Nexus Güvenlik Bülteni - Mart 2016

07 Mart 2016 tarihinde yayınlandı | 08 Mart 2016 güncellendi

Android Güvenlik Bülteni Aylık Sürüm sürecimizin bir parçası olarak kablosuz (OTA) güncellemesi aracılığıyla Nexus cihazlarına bir güvenlik güncellemesi yayınladık. Nexus ürün yazılımı görüntüleri de Google Developer sitesinde yayınlandı. LMY49H veya sonraki sürümleri ve 01 Mart 2016 veya sonraki Güvenlik Düzeltme Eki Düzeyine sahip Android M sürümleri bu sorunları giderir. Güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın.

Ortaklar, bültende açıklanan sorunlar hakkında 1 Şubat 2016 veya daha önce bilgilendirildi. Uygun olduğunda, bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır.

Bu sorunlardan en ciddi olanı, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden çok yöntemle etkilenen bir cihazda uzaktan kod yürütülmesine olanak verebilecek bir Kritik güvenlik açığıdır. Önem derecesi değerlendirmesi , platform ve hizmet azaltmalarının geliştirme amaçları için devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerindeki etkisine dayanır.

Yeni bildirilen bu sorunlardan aktif müşteri yararlandığına dair herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Azaltmalar bölümüne bakın. Tüm müşterilerimizi cihazlarında bu güncellemeleri kabul etmeye teşvik ediyoruz.

Hafifletmeler

Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltmaların bir özetidir. Bu yetenekler, güvenlik açıklarından Android'de başarıyla yararlanma olasılığını azaltır.

  • Android platformunun daha yeni sürümlerinde yapılan geliştirmeler sayesinde Android'deki birçok sorundan yararlanma daha zor hale getirilmiştir. Tüm kullanıcıları, mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ediyoruz.
  • Android Güvenlik ekibi, yüklenmek üzere olan zararlı olabilecek uygulamalar hakkında uyaracak olan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Google Play'de cihaz köklendirme araçları yasaktır. Google Play dışından uygulama yükleyen kullanıcıları korumak için, Uygulamaları Doğrula varsayılan olarak etkindir ve kullanıcıları bilinen köklendirme uygulamaları hakkında uyarır. Doğrulama Uygulamaları, bir ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini belirlemeye ve engellemeye çalışır. Böyle bir uygulama zaten yüklenmişse, Uygulamaları Doğrula, kullanıcıyı bilgilendirecek ve bu tür uygulamaları kaldırmaya çalışacaktır.
  • Uygun olduğu şekilde, Google Hangouts ve Messenger uygulamaları, medyayı mediaserver gibi işlemlere otomatik olarak iletmez.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür etmek isteriz:

  • Google Chrome Güvenlik Ekibinden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2016-0815
  • CENSUS SA'dan Anestis Bechtsoudis ( @anestisb ): CVE-2016-0816, CVE-2016-0824
  • Android Security'den Chad Brubaker: CVE-2016-0818
  • Google Project Zero Marka Markası: CVE-2016-0820
  • Qihoo 360'tan C0RE Ekibinden Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve Xuxian Jiang : CVE-2016-0826
  • Trend Micro'dan Peter Pi ( @heisecode ): CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
  • Scott Bauer ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
  • Trend Micro Inc.'den Wish Wu ( @wish_wu ): CVE-2016-0819
  • Huawei'den Yongzheng Wu ve Tieyan Li: CVE-2016-0831
  • Singapur Yönetim Üniversitesi'nden Su Mon Kywe ve Yingjiu Li: CVE-2016-0831
  • Android Güvenlik Ekibinden Zach Riggle ( @ebeip90 ): CVE-2016-0821

Güvenlik Açığı Ayrıntıları

Aşağıdaki bölümlerde, 2016-03-01 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili hata, önem derecesi, etkilenen sürümler ve rapor edilen tarihi içeren bir tablo vardır. Uygun olduğunda, sorunu gideren AOSP değişikliğini hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek AOSP referansları, hata kimliğini izleyen sayılara bağlanır.

Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açığı

Medya dosyası ve özel hazırlanmış bir dosyanın veri işlemesi sırasında, medya sunucusundaki güvenlik açıkları, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olabilir.

Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanır ve uzak içerikle, özellikle de MMS ve tarayıcıdan medya oynatmayla ulaşılmasına izin veren birden çok uygulama vardır.

Bu sorun, medya sunucusu hizmeti bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Medya sunucusu hizmetinin, ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.

CVE AOSP bağlantılarıyla ilgili hatalar önem Güncellenmiş sürümler Bildirilen tarih
CVE-2016-0815 ANDROID-26365349 kritik 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Dahili
CVE-2016-0816 ANDROID-25928803 kritik 6.0, 6.0.1 Google Dahili

libvpx'te Uzaktan Kod Yürütme Güvenlik Açıkları

Medya dosyası ve özel hazırlanmış bir dosyanın veri işlemesi sırasında, medya sunucusundaki güvenlik açıkları, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olabilir.

Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanır ve uzak içerikle, özellikle de MMS ve tarayıcıdan medya oynatmayla ulaşılmasına izin veren birden çok uygulama vardır.

Sorunlar, medya sunucusu hizmeti bağlamında uzaktan kod yürütmek için kullanılabildikleri için Kritik önem derecesi olarak derecelendirilir. Medya sunucusu hizmetinin, ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.

CVE AOSP bağlantılarıyla ilgili hata önem Güncellenmiş sürümler Bildirilen tarih
CVE-2016-1621 ANDROID-23452792 [2] [3] kritik 4.4.4, 5.0.2, 5.1.1, 6.0 Google Dahili

Conscrypt'te Ayrıcalığın Yükseltilmesi

Conscrypt'teki bir güvenlik açığı, bir ara Sertifika Yetkilisi (CA) tarafından verilen belirli bir geçersiz sertifika türünün yanlışlıkla güvenilmesine izin verebilir. Bu, ortadaki adam saldırısını etkinleştirebilir. Bu sorun, ayrıcalık yükselmesi ve uzaktan rastgele kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hata önem Güncellenmiş sürümler Bildirilen tarih
CVE-2016-0818 ANDROID-26232830 [2] kritik 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Dahili

Qualcomm Performans Bileşeninde Ayrıcalık Yükselmesi Güvenlik Açığı

Qualcomm performans bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdekte rasgele kod yürütmesine olanak verebilir. Bu sorun, yerel kalıcı bir aygıt ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir ve aygıt yalnızca işletim sisteminin yeniden yanıp sönmesiyle onarılabilir.

CVE Böcek önem Güncellenmiş sürümler Bildirilen tarih
CVE-2016-0819 ANDROID-25364034* kritik 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 Ekim 2015

* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

MediaTek Wi-Fi Kernel Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı

MediaTek Wi-Fi çekirdek sürücüsünde, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilecek bir güvenlik açığı bulunmaktadır. Bu sorun, çekirdek bağlamında ayrıcalık yükseltme ve rastgele kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.

CVE Böcek önem Güncellenmiş sürümler Bildirilen tarih
CVE-2016-0820 ANDROID-26267358* kritik 6.0.1 18 Ara 2015

* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Çekirdek Anahtarlık Bileşeninde Ayrıcalık Yükselmesi Güvenlik Açığı

Çekirdek Anahtarlık Bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek içinde rasgele kod yürütmesine olanak verebilir. Bu sorun, yerel kalıcı bir aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir ve aygıt yalnızca işletim sisteminin yeniden başlatılmasıyla onarılabilir. Ancak, Android 5.0 ve sonraki sürümlerinde SELinux kuralları, üçüncü taraf uygulamaların etkilenen koda ulaşmasını engeller.

Not: Referans olarak, AOSP'deki yama belirli çekirdek sürümleri için mevcuttur: 4.1 , 3.18 , 3.14 ve 3.10 .

CVE Böcek önem Güncellenmiş sürümler Bildirilen tarih
CVE-2016-0728 ANDROID-26636379 kritik 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 Ocak 2016

Çekirdekte Azaltma Atlama Güvenlik Açığı

Çekirdekteki bir azaltma atlama güvenlik açığı, saldırganların platformu kullanma zorluğunu artırmak için güvenlik önlemlerinin atlanmasına izin verebilir. Saldırganların platformdan yararlanmasını zorlaştıracak güvenlik önlemlerinin atlanmasına izin verebileceğinden, bu sorun Yüksek önem derecesi olarak derecelendirilmiştir.

Not: Bu soruna ilişkin güncelleme , Linux yukarı akışında bulunur .

CVE Böcek önem Güncellenmiş sürümler Bildirilen tarih
CVE-2016-0821 ANDROID-26186802 Yüksek 6.0.1 Google Dahili

MediaTek Bağlantı Çekirdeği Sürücüsünde Ayrıcalığın Yükseltilmesi

MediaTek bağlantı çekirdeği sürücüsünde, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilecek bir ayrıcalık yükselmesi güvenlik açığı bulunmaktadır. Normalde bunun gibi bir çekirdek kodu yürütme hatası kritik olarak değerlendirilir, ancak önce conn_launcher hizmetinden ödün verilmesini gerektirdiğinden, Yüksek önem derecesine düşürmeyi haklı çıkarır.

CVE Böcek önem Güncellenmiş sürümler Bildirilen tarih
CVE-2016-0822 ANDROID-25873324* Yüksek 6.0.1 24 Kasım 2015

* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Çekirdekte Bilgi İfşası Güvenlik Açığı

Çekirdekteki bir bilginin açığa çıkması güvenlik açığı, saldırganların platformu sömürme zorluğunu artırmak için güvenlik önlemlerinin atlanmasına izin verebilir. Bu sorunlar, ayrıcalıklı bir süreçte ASLR gibi istismar azaltma teknolojilerinin yerel olarak atlanmasına izin verebildikleri için Yüksek önem derecesi olarak derecelendirilmiştir.

Not: Bu soruna yönelik düzeltme , Linux yukarı akışında bulunur .

CVE Böcek önem Güncellenmiş sürümler Bildirilen tarih
CVE-2016-0823 ANDROID-25739721* Yüksek 6.0.1 Google Dahili

* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

libstagefright'ta Bilginin İfşa Edilmesi Güvenlik Açığı

libstagefright'taki bir bilginin açığa çıkması güvenlik açığı, saldırganların platformu kullanma zorluğunu artırmak için güvenlik önlemlerinin atlanmasına izin verebilir. Bu sorunlar, üçüncü taraf uygulamalar tarafından erişilemeyen İmza veya İmza veya Sistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için de kullanılabildikleri için Yüksek önem derecesi olarak derecelendirilir.

CVE AOSP bağlantısıyla ilgili hata önem Güncellenmiş sürümler Bildirilen tarih
CVE-2016-0824 ANDROID-25765591 Yüksek 6.0, 6.0.1 18 Kasım 2015

Widevine'de Bilgi İfşası Güvenlik Açığı

Widevine Trusted Application'daki bir bilginin açığa çıkması güvenlik açığı, çekirdek bağlamında çalışan kodun TrustZone güvenli depolama alanındaki bilgilere erişmesine izin verebilir. Bu sorun, Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabileceğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE Hata(lar) önem Güncellenmiş sürümler Bildirilen tarih
CVE-2016-0825 ANDROID-20860039* Yüksek 6.0.1 Google Dahili

* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Mediaserver'da Ayrıcalık Yükselmesi Güvenlik Açığı

Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, bir üçüncü taraf uygulaması tarafından erişilemeyen Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabileceğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar önem Güncellenmiş sürümler Bildirilen tarih
CVE-2016-0826 ANDROID-26265403 [2] Yüksek 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 Aralık 2015
CVE-2016-0827 ANDROID-26347509 Yüksek 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 Aralık 2015

Mediaserver'da Bilgi İfşası Güvenlik Açığı

Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, saldırganların platformu sömürme zorluğunu artırmak için güvenlik önlemlerinin atlanmasına izin verebilir. Bu sorunlar, üçüncü taraf uygulamalar tarafından erişilemeyen İmza veya İmza veya Sistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için de kullanılabildikleri için Yüksek önem derecesi olarak derecelendirilir.

CVE AOSP bağlantılarıyla ilgili hatalar önem Güncellenmiş sürümler Bildirilen tarih
CVE-2016-0828 ANDROID-26338113 Yüksek 5.0.2, 5.1.1, 6.0, 6.0.1 27 Aralık 2015
CVE-2016-0829 ANDROID-26338109 Yüksek 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 Aralık 2015

Bluetooth'ta Uzaktan Hizmet Reddi Güvenlik Açığı

Bluetooth bileşenindeki uzaktan hizmet reddi güvenlik açığı, yakın bir saldırganın etkilenen bir cihaza erişimi engellemesine olanak verebilir. Saldırgan, Bluetooth bileşeninde tanımlanmış Bluetooth cihazlarının taşmasına neden olarak bellek bozulmasına ve hizmetin durmasına neden olabilir. Bu, Bluetooth hizmetinde, yalnızca cihazın bir flaşıyla çözülebilecek bir Hizmet Reddine yol açtığı için Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantısıyla ilgili hata önem Güncellenmiş sürümler Bildirilen tarih
CVE-2016-0830 ANDROID-26071376 Yüksek 6.0, 6.0.1 Google Dahili

Telefonda Bilgi İfşası Güvenlik Açığı

Telefon bileşenindeki bir bilginin açığa çıkması güvenlik açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, verilere izinsiz olarak uygunsuz bir şekilde erişmek için kullanılabileceğinden Orta önem derecesine sahiptir.

CVE AOSP bağlantısıyla ilgili hata önem Güncellenmiş sürümler Bildirilen tarih
CVE-2016-0831 ANDROID-25778215 Ilıman 5.0.2, 5.1.1, 6.0, 6.0.1 16 Kasım 2015

Kurulum Sihirbazında Ayrıcalık Yükselmesi Güvenlik Açığı

Kurulum Sihirbazındaki bir güvenlik açığı, cihaza fiziksel erişimi olan bir saldırganın cihaz ayarlarına erişmesine ve manuel cihaz sıfırlaması gerçekleştirmesine olanak sağlayabilir. Bu sorun, fabrika ayarlarına sıfırlama korumasının hatalı bir şekilde çözülmesi için kullanılabildiğinden, Orta önem derecesi olarak derecelendirilmiştir.

CVE Hata(lar) önem Güncellenmiş sürümler Bildirilen tarih
CVE-2016-0832 ANDROID-25955042* Ilıman 5.1.1, 6.0, 6.0.1 Google Dahili

* Bu güncelleme için sağlanan herhangi bir kaynak kodu yaması yoktur.

Genel Sorular ve Cevaplar

Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek yaygın soruların yanıtlarını gözden geçirmektedir.

1. Cihazımın bu sorunları gidermek için güncellenip güncellenmediğini nasıl belirleyebilirim?

LMY49H veya sonraki sürümleri ve 1 Mart 2016 veya sonraki Güvenlik Düzeltme Eki Düzeyine sahip Android 6.0 sürümleri bu sorunları giderir. Güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın. Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-03-01]

Revizyonlar

  • 07 Mart 2016: Bülten yayınlandı.
  • 08 Mart 2016: Bülten, AOSP bağlantılarını içerecek şekilde revize edildi.