginin açığa çıkması güvenlik açığı, saldırganların platformu kullanma zorluğunu artırmak için güvenlik önlemlerinin atlanmasına izin verebilir. Bu sorunlar, üçüncü taraf uygulamalar tarafından erişilemeyen İmza veya İmza veya Sistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için de kullanılabildikleri için Yüksek önem derecesi olarak derecelendirilir.
| CVE | AOSP bağlantısıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0824 | ANDROID-25765591 | Yüksek | 6.0, 6.0.1 | 18 Kasım 2015 |
Widevine'de Bilgi İfşası Güvenlik Açığı
Widevine Trusted Application'daki bir bilginin açığa çıkması güvenlik açığı, çekirdek bağlamında çalışan kodun TrustZone güvenli depolama alanındaki bilgilere erişmesine izin verebilir. Bu sorun, Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabileceğinden Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | Hata(lar) | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0825 | ANDROID-20860039* | Yüksek | 6.0.1 | Google Dahili |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Mediaserver'da Ayrıcalık Yükselmesi Güvenlik Açığı
Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, bir üçüncü taraf uygulaması tarafından erişilemeyen Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabileceğinden Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0826 | ANDROID-26265403 [2] | Yüksek | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 Aralık 2015 |
| CVE-2016-0827 | ANDROID-26347509 | Yüksek | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 Aralık 2015 |
Mediaserver'da Bilgi İfşası Güvenlik Açığı
Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, saldırganların platformu sömürme zorluğunu artırmak için güvenlik önlemlerinin atlanmasına izin verebilir. Bu sorunlar, üçüncü taraf uygulamalar tarafından erişilemeyen İmza veya İmza veya Sistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için de kullanılabildikleri için Yüksek önem derecesi olarak derecelendirilir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0828 | ANDROID-26338113 | Yüksek | 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 Aralık 2015 |
| CVE-2016-0829 | ANDROID-26338109 | Yüksek | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 Aralık 2015 |
Bluetooth'ta Uzaktan Hizmet Reddi Güvenlik Açığı
Bluetooth bileşenindeki uzaktan hizmet reddi güvenlik açığı, yakın bir saldırganın etkilenen bir cihaza erişimi engellemesine olanak verebilir. Saldırgan, Bluetooth bileşeninde tanımlanmış Bluetooth cihazlarının taşmasına neden olarak bellek bozulmasına ve hizmetin durmasına neden olabilir. Bu, Bluetooth hizmetinde, yalnızca cihazın bir flaşıyla çözülebilecek bir Hizmet Reddine yol açtığı için Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantısıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0830 | ANDROID-26071376 | Yüksek | 6.0, 6.0.1 | Google Dahili |
Telefonda Bilgi İfşası Güvenlik Açığı
Telefon bileşenindeki bir bilginin açığa çıkması güvenlik açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, verilere izinsiz olarak uygunsuz bir şekilde erişmek için kullanılabileceğinden Orta önem derecesine sahiptir.
| CVE | AOSP bağlantısıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0831 | ANDROID-25778215 | Ilıman | 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 Kasım 2015 |
Kurulum Sihirbazında Ayrıcalık Yükselmesi Güvenlik Açığı
Kurulum Sihirbazındaki bir güvenlik açığı, cihaza fiziksel erişimi olan bir saldırganın cihaz ayarlarına erişmesine ve manuel cihaz sıfırlaması gerçekleştirmesine olanak sağlayabilir. Bu sorun, fabrika ayarlarına sıfırlama korumasının hatalı bir şekilde çözülmesi için kullanılabildiğinden, Orta önem derecesi olarak derecelendirilmiştir.
| CVE | Hata(lar) | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0832 | ANDROID-25955042* | Ilıman | 5.1.1, 6.0, 6.0.1 | Google Dahili |
* Bu güncelleme için sağlanan herhangi bir kaynak kodu yaması yoktur.
Genel Sorular ve Cevaplar
Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek yaygın soruların yanıtlarını gözden geçirmektedir.
1. Cihazımın bu sorunları gidermek için güncellenip güncellenmediğini nasıl belirleyebilirim?
LMY49H veya sonraki sürümleri ve 1 Mart 2016 veya sonraki Güvenlik Düzeltme Eki Düzeyine sahip Android 6.0 sürümleri bu sorunları giderir. Güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın. Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-03-01]
Revizyonlar
- 07 Mart 2016: Bülten yayınlandı.
- 08 Mart 2016: Bülten, AOSP bağlantılarını içerecek şekilde revize edildi.