Nexus Güvenlik Bülteni - Mart 2016

07 Mart 2016'da yayınlandı | Güncellenme tarihi: 08 Mart 2016

Android Güvenlik Bülteni Aylık Sürüm sürecimizin bir parçası olarak kablosuz (OTA) güncelleme aracılığıyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı görüntüleri de Google Geliştirici sitesinde yayınlandı. LMY49H veya sonraki sürümleri ve 01 Mart 2016 veya sonraki Güvenlik Düzeltme Eki Düzeyine sahip Android M sürümleri bu sorunları giderir. Güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın.

Bültende açıklanan konularla ilgili olarak ortaklara 1 Şubat 2016 veya öncesinde bilgi verildi. Uygun olduğu durumlarda, bu sorunlara yönelik kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır.

Bu sorunlardan en ciddi olanı, etkilenen bir cihazda medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden fazla yöntemle uzaktan kod yürütülmesine olanak tanıyan Kritik bir güvenlik açığıdır. Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.

Yeni bildirilen bu sorunların aktif müşteri istismarına ilişkin hiçbir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Azaltıcı Önlemler bölümüne bakın. Tüm müşterilerimizi cihazlarına yönelik bu güncellemeleri kabul etmeye teşvik ediyoruz.

Azaltmalar

Bu , Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltımların bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.

  • Android platformunun daha yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorundan yararlanmayı daha da zorlaştırıyor. Tüm kullanıcılarımızı mümkün olduğunca Android'in en son sürümüne güncelleme yapmaya teşvik ediyoruz.
  • Android Güvenlik ekibi, yüklenmek üzere olan potansiyel zararlı uygulamalar hakkında uyarı verecek olan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Cihaz rootlama araçları Google Play'de yasaktır. Google Play dışından uygulama yükleyen kullanıcıları korumak için Uygulamaları Doğrula özelliği varsayılan olarak etkindir ve kullanıcıları bilinen köklendirme uygulamaları konusunda uyarır. Uygulamaları Doğrula, ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaları tanımlamaya ve yüklemesini engellemeye çalışır. Böyle bir uygulama zaten kuruluysa Verify Apps kullanıcıyı bilgilendirecek ve bu tür uygulamaları kaldırmaya çalışacaktır.
  • Uygun olduğu üzere Google Hangouts ve Messenger uygulamaları, medya sunucusu gibi işlemlere otomatik olarak medya aktarmamaktadır.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür ederiz:

  • Google Chrome Güvenlik Ekibi'nden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2016-0815
  • CENSUS SA'dan Anestis Bechtsoudis ( @anestisb ): CVE-2016-0816, CVE-2016-0824
  • Android Güvenliği'nden Chad Brubaker: CVE-2016-0818
  • Google Project Zero'nun Mark Markası: CVE-2016-0820
  • Qihoo 360'tan C0RE Ekibinden Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve Xuxian Jiang: CVE-2016-0826
  • Trend Micro'dan Peter Pi ( @heisecode ): CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
  • Scott Bauer ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
  • Trend Micro Inc.'den Wish Wu ( @wish_wu ): CVE-2016-0819
  • Huawei'den Yongzheng Wu ve Tieyan Li: CVE-2016-0831
  • Singapur İşletme Üniversitesi'nden Su Mon Kywe ve Yingjiu Li: CVE-2016-0831
  • Android Güvenlik Ekibinden Zach Riggle ( @ebeip90 ): CVE-2016-0821

Güvenlik Açığı Ayrıntıları

Aşağıdaki bölümlerde, 2016-03-01 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, ciddiyet gerekçesi ve CVE, ilgili hata, önem derecesi, etkilenen sürümler ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren AOSP değişikliğini hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek AOSP referansları hata kimliğini takip eden numaralara bağlanır.

Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açığı

Medya dosyası ve özel hazırlanmış bir dosyanın verilerinin işlenmesi sırasında, medya sunucusundaki güvenlik açıkları, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olmasına olanak verebilir.

Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanmaktadır ve en önemlisi, MMS ve medyanın tarayıcıda oynatılması gibi, uzaktan içerikle bu işlevselliğe erişilmesine olanak tanıyan çok sayıda uygulama vardır.

Bu sorun, medya sunucusu hizmeti bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Medya sunucusu hizmetinin, ses ve video akışlarına erişimin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0815 ANDROID-26365349 Kritik 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Dahili
CVE-2016-0816 ANDROID-25928803 Kritik 6.0, 6.0.1 Google Dahili

Libvpx'teki Uzaktan Kod Yürütme Güvenlik Açıkları

Medya dosyası ve özel hazırlanmış bir dosyanın verilerinin işlenmesi sırasında, medya sunucusundaki güvenlik açıkları, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olmasına olanak verebilir.

Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanmaktadır ve başta MMS ve medyanın tarayıcıda oynatılması olmak üzere, bu işlevselliğe uzak içerikle erişilmesine olanak tanıyan çok sayıda uygulama vardır.

Sorunlar, medya sunucusu hizmeti bağlamında uzaktan kod yürütmek için kullanılabildiğinden Kritik önem derecesi olarak derecelendirilmiştir. Mediaserver hizmetinin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.

CVE AOSP bağlantılarıyla ilgili hata Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-1621 ANDROID-23452792 [2] [3] Kritik 4.4.4, 5.0.2, 5.1.1, 6.0 Google Dahili

Concrypt'te Ayrıcalığın Yükselişi

Conscrypt'teki bir güvenlik açığı, ara Sertifika Yetkilisi (CA) tarafından verilen belirli bir tür geçersiz sertifikaya hatalı şekilde güvenilmesine izin verebilir. Bu, ortadaki adam saldırısına olanak sağlayabilir. Bu sorun, ayrıcalığın yükseltilmesi ve uzaktan rastgele kod yürütülmesi olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hata Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0818 ANDROID-26232830 [2] Kritik 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Dahili

Qualcomm Performans Bileşeninde Ayrıcalık Güvenlik Açığı Yükselişi

Qualcomm performans bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdekte rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, yerel kalıcı cihaz güvenliği ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir ve cihaz yalnızca işletim sisteminin yeniden flashlanmasıyla onarılabilir.

CVE Böcek Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0819 ANDROID-25364034* Kritik 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 Ekim 2015

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

MediaTek Wi-Fi Çekirdek Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi

MediaTek Wi-Fi çekirdek sürücüsünde, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak verebilecek bir güvenlik açığı bulunmaktadır. Bu sorun, çekirdek bağlamında ayrıcalıkların yükseltilmesi ve rastgele kod yürütülmesi olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.

CVE Böcek Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0820 ANDROID-26267358* Kritik 6.0.1 18 Aralık 2015

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Çekirdek Anahtarlık Bileşeninde Ayrıcalık Güvenlik Açığı Yükselişi

Çekirdek Anahtarlık Bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek içinde rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, yerel kalıcı cihaz güvenliği ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir ve cihaz potansiyel olarak yalnızca işletim sisteminin yeniden flaşlanmasıyla onarılabilir. Ancak Android 5.0 ve üzeri sürümlerde SELinux kuralları, üçüncü taraf uygulamaların etkilenen koda ulaşmasını engeller.

Not: Referans olması açısından, AOSP'deki yama belirli çekirdek sürümleri için mevcuttur: 4.1 , 3.18 , 3.14 ve 3.10 .

CVE Böcek Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0728 ANDROID-26636379 Kritik 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 Ocak 2016

Çekirdekteki Azaltma Bypass Güvenlik Açığı

Çekirdekteki bir hafifletme bypass güvenlik açığı, saldırganların platformu suistimal etmesinin zorluğunu artırmak için mevcut güvenlik önlemlerinin bypass edilmesine izin verebilir. Bu sorun, saldırganların platformu istismar etmesini zorlaştıracak güvenlik önlemlerinin atlanmasına izin verebileceği için Yüksek önem derecesi olarak derecelendirilmiştir.

Not: Bu soruna yönelik güncelleme Linux yukarı akışında bulunur .

CVE Böcek Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0821 ANDROID-26186802 Yüksek 6.0.1 Google Dahili

MediaTek Bağlantı Çekirdek Sürücüsünde Ayrıcalığın Yükselmesi

MediaTek bağlantı çekirdeği sürücüsünde, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak verebilecek bir ayrıcalık yükselmesi güvenlik açığı bulunmaktadır. Normalde bunun gibi bir çekirdek kodu yürütme hatası kritik olarak derecelendirilir, ancak önce conn_launcher hizmetinin tehlikeye atılmasını gerektirdiğinden, Yüksek önem derecesine düşürülmeyi haklı çıkarır.

CVE Böcek Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0822 ANDROID-25873324* Yüksek 6.0.1 24 Kasım 2015

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Çekirdekte Bilgi İfşası Güvenlik Açığı

Çekirdekteki bir bilginin açığa çıkması güvenlik açığı, saldırganların platformu istismar etmesini zorlaştıracak şekilde güvenlik önlemlerinin atlanmasına izin verebilir. Bu sorunlar, ayrıcalıklı bir süreçte ASLR gibi kötüye kullanım azaltma teknolojilerinin yerel olarak atlanmasına izin verebileceği için Yüksek önem derecesi olarak derecelendirilmiştir.

Not: Bu sorunun düzeltmesi Linux yukarı akışında bulunur .

CVE Böcek Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0823 ANDROID-25739721* Yüksek 6.0.1 Google Dahili

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Libstagefright'ta Bilginin İfşa Edilmesi Güvenlik Açığı

Libstagefright'taki bir bilginin açığa çıkması güvenlik açığı, saldırganların platformu istismar etmesini zorlaştıracak şekilde güvenlik önlemlerinin atlanmasına izin verebilir. Bu sorunlar, Üçüncü taraf uygulamalar tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için de kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantısıyla ilgili hata Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0824 ANDROID-25765591 Yüksek 6.0, 6.0.1 18 Kasım 2015

Widevine'da Bilginin İfşa Edilmesi Güvenlik Açığı

Widevine Güvenilir Uygulamasındaki bir bilginin açığa çıkması güvenlik açığı, çekirdek bağlamında çalışan kodun TrustZone güvenli depolama alanındaki bilgilere erişmesine izin verebilir. Bu sorun, İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE Hata(lar) Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0825 ANDROID-20860039* Yüksek 6.0.1 Google Dahili

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Mediaserver'da Ayrıcalık Güvenlik Açığı Yükselişi

Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, Üçüncü taraf bir uygulama tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0826 ANDROID-26265403 [2] Yüksek 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 Aralık 2015
CVE-2016-0827 ANDROID-26347509 Yüksek 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 Aralık 2015

Mediaserver'da Bilgi İfşası Güvenlik Açığı

Medya sunucusundaki bir bilginin açığa çıkması güvenlik açığı, saldırganların platformu istismar etmesini zorlaştıracak şekilde güvenlik önlemlerinin atlanmasına izin verebilir. Bu sorunlar, Üçüncü taraf uygulamalar tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için de kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0828 ANDROID-26338113 Yüksek 5.0.2, 5.1.1, 6.0, 6.0.1 27 Aralık 2015
CVE-2016-0829 ANDROID-26338109 Yüksek 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 Aralık 2015

Bluetooth'ta Uzaktan Hizmet Reddi Güvenlik Açığı

Bluetooth bileşenindeki uzaktan hizmet reddi güvenlik açığı, yakın bir saldırganın etkilenen cihaza erişimi engellemesine olanak tanıyabilir. Bir saldırgan, Bluetooth bileşeninde tanımlanan Bluetooth cihazlarının taşmasına neden olabilir, bu da belleğin bozulmasına ve hizmetin durmasına neden olabilir. Bu, Bluetooth hizmetinde Hizmet Reddi'ne yol açtığı için Yüksek önem derecesine sahip olarak derecelendirilmiştir ve bu, potansiyel olarak yalnızca cihazın bir flaşıyla düzeltilebilecektir.

CVE AOSP bağlantısıyla ilgili hata Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0830 ANDROID-26071376 Yüksek 6.0, 6.0.1 Google Dahili

Telefonda Bilgi İfşası Güvenlik Açığı

Telefon bileşenindeki bilgilerin açığa çıkması güvenlik açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, verilere izinsiz olarak uygunsuz şekilde erişmek için kullanılabildiğinden Orta önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantısıyla ilgili hata Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0831 ANDROID-25778215 Ilıman 5.0.2, 5.1.1, 6.0, 6.0.1 16 Kasım 2015

Kurulum Sihirbazı'nda Ayrıcalık Yükselmesi Güvenlik Açığı

Kurulum Sihirbazı'ndaki bir güvenlik açığı, cihaza fiziksel erişimi olan bir saldırganın cihaz ayarlarına erişmesine ve cihazı manuel olarak sıfırlamasına olanak tanıyabilir. Bu sorun, fabrika ayarlarına sıfırlama korumasının hatalı şekilde aşılması için kullanılabileceğinden Orta önem derecesi olarak derecelendirilmiştir.

CVE Hata(lar) Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2016-0832 ANDROID-25955042* Ilıman 5.1.1, 6.0, 6.0.1 Google Dahili

* Bu güncelleme için herhangi bir kaynak kodu yaması sağlanmamıştır.

Sık Sorulan Sorular ve Cevaplar

Bu bölümde, bu bülteni okuduktan sonra karşılaşabileceğiniz genel soruların yanıtları gözden geçirilmektedir.

1. Cihazımın bu sorunları çözecek şekilde güncellenip güncellenmediğini nasıl belirleyebilirim?

LMY49H veya üzeri sürümler ve 1 Mart 2016 veya üzeri Güvenlik Düzeltme Eki Düzeyine sahip Android 6.0 sürümleri bu sorunları giderir. Güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın. Bu güncellemeleri içeren cihaz üreticileri yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-03-01]

Revizyonlar

  • 07 Mart 2016: Bülten yayınlandı.
  • 08 Mart 2016: Bülten, AOSP bağlantılarını içerecek şekilde revize edildi.