Dipublikasikan 07 Maret 2016 | Diperbarui 08 Maret 2016
Kami telah merilis update keamanan ke perangkat Nexus melalui update over-the-air (OTA) sebagai bagian dari proses Rilis Bulanan Buletin Keamanan Android kami. Image firmware Nexus juga telah dirilis ke situs Developer Google. Build LMY49H atau yang lebih baru dan Android M dengan Level Patch Keamanan 01 Maret 2016 atau yang lebih baru akan mengatasi masalah ini. Lihat dokumentasi Nexus untuk mengetahui petunjuk cara memeriksa tingkat patch keamanan.
Partner telah diberi tahu tentang masalah yang dijelaskan dalam buletin pada 1 Februari 2016 atau sebelumnya. Jika berlaku, patch kode sumber untuk masalah ini telah dirilis ke repositori Android Open Source Project (AOSP).
Masalah yang paling parah adalah kerentanan keamanan Kritis yang dapat memungkinkan eksekusi kode jarak jauh di perangkat yang terpengaruh melalui beberapa metode seperti email, penjelajahan web, dan MMS saat memproses file media. Penilaian keparahan berdasarkan efek yang mungkin akan ditimbulkan oleh eksploitasi kerentanan pada perangkat yang terpengaruh, dengan asumsi mitigasi platform dan layanan dinonaktifkan untuk tujuan pengembangan atau jika berhasil diabaikan.
Kami tidak menerima laporan tentang eksploitasi aktif oleh pelanggan terhadap masalah yang baru dilaporkan ini. Lihat bagian Mitigasi untuk mengetahui detail tentang perlindungan platform keamanan Android dan perlindungan layanan seperti SafetyNet, yang meningkatkan keamanan platform Android. Sebaiknya semua pelanggan menyetujui update ini ke perangkat mereka.
Mitigasi
Ini adalah ringkasan mitigasi yang disediakan oleh platform keamanan Android dan perlindungan layanan seperti SafetyNet. Kemampuan ini mengurangi kemungkinan kerentanan keamanan berhasil dieksploitasi di Android.
- Eksploitasi untuk banyak masalah di Android menjadi lebih sulit karena peningkatan di platform Android versi yang lebih baru. Sebaiknya semua pengguna mengupdate ke versi Android terbaru jika memungkinkan.
- Tim Android Security secara aktif memantau penyalahgunaan dengan Verify Apps dan SafetyNet yang akan memperingatkan tentang aplikasi yang berpotensi berbahaya yang akan diinstal. Alat rooting perangkat dilarang di Google Play. Untuk melindungi pengguna yang menginstal aplikasi dari luar Google Play, Verifikasi Aplikasi diaktifkan secara default dan akan memperingatkan pengguna tentang aplikasi rooting yang diketahui. Verify Apps mencoba mengidentifikasi dan memblokir penginstalan aplikasi berbahaya yang diketahui mengeksploitasi kerentanan eskalasi hak istimewa. Jika aplikasi tersebut telah diinstal, Verifikasi Aplikasi akan memberi tahu pengguna dan mencoba menghapus aplikasi tersebut.
- Sesuai kebutuhan, aplikasi Google Hangouts dan Messenger tidak otomatis meneruskan media ke proses seperti mediaserver.
Ucapan Terima Kasih
Kami ingin mengucapkan terima kasih kepada para peneliti berikut atas kontribusi mereka:
- Abhishek Arya, Oliver Chang, dan Martin Barbella dari Tim Keamanan Google Chrome: CVE-2016-0815
- Anestis Bechtsoudis (@anestisb) dari CENSUS S.A.: CVE-2016-0816, CVE-2016-0824
- Chad Brubaker dari Keamanan Android: CVE-2016-0818
- Merek Mark of Google Project Zero: CVE-2016-0820
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu), dan Xuxian Jiang dari Tim C0RE dari Qihoo 360: CVE-2016-0826
- Peter Pi (@heisecode) dari Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
- Scott Bauer (sbauer@eng.utah.edu, sbauer@plzdonthack.me): CVE-2016-0822
- Wish Wu (@wish_wu) dari Trend Micro Inc.: CVE-2016-0819
- Yongzheng Wu dan Tieyan Li dari Huawei: CVE-2016-0831
- Su Mon Kywe dan Yingjiu Li dari Singapore Management University: CVE-2016-0831
- Zach Riggle (@ebeip90) dari Tim Keamanan Android: CVE-2016-0821
Detail Kerentanan Keamanan
Di bagian di bawah, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku untuk tingkat patch 01-03-2016. Terdapat deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, bug terkait, tingkat keparahan, versi yang terpengaruh, dan tanggal dilaporkan. Jika tersedia, kami akan menautkan perubahan AOSP yang mengatasi masalah tersebut ke ID bug. Jika beberapa perubahan terkait dengan satu bug, referensi AOSP tambahan akan ditautkan ke angka yang mengikuti ID bug.
Kerentanan Eksekusi Kode Jarak Jauh di Mediaserver
Selama pemrosesan file media dan data dari file yang dibuat secara khusus, kerentanan di mediaserver dapat memungkinkan penyerang menyebabkan kerusakan memori dan eksekusi kode jarak jauh saat proses mediaserver.
Fungsi yang terpengaruh disediakan sebagai bagian inti dari sistem operasi, dan ada beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media browser.
Masalah ini dinilai sebagai Keparahan kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks layanan mediaserver. Layanan mediaserver memiliki akses ke streaming audio dan video serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Bug pada link AOSP | Tingkat Keparahan | Versi yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-0815 | ANDROID-26365349 | Kritis | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Internal Google |
| CVE-2016-0816 | ANDROID-25928803 | Kritis | 6.0, 6.0.1 | Internal Google |
Kerentanan Eksekusi Kode Jarak Jauh di libvpx
Selama pemrosesan file media dan data dari file yang dibuat secara khusus, kerentanan di mediaserver dapat memungkinkan penyerang menyebabkan kerusakan memori dan eksekusi kode jarak jauh saat proses mediaserver.
Fungsi yang terpengaruh disediakan sebagai bagian inti dari sistem operasi dan ada beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media browser.
Masalah ini diberi rating sebagai tingkat keparahan Kritis karena dapat digunakan untuk eksekusi kode jarak jauh dalam konteks layanan mediaserver. Layanan mediaserver memiliki akses ke streaming audio dan video serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Bug pada link AOSP | Tingkat Keparahan | Versi yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-1621 | ANDROID-23452792 [2] [3] | Kritis | 4.4.4, 5.0.2, 5.1.1, 6.0 | Internal Google |
Elevasi Hak Istimewa di Conscrypt
Kerentanan di Conscrypt dapat memungkinkan jenis sertifikat tidak valid tertentu, yang dikeluarkan oleh Certificate Authority (CA) perantara, dipercaya secara keliru. Hal ini dapat memungkinkan serangan man-in-the-middle. Masalah ini diberi rating Keparahan kritis karena kemungkinan peningkatan hak istimewa dan eksekusi kode arbitrer jarak jauh.
| CVE | Bug pada link AOSP | Tingkat Keparahan | Versi yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-0818 | ANDROID-26232830 [2] | Kritis | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Internal Google |
Kerentanan Elevasi Hak Istimewa di Komponen Performa Qualcomm
Kerentanan elevasi hak istimewa di komponen performa Qualcomm dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer di kernel. Masalah ini diberi rating Keparahan kritis karena kemungkinan kompromi perangkat permanen lokal, dan perangkat hanya dapat diperbaiki dengan meng-flash ulang sistem operasi.
| CVE | Bug | Tingkat Keparahan | Versi yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-0819 | ANDROID-25364034* | Kritis | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 Oktober 2015 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Driver Kernel Wi-Fi MediaTek
Ada kerentanan dalam driver kernel Wi-Fi MediaTek yang dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating keparahan Kritis karena kemungkinan peningkatan hak istimewa dan eksekusi kode arbitrer dalam konteks kernel.
| CVE | Bug | Tingkat Keparahan | Versi yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-0820 | ANDROID-26267358* | Kritis | 6.0.1 | 18 Desember 2015 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Komponen Keyring Kernel
Kerentanan peningkatan hak istimewa di Komponen Keyring Kernel dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer dalam kernel. Masalah ini diberi rating sebagai tingkat keparahan Kritis karena kemungkinan kompromi perangkat permanen lokal dan perangkat berpotensi hanya dapat diperbaiki dengan mem-flash ulang sistem operasi. Namun, di Android versi 5.0 dan yang lebih baru, aturan SELinux mencegah aplikasi pihak ketiga menjangkau kode yang terpengaruh.
Catatan: Sebagai referensi, patch di AOSP tersedia untuk versi kernel tertentu: 4.1, 3.18, 3.14, dan 3.10.
| CVE | Bug | Tingkat Keparahan | Versi yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-0728 | ANDROID-26636379 | Kritis | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 Jan 2016 |
Mitigasi Kerentanan Bypass di Kernel
Kerentanan pengabaian mitigasi di kernel dapat memungkinkan pengabaian langkah-langkah keamanan yang diterapkan untuk mempersulit penyerang mengeksploitasi platform. Masalah ini diberi rating Keparahan tinggi karena dapat memungkinkan pengabaian terhadap langkah-langkah keamanan yang diterapkan untuk mempersulit penyerang dalam mengeksploitasi platform.
Catatan: Update untuk masalah ini berada di upstream Linux.
| CVE | Bug | Tingkat Keparahan | Versi yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-0821 | ANDROID-26186802 | Tinggi | 6.0.1 | Internal Google |
Elevasi Hak Istimewa di Driver Kernel Konektivitas MediaTek
Terdapat kerentanan elevasi hak istimewa dalam driver kernel konektivitas MediaTek yang dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Biasanya bug eksekusi kode kernel seperti ini akan diberi rating kritis, tetapi karena memerlukan kompromi layanan conn_launcher terlebih dahulu, bug ini membenarkan downgrade ke rating keparahan Tinggi.
| CVE | Bug | Tingkat Keparahan | Versi yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-0822 | ANDROID-25873324* | Tinggi | 6.0.1 | 24 November 2015 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Pengungkapan Informasi di Kernel
Kerentanan pengungkapan informasi di kernel dapat memungkinkan pengabaian tindakan keamanan yang diterapkan untuk mempersulit penyerang dalam mengeksploitasi platform. Masalah ini diberi rating Keparahan tinggi karena dapat memungkinkan pengabaian lokal terhadap teknologi mitigasi eksploit seperti ASLR dalam proses berhak istimewa.
Catatan: Perbaikan untuk masalah ini terletak di upstream Linux.
| CVE | Bug | Tingkat Keparahan | Versi yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-0823 | ANDROID-25739721* | Tinggi | 6.0.1 | Internal Google |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Pengungkapan Informasi di libstagefright
Kerentanan pengungkapan informasi di libstagefright dapat memungkinkan pengabaian tindakan keamanan yang diterapkan untuk mempersulit penyerang mengeksploitasi platform. Masalah ini diberi rating Keparahan tinggi karena juga dapat digunakan untuk mendapatkan kemampuan yang ditingkatkan, seperti hak istimewa izin Signature atau SignatureOrSystem, yang tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Bug pada link AOSP | Tingkat Keparahan | Versi yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-0824 | ANDROID-25765591 | Tinggi | 6.0, 6.0.1 | 18 November 2015 |
Kerentanan Pengungkapan Informasi di Widevine
Kerentanan pengungkapan informasi di Aplikasi Tepercaya Widevine dapat memungkinkan kode yang berjalan dalam konteks kernel mengakses informasi di penyimpanan aman TrustZone. Masalah ini diberi rating Keparahan tinggi karena dapat digunakan untuk mendapatkan kemampuan yang ditingkatkan, seperti hak istimewa izin Signature atau SignatureOrSystem.
| CVE | Bug | Tingkat Keparahan | Versi yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-0825 | ANDROID-20860039* | Tinggi | 6.0.1 | Internal Google |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Mediaserver
Kerentanan elevasi hak istimewa di mediaserver dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks aplikasi sistem yang ditingkatkan. Masalah ini diberi rating keparahan Tinggi karena dapat digunakan untuk mendapatkan kemampuan yang ditingkatkan, seperti hak istimewa izin Signature atau SignatureOrSystem, yang tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Bug pada link AOSP | Tingkat Keparahan | Versi yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-0826 | ANDROID-26265403 [2] | Tinggi | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 Des 2015 |
| CVE-2016-0827 | ANDROID-26347509 | Tinggi | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 Des 2015 |
Kerentanan Pengungkapan Informasi di Mediaserver
Kerentanan pengungkapan informasi di mediaserver dapat memungkinkan pengabaian tindakan pengamanan yang diterapkan untuk mempersulit penyerang dalam mengeksploitasi platform. Masalah ini diberi rating sebagai Tingkat keparahan tinggi karena juga dapat digunakan untuk mendapatkan kemampuan yang ditingkatkan, seperti hak istimewa izin Signature atau SignatureOrSystem, yang tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Bug pada link AOSP | Tingkat Keparahan | Versi yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-0828 | ANDROID-26338113 | Tinggi | 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 Desember 2015 |
| CVE-2016-0829 | ANDROID-26338109 | Tinggi | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 Desember 2015 |
Kerentanan Denial of Service Jarak Jauh di Bluetooth
Kerentanan denial of service jarak jauh di komponen Bluetooth dapat memungkinkan penyerang proksimal memblokir akses ke perangkat yang terpengaruh. Penyerang dapat menyebabkan kelebihan perangkat Bluetooth yang diidentifikasi di komponen Bluetooth, yang menyebabkan kerusakan memori dan penghentian layanan. Hal ini dinilai sebagai keparahan Tinggi karena menyebabkan Denial of Service pada layanan Bluetooth, yang kemungkinan hanya dapat diperbaiki dengan mem-flash perangkat.
| CVE | Bug pada link AOSP | Tingkat Keparahan | Versi yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-0830 | ANDROID-26071376 | Tinggi | 6.0, 6.0.1 | Internal Google |
Kerentanan Pengungkapan Informasi dalam Telepon
Kerentanan pengungkapan informasi di komponen Telepon dapat memungkinkan aplikasi mengakses informasi sensitif. Masalah ini diberi rating Keparahan sedang karena dapat digunakan untuk mengakses data secara tidak semestinya tanpa izin.
| CVE | Bug pada link AOSP | Tingkat Keparahan | Versi yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-0831 | ANDROID-25778215 | Sedang | 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 November 2015 |
Kerentanan Elevasi Hak Istimewa di Wizard Penyiapan
Kerentanan di Wizard Penyiapan dapat memungkinkan penyerang yang memiliki akses fisik ke perangkat untuk mendapatkan akses ke setelan perangkat dan melakukan reset perangkat secara manual. Masalah ini diberi rating keparahan Sedang karena dapat digunakan untuk mengakali perlindungan reset ke setelan pabrik dengan tidak semestinya.
| CVE | Bug | Tingkat Keparahan | Versi yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-0832 | ANDROID-25955042* | Sedang | 5.1.1, 6.0, 6.0.1 | Internal Google |
* Tidak ada patch kode sumber yang disediakan untuk update ini.
Pertanyaan Umum dan Jawaban
Bagian ini meninjau jawaban atas pertanyaan umum yang mungkin muncul setelah membaca berita ini.
1. Bagaimana cara menentukan apakah perangkat saya telah diupdate untuk menyelesaikan masalah ini?
Build LMY49H atau yang lebih baru dan Android 6.0 dengan Level Patch Keamanan 1 Maret 2016 atau yang lebih baru mengatasi masalah ini. Lihat dokumentasi Nexus untuk mengetahui petunjuk cara memeriksa tingkat patch keamanan. Produsen perangkat yang menyertakan update ini harus menetapkan level string patch ke: [ro.build.version.security_patch]:[2016-03-01]
Revisi
- 07 Maret 2016: Buletin dipublikasikan.
- 08 Maret 2016: Buletin direvisi untuk menyertakan link AOSP.