Buletin Keamanan Nexus - Oktober 2015

Diterbitkan 05 Oktober 2015 | Diperbarui 28 April 2016

Kami telah merilis pembaruan keamanan untuk perangkat Nexus melalui pembaruan over-the-air (OTA) sebagai bagian dari proses Rilis Bulanan Buletin Keamanan Android kami. Gambar firmware Nexus juga telah dirilis ke situs Pengembang Google . Membangun LMY48T atau lebih baru (seperti LMY48W) dan Android M dengan Tingkat Patch Keamanan 1 Oktober 2015 atau lebih baru untuk mengatasi masalah ini. Lihat dokumentasi Nexus untuk petunjuk tentang cara memeriksa tingkat patch keamanan.

Mitra diberi tahu tentang masalah ini pada 10 September 2015 atau sebelumnya. Patch kode sumber untuk masalah ini telah dirilis ke repositori Android Open Source Project (AOSP).

Yang paling parah dari masalah ini adalah kerentanan keamanan Kritis yang dapat mengaktifkan eksekusi kode jarak jauh pada perangkat yang terpengaruh melalui beberapa metode seperti email, penelusuran web, dan MMS saat memproses file media. Penilaian tingkat keparahan didasarkan pada efek eksploitasi kerentanan yang mungkin terjadi pada perangkat yang terpengaruh, dengan asumsi platform dan mitigasi layanan dinonaktifkan untuk tujuan pengembangan atau jika berhasil dilewati.

Kami tidak memiliki laporan eksploitasi pelanggan aktif dari masalah yang baru dilaporkan ini. Lihat bagian Mitigasi untuk detail tentang perlindungan platform keamanan Android dan perlindungan layanan seperti SafetyNet, yang meningkatkan keamanan platform Android. Kami mendorong semua pelanggan untuk menerima pembaruan ini ke perangkat mereka.

Mitigasi

Ini adalah ringkasan mitigasi yang disediakan oleh platform keamanan Android dan perlindungan layanan seperti SafetyNet. Kemampuan ini mengurangi kemungkinan kerentanan keamanan berhasil dieksploitasi di Android.

  • Eksploitasi untuk banyak masalah di Android menjadi lebih sulit dengan peningkatan versi platform Android yang lebih baru. Kami mendorong semua pengguna untuk memperbarui ke versi Android terbaru jika memungkinkan.
  • Tim Keamanan Android secara aktif memantau penyalahgunaan dengan Verifikasi Aplikasi dan SafetyNet yang akan memperingatkan tentang aplikasi yang berpotensi berbahaya yang akan dipasang. Alat rooting perangkat dilarang di Google Play. Untuk melindungi pengguna yang menginstal aplikasi dari luar Google Play, Verifikasi Aplikasi diaktifkan secara default dan akan memperingatkan pengguna tentang aplikasi rooting yang diketahui. Verifikasi Aplikasi mencoba mengidentifikasi dan memblokir pemasangan aplikasi berbahaya yang diketahui yang mengeksploitasi kerentanan eskalasi hak istimewa. Jika aplikasi tersebut telah diinstal, Verifikasi Aplikasi akan memberi tahu pengguna dan mencoba menghapus aplikasi tersebut.
  • Jika sesuai, Google telah memperbarui aplikasi Hangouts dan Messenger sehingga media tidak secara otomatis diteruskan ke proses yang rentan (seperti server media.)

Ucapan Terima Kasih

Kami ingin mengucapkan terima kasih kepada para peneliti ini atas kontribusi mereka:

  • Brennan Lautner: CVE-2015-3863
  • Chiachih Wu dan Xuxian Jiang dari Tim C0RE dari Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
  • Yajin Zhou, Lei Wu, dan Xuxian Jiang dari Tim C0RE dari Qihoo 360: CVE-2015-3865
  • Daniel Micay (daniel.micay@copperhead.co) di Copperhead Security: CVE-2015-3875
  • dragonltx dari Alibaba Mobile Security Team: CVE-2015-6599
  • Ian Beer dan Steven Vittitoe dari Google Project Zero: CVE-2015-6604
  • Joaquín Rinaudo (@xeroxnir) dan Iván Arce (@4Dgifts) dari Programa STIC di Fundación Dr. Manuel Sadosky, Buenos Aires Argentina: CVE-2015-3870
  • Josh Drake dari Zimperium: CVE-2015-3876, CVE-2015-6602
  • Jordan Gruskovnjak dari Exodus Intelligence (@jgrusko): CVE-2015-3867
  • Peter Pi dari Trend Micro: CVE-2015-3872, CVE-2015-3871
  • Ping Li dari Qihoo 360 Technology Co. Ltd: CVE-2015-3878
  • Tujuh Shen: CVE-2015-6600, CVE-2015-3847
  • Wangtao(neobyte) dari Baidu X-Team: CVE-2015-6598
  • Wish Wu dari Trend Micro Inc. (@wish_wu): CVE-2015-3823
  • Michael Roland dari JR-Center u'smile di University of Applied Sciences, Upper Austria/ Hagenberg: CVE-2015-6606

Kami juga ingin mengucapkan terima kasih atas kontribusi Tim Keamanan Chrome, Tim Keamanan Google, Project Zero, dan individu lain dalam Google untuk melaporkan beberapa masalah yang diperbaiki dalam buletin ini.

Detail Kerentanan Keamanan

Di bagian di bawah ini, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku untuk level patch 2015-10-01. Ada deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, bug terkait, tingkat keparahan, versi yang terpengaruh, dan tanggal yang dilaporkan. Jika tersedia, kami telah menautkan perubahan AOSP yang mengatasi masalah tersebut ke ID bug. Ketika beberapa perubahan terkait dengan satu bug, referensi AOSP tambahan ditautkan ke nomor yang mengikuti ID bug.

Kerentanan Eksekusi Kode Jarak Jauh di libstagefright

Kerentanan di libstagefright ada yang dapat memungkinkan penyerang, selama file media dan pemrosesan data dari file yang dibuat khusus, menyebabkan kerusakan memori dan eksekusi kode jarak jauh di layanan server media.

Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan eksekusi kode jarak jauh sebagai layanan istimewa. Komponen yang terpengaruh memiliki akses ke aliran audio dan video serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.

CVE Bug dengan tautan AOSP Kerasnya Versi yang terpengaruh Tanggal dilaporkan
CVE-2015-3873 ANDROID-20674086 [ 2 , 3 , 4 ] Kritis 5.1 dan di bawah Google Internal
ANDROID-20674674 [ 2 , 3 , 4 ]
ANDROID-20718524
ANDROID-21048776
ANDROID-21443020
ANDROID-21814993
ANDROID-22008959
ANDROID-22077698
ANDROID-22388975
ANDROID-22845824
ANDROID-23016072
ANDROID-23247055
ANDROID-23248776
ANDROID-20721050 Kritis 5.0 dan 5.1 Google Internal
CVE-2015-3823 ANDROID-21335999 Kritis 5.1 dan di bawah 20 Mei 2015
CVE-2015-6600 ANDROID-22882938 Kritis 5.1 dan di bawah 31 Juli 2015
CVE-2015-6601 ANDROID-22935234 Kritis 5.1 dan di bawah 3 Agustus 2015
CVE-2015-3869 ANDROID-23036083 Kritis 5.1 dan di bawah 4 Agustus 2015
CVE-2015-3870 ANDROID-22771132 Kritis 5.1 dan di bawah 5 Agustus 2015
CVE-2015-3871 ANDROID-23031033 Kritis 5.1 dan di bawah 6 Agustus 2015
CVE-2015-3868 ANDROID-23270724 Kritis 5.1 dan di bawah 6 Agustus 2015
CVE-2015-6604 ANDROID-23129786 Kritis 5.1 dan di bawah 11 Agustus 2015
CVE-2015-3867 ANDROID-23213430 Kritis 5.1 dan di bawah 14 Agustus 2015
CVE-2015-6603 ANDROID-23227354 Kritis 5.1 dan di bawah 15 Agustus 2015
CVE-2015-3876 ANDROID-23285192 Kritis 5.1 dan di bawah 15 Agustus 2015
CVE-2015-6598 ANDROID-23306638 Kritis 5.1 dan di bawah 18 Agustus 2015
CVE-2015-3872 ANDROID-23346388 Kritis 5.1 dan di bawah 19 Agustus 2015
CVE-2015-6599 ANDROID-23416608 Kritis 5.1 dan di bawah 21 Agustus 2015

Kerentanan Eksekusi Kode Jarak Jauh di Sonivox

Kerentanan di Sonivox ada yang dapat memungkinkan penyerang, selama pemrosesan file media dari file yang dibuat khusus, menyebabkan kerusakan memori dan eksekusi kode jarak jauh di layanan server media. Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan eksekusi kode jarak jauh sebagai layanan istimewa. Komponen yang terpengaruh memiliki akses ke aliran audio dan video serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.

CVE Bug dengan tautan AOSP Kerasnya Versi yang terpengaruh Tanggal dilaporkan
CVE-2015-3874 ANDROID-23335715 Kritis 5.1 dan di bawah Beberapa
ANDROID-23307276 [ 2 ]
ANDROID-23286323

Kerentanan Eksekusi Kode Jarak Jauh di libutils

Kerentanan di libutils, perpustakaan umum, ada dalam pemrosesan file audio. Kerentanan ini dapat memungkinkan penyerang, selama pemrosesan file yang dibuat khusus, menyebabkan kerusakan memori dan eksekusi kode jarak jauh dalam layanan yang menggunakan perpustakaan ini seperti server media.

Fungsionalitas yang terpengaruh disediakan sebagai API aplikasi dan ada beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media browser. Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan eksekusi kode jarak jauh dalam layanan istimewa. Komponen yang terpengaruh memiliki akses ke aliran audio dan video serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.

CVE Bug dengan tautan AOSP Kerasnya Versi yang terpengaruh Tanggal dilaporkan
CVE-2015-3875 ANDROID-22952485 Kritis 5.1 dan di bawah 15 Agustus 2015
CVE-2015-6602 ANDROID-23290056 [ 2 ] Kritis 5.1 dan di bawah 15 Agustus 2015

Kerentanan Eksekusi Kode Jarak Jauh di Skia

Kerentanan dalam komponen Skia dapat dimanfaatkan saat memproses file media yang dibuat khusus, yang dapat menyebabkan kerusakan memori dan eksekusi kode jarak jauh dalam proses yang diistimewakan. Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan eksekusi kode jarak jauh melalui beberapa metode serangan seperti email, penelusuran web, dan MMS saat memproses file media.

CVE Bug dengan tautan AOSP Kerasnya Versi yang terpengaruh Tanggal dilaporkan
CVE-2015-3877 ANDROID-20723696 Kritis 5.1 dan di bawah 30 Juli 2015

Kerentanan Eksekusi Kode Jarak Jauh di libFLAC

Kerentanan di libFLAC ada dalam pemrosesan file media. Kerentanan ini dapat memungkinkan penyerang, selama pemrosesan file yang dibuat khusus, menyebabkan kerusakan memori dan eksekusi kode jarak jauh.

Fungsionalitas yang terpengaruh disediakan sebagai API aplikasi dan ada beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, seperti pemutaran media browser. Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan eksekusi kode jarak jauh dalam layanan istimewa. Komponen yang terpengaruh memiliki akses ke aliran audio dan video serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.

CVE Bug dengan tautan AOSP Kerasnya Versi yang terpengaruh Tanggal dilaporkan
CVE-2014-9028 ANDROID-18872897 [ 2 ] Kritis 5.1 dan di bawah 14 November 2014

Peningkatan Kerentanan Privilege di KeyStore

Peningkatan kerentanan hak istimewa dalam komponen KeyStore dapat dimanfaatkan oleh aplikasi jahat saat memanggil ke API KeyStore. Aplikasi ini dapat menyebabkan kerusakan memori dan eksekusi kode arbitrer dalam konteks KeyStore. Masalah ini dinilai sebagai tingkat keparahan tinggi karena dapat digunakan untuk mengakses hak istimewa yang tidak dapat diakses secara langsung oleh aplikasi pihak ketiga.

CVE Bug dengan tautan AOSP Kerasnya Versi yang terpengaruh Tanggal dilaporkan
CVE-2015-3863 ANDROID-22802399 Tinggi 5.1 dan di bawah 28 Juli 2015

Peningkatan Kerentanan Hak Istimewa dalam Kerangka Media Player

Peningkatan kerentanan hak istimewa dalam komponen kerangka kerja pemutar media dapat memungkinkan aplikasi jahat untuk mengeksekusi kode arbitrer dalam konteks server media. Masalah ini dinilai sebagai Tingkat keparahan tinggi karena memungkinkan aplikasi jahat mengakses hak istimewa yang tidak dapat diakses oleh aplikasi pihak ketiga.

CVE Bug dengan tautan AOSP Kerasnya Versi yang terpengaruh Tanggal dilaporkan
CVE-2015-3879 ANDROID-23223325 [2]* Tinggi 5.1 dan di bawah 14 Agustus 2015

* Perubahan kedua untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Privilege di Android Runtime

Peningkatan kerentanan hak istimewa di Android Runtime dapat mengaktifkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks aplikasi sistem yang ditingkatkan. Masalah ini dinilai sebagai tingkat keparahan tinggi karena dapat digunakan untuk mendapatkan kemampuan yang lebih tinggi, seperti hak istimewa izin Signature atau SignatureOrSystem , yang tidak dapat diakses oleh aplikasi pihak ketiga.

CVE Bug dengan tautan AOSP Kerasnya Versi yang terpengaruh Tanggal dilaporkan
CVE-2015-3865 ANDROID-23050463 [ 2 ] Tinggi 5.1 dan di bawah 8 Agustus 2015

Peningkatan Kerentanan Privilege di Mediaserver

Ada beberapa kerentanan di server media yang dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks layanan asli yang diistimewakan. Masalah ini dinilai sebagai tingkat keparahan tinggi karena dapat digunakan untuk mengakses hak istimewa yang tidak dapat diakses secara langsung oleh aplikasi pihak ketiga.

CVE Bug dengan tautan AOSP Kerasnya Versi yang terpengaruh Tanggal dilaporkan
CVE-2015-6596 ANDROID-20731946 Tinggi 5.1 dan di bawah Beberapa
ANDROID-20719651*
ANDROID-19573085 Tinggi 5.0 - 6.0 Google Internal

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Hak Istimewa dalam Perangkat Evaluasi Elemen Aman

Kerentanan dalam plugin SEEK (Secure Element Evaluation Kit, alias SmartCard API) dapat memungkinkan aplikasi memperoleh izin yang lebih tinggi tanpa memintanya. Masalah ini dinilai sebagai tingkat keparahan tinggi karena dapat digunakan untuk mendapatkan kemampuan yang lebih tinggi, seperti hak istimewa izin Signature atau SignatureOrSystem , yang tidak dapat diakses oleh aplikasi pihak ketiga.

CVE Bug dengan tautan AOSP Kerasnya Versi yang terpengaruh Tanggal dilaporkan
CVE-2015-6606 ANDROID-22301786* Tinggi 5.1 dan di bawah 30 Juni 2015

* Peningkatan yang mengatasi masalah ini terletak di situs SEEK for Android .

Peningkatan Kerentanan Hak Istimewa dalam Proyeksi Media

Kerentanan dalam komponen Media Projection dapat memungkinkan data pengguna diungkapkan dalam bentuk cuplikan layar. Masalahnya adalah akibat dari sistem operasi yang mengizinkan nama aplikasi yang terlalu panjang. Penggunaan nama panjang ini oleh aplikasi jahat lokal dapat mencegah peringatan tentang perekaman layar agar tidak terlihat oleh pengguna. Masalah ini dinilai sebagai tingkat keparahan Sedang karena dapat digunakan untuk mendapatkan izin yang lebih tinggi dengan tidak semestinya.

CVE Bug dengan tautan AOSP Kerasnya Versi yang terpengaruh Tanggal dilaporkan
CVE-2015-3878 ANDROID-23345192 Sedang 5.0 - 6.0 18 Agustus 2015

Peningkatan Kerentanan Hak Istimewa di Bluetooth

Kerentanan dalam komponen Bluetooth Android dapat memungkinkan aplikasi menghapus pesan SMS yang tersimpan. Masalah ini dinilai sebagai tingkat keparahan Sedang karena dapat digunakan untuk mendapatkan izin yang lebih tinggi dengan tidak semestinya.

CVE Bug dengan tautan AOSP Kerasnya Versi yang terpengaruh Tanggal dilaporkan
CVE-2015-3847 ANDROID-22343270 Sedang 5.1 dan di bawah 8 Juli 2015

Peningkatan Kerentanan Privilege di SQLite

Beberapa kerentanan ditemukan di mesin pengurai SQLite. Kerentanan ini dapat dieksploitasi oleh aplikasi lokal yang dapat menyebabkan aplikasi atau layanan lain mengeksekusi kueri SQL arbitrer. Eksploitasi yang berhasil dapat mengakibatkan eksekusi kode arbitrer dalam konteks aplikasi target.

Perbaikan telah diunggah ke master AOSP pada 8 April 2015, memutakhirkan versi SQLite ke 3.8.9: https://android-review.googlesource.com/#/c/145961/

Buletin ini berisi patch untuk versi SQLite di Android 4.4 (SQLite 3.7.11) dan Android 5.0 dan 5.1 (SQLite 3.8.6).

CVE Bug dengan tautan AOSP Kerasnya Versi yang terpengaruh Tanggal dilaporkan
CVE-2015-6607 ANDROID-20099586 Sedang 5.1 dan di bawah 7 April 2015
Dikenal Publik

Kerentanan Denial of Service di Mediaserver

Ada beberapa kerentanan di server media yang dapat menyebabkan Denial of Service dengan menghentikan proses mediaserver. Masalah ini dinilai sebagai tingkat keparahan rendah karena efeknya dialami oleh kerusakan server media yang mengakibatkan penolakan layanan sementara lokal.

CVE Bug dengan tautan AOSP Kerasnya Versi yang terpengaruh Tanggal dilaporkan
CVE-2015-6605 ANDROID-200915134 Rendah 5.1 dan di bawah Google Internal
ANDROID-23142203
ANDROID-22278703 Rendah 5.0 - 6.0 Google Internal
CVE-2015-3862 ANDROID-22954006 Rendah 5.1 dan di bawah 2 Agustus 2015

Revisi

  • 05 Oktober 2015: Buletin diterbitkan.
  • 07 Oktober 2015: Buletin diperbarui dengan referensi AOSP. Mengklarifikasi referensi bug untuk CVE-2014-9028.
  • 12 Oktober 2015: Ucapan terima kasih yang diperbarui untuk CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
  • 22 Januari 2016: Ucapan terima kasih yang diperbarui untuk CVE-2015-6606.
  • 28 April 2016: Menambahkan CVE-2015-6603 dan mengoreksi kesalahan ketik dengan CVE-2014-9028.