עלון אבטחה של Nexus - אוקטובר 2015

פורסם ב-05 באוקטובר 2015 | עודכן ב-28 באפריל, 2016

פרסמנו עדכון אבטחה למכשירי Nexus באמצעות עדכון אויר (OTA) כחלק מתהליך השחרור החודשי של עלון האבטחה של Android. תמונות הקושחה של Nexus שוחררו גם לאתר Google Developer . בונה LMY48T ואילך (כגון LMY48W) ו-Android M עם רמת תיקון אבטחה של 1 באוקטובר 2015 ואילך מטפלים בבעיות אלה. עיין בתיעוד של Nexus לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה.

שותפים קיבלו הודעה על בעיות אלה ב-10 בספטמבר 2015 או קודם לכן. תיקוני קוד מקור עבור בעיות אלה שוחררו למאגר Android Open Source Project (AOSP).

החמורה ביותר מבין הבעיות הללו היא פגיעות אבטחה קריטית שעלולה לאפשר ביצוע קוד מרחוק במכשיר מושפע באמצעות מספר שיטות כגון דואר אלקטרוני, גלישה באינטרנט ו-MMS בעת עיבוד קובצי מדיה. הערכת החומרה מבוססת על ההשפעה שאולי תהיה לניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה וההפחתות השירות מושבתות למטרות פיתוח או אם יעקפו בהצלחה.

לא קיבלנו דיווחים על ניצול פעיל של לקוחות של בעיות אלה שדווחו לאחרונה. עיין בסעיף ההקלות לפרטים על הגנות פלטפורמת האבטחה של אנדרואיד והגנות שירות כגון SafetyNet, המשפרות את האבטחה של פלטפורמת אנדרואיד. אנו מעודדים את כל הלקוחות לקבל עדכונים אלה למכשירים שלהם.

הקלות

זהו סיכום של ההקלות שמספקות פלטפורמת האבטחה אנדרואיד והגנות שירות כגון SafetyNet. יכולות אלו מפחיתות את הסבירות שניתן יהיה לנצל בהצלחה פרצות אבטחה באנדרואיד.

  • ניצול בעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
  • צוות אבטחת אנדרואיד עוקב באופן פעיל אחר שימוש לרעה עם Verify Apps ו- SafetyNet אשר יזהירו מפני אפליקציות שעלולות להיות מזיקים שעומדים להתקין. כלי השתרשות מכשירים אסורים ב-Google Play. כדי להגן על משתמשים שמתקינים יישומים מחוץ ל-Google Play, Verify Apps מופעל כברירת מחדל והוא יזהיר משתמשים לגבי יישומי השתרשות ידועים. אימות אפליקציות מנסה לזהות ולחסום התקנה של יישומים זדוניים ידועים המנצלים פגיעות של הסלמה של הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע למשתמש וינסה להסיר אפליקציות כאלה.
  • בהתאם למתאים, Google עדכנה את יישומי ה-Hangouts וה-Messenger כך שהמדיה לא תועבר אוטומטית לתהליכים פגיעים (כגון שרת מדיה).

תודות

ברצוננו להודות לחוקרים אלו על תרומתם:

  • ברנן לאוטנר: CVE-2015-3863
  • Chiachih Wu ו-Xuxian Jiang מ-C0RE Team מ-Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
  • Yajin Zhou, Lei Wu ו-Xuxian Jiang מצוות C0RE מ-Qihoo 360: CVE-2015-3865
  • דניאל מיקאי (daniel.micay@copperhead.co) ב-Copperhead Security: CVE-2015-3875
  • dragonltx של צוות האבטחה הנייד של Alibaba: CVE-2015-6599
  • איאן באר וסטיבן ויטיטו מ-Google Project Zero: CVE-2015-6604
  • Joaquin Rinaudo (@xeroxnir) ואיבן Arce (@4Dgifts) מ-Programma STIC ב-Fundación Dr. Manuel Sadosky, בואנוס איירס ארגנטינה: CVE-2015-3870
  • ג'וש דרייק מזימפריום: CVE-2015-3876, CVE-2015-6602
  • ג'ורדן גרוסקובניאק ממודיעין Exodus (@jgrusko): CVE-2015-3867
  • Peter Pi של Trend Micro: CVE-2015-3872, CVE-2015-3871
  • פינג לי מ-Qihoo 360 Technology Co. Ltd: CVE-2015-3878
  • שבעה שן: CVE-2015-6600, CVE-2015-3847
  • Wangtao (neobyte) של Baidu X-Team: CVE-2015-6598
  • Wish Wu של Trend Micro Inc. (@wish_wu): CVE-2015-3823
  • מייקל רולנד מ-JR-Center u'smile באוניברסיטה למדעים שימושיים, אוסטריה עילית/ האגנברג: CVE-2015-6606

כמו כן, ברצוננו להודות לתרומות של צוות האבטחה של Chrome, צוות האבטחה של Google, Project Zero ואנשים אחרים ב-Google על הדיווח על מספר בעיות שתוקנו בעלון זה.

פרטי פגיעות אבטחה

בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2015-10-01. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הבאג המשויך, החומרה, הגרסאות המושפעות ותאריך הדיווח. היכן שהוא זמין, קישרנו את השינוי ב-AOSP שטיפל בבעיה למזהה הבאג. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות של AOSP מקושרות למספרים בעקבות מזהה הבאג.

פגיעויות של ביצוע קוד מרחוק ב-libstagefright

קיימות פגיעויות ב-libstagefright שעלולות לאפשר לתוקף, במהלך קבצי מדיה ועיבוד נתונים של קובץ בעל מבנה מיוחד, לגרום לפגיעה בזיכרון ולביצוע קוד מרחוק בשירות שרת המדיה.

בעיות אלו מדורגות כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק כשירות מועדף. לרכיבים המושפעים יש גישה לזרמי אודיו ווידאו, כמו גם גישה להרשאות שיישומי צד שלישי אינם יכולים לגשת בדרך כלל.

CVE באג(ים) עם קישורי AOSP חוּמרָה גרסאות מושפעות תאריך דיווח
CVE-2015-3873 ANDROID-20674086 [ 2 , 3 , 4 ] קריטי 5.1 ומטה Google פנימי
ANDROID-20674674 [ 2 , 3 , 4 ]
ANDROID-20718524
ANDROID-21048776
ANDROID-21443020
ANDROID-21814993
ANDROID-22008959
ANDROID-22077698
ANDROID-22388975
ANDROID-22845824
ANDROID-23016072
ANDROID-23247055
ANDROID-23248776
ANDROID-20721050 קריטי 5.0 ו-5.1 Google פנימי
CVE-2015-3823 ANDROID-21335999 קריטי 5.1 ומטה 20 במאי 2015
CVE-2015-6600 ANDROID-22882938 קריטי 5.1 ומטה 31 ביולי 2015
CVE-2015-6601 ANDROID-22935234 קריטי 5.1 ומטה 3 באוגוסט 2015
CVE-2015-3869 ANDROID-23036083 קריטי 5.1 ומטה 4 באוגוסט 2015
CVE-2015-3870 ANDROID-22771132 קריטי 5.1 ומטה 5 באוגוסט 2015
CVE-2015-3871 ANDROID-23031033 קריטי 5.1 ומטה 6 באוגוסט 2015
CVE-2015-3868 ANDROID-23270724 קריטי 5.1 ומטה 6 באוגוסט 2015
CVE-2015-6604 ANDROID-23129786 קריטי 5.1 ומטה 11 באוגוסט 2015
CVE-2015-3867 ANDROID-23213430 קריטי 5.1 ומטה 14 באוגוסט 2015
CVE-2015-6603 ANDROID-23227354 קריטי 5.1 ומטה 15 באוגוסט 2015
CVE-2015-3876 ANDROID-23285192 קריטי 5.1 ומטה 15 באוגוסט 2015
CVE-2015-6598 ANDROID-23306638 קריטי 5.1 ומטה 18 באוגוסט 2015
CVE-2015-3872 ANDROID-23346388 קריטי 5.1 ומטה 19 באוגוסט 2015
CVE-2015-6599 ANDROID-23416608 קריטי 5.1 ומטה 21 באוגוסט 2015

פגיעויות של ביצוע קוד מרחוק ב-Sonivox

קיימות פגיעויות ב-Sonivox שעלולות לאפשר לתוקף, במהלך עיבוד קבצי מדיה של קובץ בעל מבנה מיוחד, לגרום לפגיעה בזיכרון ולביצוע קוד מרחוק בשירות המדיה-שרת. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק כשירות מועדף. לרכיב המושפע יש גישה לזרמי אודיו ווידאו וכן גישה להרשאות שיישומי צד שלישי אינם יכולים לגשת בדרך כלל.

CVE באג(ים) עם קישורי AOSP חוּמרָה גרסאות מושפעות תאריך דיווח
CVE-2015-3874 ANDROID-23335715 קריטי 5.1 ומטה מרובות
ANDROID-23307276 [ 2 ]
ANDROID-23286323

פגיעויות של ביצוע קוד מרחוק ב-libutils

פגיעויות בליבוטילס, ספרייה גנרית, קיימות בעיבוד קבצי אודיו. פגיעויות אלו עלולות לאפשר לתוקף, במהלך עיבוד של קובץ בעל מבנה מיוחד, לגרום לפגיעה בזיכרון ולביצוע קוד מרחוק בשירות המשתמש בספרייה זו, כגון שרת מדיה.

הפונקציונליות המושפעת מסופקת כ-API של יישומים וקיימות מספר אפליקציות המאפשרות להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת מדיה בדפדפן. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק בשירות מיוחס. לרכיב המושפע יש גישה לזרמי אודיו ווידאו וכן גישה להרשאות שאפליקציות צד שלישי אינן יכולות לגשת אליהן בדרך כלל.

CVE באג(ים) עם קישורי AOSP חוּמרָה גרסאות מושפעות תאריך דיווח
CVE-2015-3875 ANDROID-22952485 קריטי 5.1 ומטה 15 באוגוסט 2015
CVE-2015-6602 ANDROID-23290056 [ 2 ] קריטי 5.1 ומטה 15 באוגוסט 2015

פגיעות של ביצוע קוד מרחוק בסקיה

פגיעות ברכיב Skia עשויה להיות ממונפת בעת עיבוד קובץ מדיה בעל מבנה מיוחד, שעלולה להוביל לפגיעה בזיכרון ולביצוע קוד מרחוק בתהליך מיוחס. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק באמצעות שיטות התקפה מרובות כגון דואר אלקטרוני, גלישה באינטרנט ו-MMS בעת עיבוד קבצי מדיה.

CVE באג(ים) עם קישורי AOSP חוּמרָה גרסאות מושפעות תאריך דיווח
CVE-2015-3877 ANDROID-20723696 קריטי 5.1 ומטה 30 ביולי 2015

פגיעויות של ביצוע קוד מרחוק ב-libFLAC

פגיעות ב-libFLAC קיימת בעיבוד קבצי מדיה. פגיעויות אלו עלולות לאפשר לתוקף, במהלך עיבוד של קובץ בעל מבנה מיוחד, לגרום לפגיעה בזיכרון ולביצוע קוד מרחוק.

הפונקציונליות המושפעת מסופקת כ-API של אפליקציה וישנן מספר יישומים המאפשרים להגיע אליה באמצעות תוכן מרוחק, כגון הפעלת מדיה בדפדפן. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק בשירות מיוחס. לרכיב המושפע יש גישה לזרמי אודיו ווידאו וכן גישה להרשאות שאפליקציות צד שלישי אינן יכולות לגשת אליהן בדרך כלל.

CVE באג(ים) עם קישורי AOSP חוּמרָה גרסאות מושפעות תאריך דיווח
CVE-2014-9028 ANDROID-18872897 [ 2 ] קריטי 5.1 ומטה 14 בנובמבר 2014

הפגיעות של העלאת הרשאות ב-KeyStore

הפגיעות של העלאת הרשאות ברכיב KeyStore עשויה להיות ממונפת על ידי יישום זדוני בעת קריאה לממשקי ה-API של KeyStore. יישום זה עלול לגרום לפגיעה בזיכרון ולביצוע קוד שרירותי בהקשר של KeyStore. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי לגשת להרשאות שאינן נגישות ישירות לאפליקציה של צד שלישי.

CVE באג(ים) עם קישורי AOSP חוּמרָה גרסאות מושפעות תאריך דיווח
CVE-2015-3863 ANDROID-22802399 גָבוֹהַ 5.1 ומטה 28 ביולי 2015

פגיעות העלאת הרשאות במסגרת Media Player

הפגיעות של העלאת הרשאות ברכיב המסגרת של נגן המדיה עלולה לאפשר ליישום זדוני להפעיל קוד שרירותי בהקשר של שרת המדיה. בעיה זו מדורגת כחומרה גבוהה מכיוון שהיא מאפשרת לאפליקציה זדונית לגשת להרשאות שאינן נגישות לאפליקציה של צד שלישי.

CVE באג(ים) עם קישורי AOSP חוּמרָה גרסאות מושפעות תאריך דיווח
CVE-2015-3879 ANDROID-23223325 [2]* גָבוֹהַ 5.1 ומטה 14 באוגוסט 2015

* שינוי שני לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות העלאת הרשאות בזמן ריצה של אנדרואיד

פגיעות העלאת הרשאות ב-Android Runtime יכולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של יישום מערכת מוגברת. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.

CVE באג(ים) עם קישורי AOSP חוּמרָה גרסאות מושפעות תאריך דיווח
CVE-2015-3865 ANDROID-23050463 [ 2 ] גָבוֹהַ 5.1 ומטה 8 באוגוסט 2015

העלאת נקודות תורפה ב-Mediaserver

ישנן פגיעויות מרובות בשרת מדיה שיכולות לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של שירות מקורי מועדף. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי לגשת להרשאות שאינן נגישות ישירות לאפליקציה של צד שלישי.

CVE באג(ים) עם קישורי AOSP חוּמרָה גרסאות מושפעות תאריך דיווח
CVE-2015-6596 ANDROID-20731946 גָבוֹהַ 5.1 ומטה מרובות
ANDROID-20719651*
ANDROID-19573085 גָבוֹהַ 5.0 - 6.0 Google פנימי

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות בערכת הערכת אלמנט מאובטח

פגיעות בתוסף SEEK (Secure Element Evaluation Kit, הידוע גם בשם SmartCard API) עלולה לאפשר לאפליקציה לקבל הרשאות מוגברות מבלי לבקש אותן. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות גבוהות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישומי צד שלישי.

CVE באג(ים) עם קישורי AOSP חוּמרָה גרסאות מושפעות תאריך דיווח
CVE-2015-6606 ANDROID-22301786* גָבוֹהַ 5.1 ומטה 30 ביוני 2015

* השדרוג המטפל בבעיה זו נמצא באתר SEEK for Android .

הפגיעות של העלאת הרשאות בהקרנת מדיה

פגיעות ברכיב Media Projection יכולה לאפשר חשיפת נתוני משתמש בצורה של צילומי מסך. הבעיה נובעת מכך שמערכת ההפעלה מאפשרת שמות אפליקציות ארוכים מדי. השימוש בשמות ארוכים אלו על ידי יישום זדוני מקומי עשוי למנוע מהמשתמש אזהרה על הקלטת מסך. בעיה זו מדורגת כחומרה בינונית מכיוון שניתן להשתמש בה כדי לקבל הרשאות מוגברות באופן שגוי.

CVE באג(ים) עם קישורי AOSP חוּמרָה גרסאות מושפעות תאריך דיווח
CVE-2015-3878 ANDROID-23345192 לְמַתֵן 5.0 - 6.0 18 באוגוסט 2015

פגיעות העלאת הרשאות ב-Bluetooth

פגיעות ברכיב ה-Bluetooth של אנדרואיד עלולה לאפשר לאפליקציה למחוק הודעות SMS מאוחסנות. בעיה זו מדורגת כחומרה בינונית מכיוון שניתן להשתמש בה כדי לקבל הרשאות מוגברות באופן שגוי.

CVE באג(ים) עם קישורי AOSP חוּמרָה גרסאות מושפעות תאריך דיווח
CVE-2015-3847 ANDROID-22343270 לְמַתֵן 5.1 ומטה 8 ביולי 2015

העלאת נקודות תורפה ב-SQLite

נקודות תורפה מרובות התגלו במנוע הניתוח של SQLite. פגיעויות אלו עשויות להיות ניתנות לניצול על ידי יישום מקומי שעלול לגרום ליישום או שירות אחר לבצע שאילתות SQL שרירותיות. ניצול מוצלח עלול לגרום לביצוע קוד שרירותי בהקשר של יישום היעד.

תיקון הועלה ל-AOSP main ב-8 באפריל 2015, ושדרוג גרסת SQLite ל-3.8.9: https://android-review.googlesource.com/#/c/145961/

עלון זה מכיל תיקונים עבור גרסאות SQLite באנדרואיד 4.4 (SQLite 3.7.11) ו-Android 5.0 ו-5.1 (SQLite 3.8.6).

CVE באג(ים) עם קישורי AOSP חוּמרָה גרסאות מושפעות תאריך דיווח
CVE-2015-6607 ANDROID-20099586 לְמַתֵן 5.1 ומטה 7 באפריל, 2015
ידוע בציבור

פגיעויות של מניעת שירות ב-Mediaserver

ישנן פגיעויות מרובות בשרת המדיה שעלולות לגרום למניעת שירות על ידי קריסת תהליך שרת המדיה. בעיות אלו מדורגות בדרגת חומרה נמוכה מכיוון שההשפעה נחווית על ידי קריסה של שרת המדיה וכתוצאה מכך מניעת שירות זמנית מקומית.

CVE באג(ים) עם קישורי AOSP חוּמרָה גרסאות מושפעות תאריך דיווח
CVE-2015-6605 ANDROID-20915134 נָמוּך 5.1 ומטה Google פנימי
ANDROID-23142203
ANDROID-22278703 נָמוּך 5.0 - 6.0 Google פנימי
CVE-2015-3862 ANDROID-22954006 נָמוּך 5.1 ומטה 2 באוגוסט 2015

תיקונים

  • 5 באוקטובר 2015: פרסום עלון.
  • 7 באוקטובר 2015: העלון עודכן עם הפניות ל-AOSP. הבהרת את הפניות הבאגים עבור CVE-2014-9028.
  • 12 באוקטובר 2015: תודות מעודכנות עבור CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
  • 22 בינואר 2016: תודות מעודכנות עבור CVE-2015-6606.
  • 28 באפריל 2016: נוסף CVE-2015-6603 ותוקן שגיאת הקלדה עם CVE-2014-9028.