תאריך פרסום: 2 בנובמבר 2015
השקנו עדכון אבטחה למכשירי Nexus באמצעות עדכון אוויר (OTA) כחלק מתהליך ההשקה החודשי של עדכוני האבטחה של Android. קובצי האימג' של קושחת Nexus פורסמו גם באתר Google Developers. הגרסאות LMY48X ואילך ו-Android Marshmallow עם רמת תיקון האבטחה מ-1 בנובמבר 2015 ואילך פותרות את הבעיות האלה. פרטים נוספים זמינים בקטע שאלות נפוצות ותשובות.
הבעיות האלה דווחו לשותפים ב-5 באוקטובר 2015 או לפני כן. תיקוני קוד המקור לבעיות האלה יפורסמו במאגר Android Open Source Project (AOSP) במהלך 48 השעות הקרובות. נעדכן את העדכון הזה עם הקישורים ל-AOSP כשהם יהיו זמינים.
הבעיה החמורה ביותר היא נקודת חולשה קריטית באבטחה שעלולה לאפשר ביצוע קוד מרחוק במכשיר מושפע באמצעות כמה שיטות, כמו אימייל, גלישה באינטרנט והודעות MMS במהלך עיבוד קובצי מדיה. הערכת החומרה מבוססת על ההשפעה שעלולה להיות לניצול נקודת החולשה על מכשיר מושפע, בהנחה שהאמצעי למזעור הפגיעות בפלטפורמה ובשירות מושבתים למטרות פיתוח או אם הם עוקפים בהצלחה.
לא קיבלנו דיווחים על ניצול פעיל של הבעיות החדשות האלה על ידי לקוחות. בקטע הקלות מפורטים אמצעי ההגנה של פלטפורמת האבטחה של Android ואמצעי ההגנה של השירותים, כמו SafetyNet, שמשפרים את האבטחה של פלטפורמת Android. אנחנו ממליצים לכל הלקוחות לאשר את העדכונים האלה במכשירים שלהם.
פעולות מיטיגציה
זהו סיכום של אמצעי ההפחתה שסופקו על ידי פלטפורמת האבטחה של Android והגנות על שירותים כמו SafetyNet. היכולות האלה מצמצמות את הסבירות לניצול נקודות חולשה באבטחה ב-Android.
- שיפורים בגרסאות חדשות יותר של פלטפורמת Android מקשים על ניצול של בעיות רבות ב-Android. אנחנו ממליצים לכל המשתמשים לעדכן לגרסה האחרונה של Android, אם אפשר.
- צוות האבטחה של Android עוקב באופן פעיל אחר ניצול לרעה באמצעות Verify Apps ו-SafetyNet, שיזהירו מפני אפליקציות שעלולות להזיק ועומדות להתקנה. אסור לפרסם כלים להסרת האבטחה (rooting) של מכשירים ב-Google Play. כדי להגן על משתמשים שמתקינים אפליקציות ממקורות מחוץ ל-Google Play, התכונה 'אימות אפליקציות' מופעלת כברירת מחדל ומזהירה משתמשים מפני אפליקציות ידועות לצורך קבלת הרשאת root. Verify Apps מנסה לזהות ולחסום התקנה של אפליקציות זדוניות ידועות שמנצלות נקודת חולשה של הסלמת הרשאות. אם אפליקציה כזו כבר הותקנה, התכונה 'אימות אפליקציות' תודיע למשתמש ותנסה להסיר את האפליקציות האלה.
- בהתאם לצורך, אפליקציות Google Hangouts ו-Messenger לא מעבירות מדיה באופן אוטומטי לתהליכים כמו mediaserver.
תודות
אנחנו רוצים להודות לחוקרים הבאים על התרומות שלהם:
- אבהישק אריה, אוליבר צ'אנג ומרטין ברבלה מצוות האבטחה של Google Chrome: CVE-2015-6608
- דניאל מיקי (daniel.micay@copperhead.co) מ-Copperhead Security: CVE-2015-6609
- Dongkwan Kim מ-System Security Lab, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
- Hongil Kim ממעבדת אבטחת מערכות, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
- ג'ק טאנג (Jack Tang) מ-Trend Micro (@jacktang310): CVE-2015-6611
- Peter Pi מ-Trend Micro: CVE-2015-6611
- נטלי סילבאנוביץ' (Natalie Silvanovich) מ-Project Zero של Google: CVE-2015-6608
- Qidan He (@flanker_hqd) ו-Wen Xu (@antlr7) מ-KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
- Guang Gong (龚广) (@oldfresher, higongguang@gmail.com) מ-Qihoo 360 Technology CC Ltd: CVE-2015-6612
- Seven Shen מ-Trend Micro: CVE-2015-6610
פרטי נקודת החולשה באבטחה
בקטעים הבאים מפורטים פרטים על כל נקודת החולשה באבטחה שחלה על רמת התיקון 2015-11-01. הדיווח כולל תיאור של הבעיה, הסבר על מידת החומרה וטבלה עם מספר ה-CVE, הבאג המשויך, מידת החומרה, הגרסאות המושפעות והתאריך שבו הבעיה דווחה. במקרים שבהם יש שינוי ב-AOSP שפותר את הבעיה, קישרנו אותו למזהה הבאג. כשיש כמה שינויים שקשורים לבאג אחד, הפניות נוספות ל-AOSP מקושרות למספרים שמופיעים אחרי מזהה הבאג.
נקודות חולשה של ביצוע קוד מרחוק ב-Mediaserver
במהלך עיבוד נתונים וקובצי מדיה של קובץ שנוצר במיוחד, נקודות חולשה ב-MediaServer עלולות לאפשר לתוקף לגרום לנזק בזיכרון ולהריץ קוד מרחוק בתהליך של MediaServer.
הפונקציונליות המושפעת היא חלק מרכזי במערכת ההפעלה, ויש כמה אפליקציות שמאפשרות לגשת אליה באמצעות תוכן מרחוק, בעיקר MMS והפעלת מדיה בדפדפן.
רמת החומרה של הבעיה הזו היא קריטית בגלל האפשרות להריץ קוד מרחוק בהקשר של שירות mediaserver. לשירות mediaserver יש גישה להזרמות אודיו ווידאו, וגם גישה להרשאות שאפליקציות צד שלישי לא יכולות לגשת אליהן בדרך כלל.
| CVE | באגים בקישורים ל-AOSP | מידת החומרה | גרסאות שהושפעו | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6608 | ANDROID-19779574 | קריטי | 5.0, 5.1, 6.0 | Google פנימי |
| ANDROID-23680780 | ||||
| ANDROID-23876444 | ||||
| ANDROID-23881715 | קריטי | 4.4, 5.0, 5.1, 6.0 | Google פנימי | |
| ANDROID-14388161 | קריטי | 4.4 ו-5.1 | Google פנימי | |
| ANDROID-23658148 | קריטי | 5.0, 5.1, 6.0 | Google פנימי |
נקודת חולשה לביצוע קוד מרחוק ב-libutils
אפשר לנצל נקודת חולשה ב-libutils, ספרייה גנרית, במהלך עיבוד קובצי אודיו. נקודת החולשה הזו עלולה לאפשר לתוקף, במהלך עיבוד של קובץ שנוצר במיוחד, לגרום לנזק בזיכרון ולהרצת קוד מרחוק.
הפונקציונליות המושפעת מוצגת כ-API, ויש כמה אפליקציות שמאפשרות לגשת אליה באמצעות תוכן מרחוק, בעיקר MMS והפעלת מדיה בדפדפן. הבעיה הזו סווגה ברמת סיכון קריטית בגלל האפשרות להריץ קוד מרחוק בשירות בעל הרשאות. לרכיב המושפע יש גישה להזרמות אודיו ווידאו, וגם גישה להרשאות שאפליקציות צד שלישי לא יכולות לגשת אליהן בדרך כלל.
| CVE | באגים בקישורים ל-AOSP | מידת החומרה | גרסאות שהושפעו | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6609 | ANDROID-22953624 [2] | קריטי | 6.0 ומטה | 3 באוגוסט 2015 |
נקודות חולשה של חשיפת מידע ב-Mediaserver
יש נקודות חולשה של חשיפת מידע ב-mediaserver שיכולות לאפשר עקיפה של אמצעי האבטחה שנועדו להקשות על תוקפים לנצל לרעה את הפלטפורמה.
| CVE | באגים בקישורים ל-AOSP | מידת החומרה | גרסאות שהושפעו | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6611 | ANDROID-23905951 [2] [3] | רחב | 6.0 ומטה | 7 בספטמבר 2015 |
| ANDROID-23912202* | ||||
| ANDROID-23953967* | ||||
| ANDROID-23696300 | רחב | 6.0 ומטה | 31 באוגוסט 2015 | |
| ANDROID-23600291 | רחב | 6.0 ומטה | 26 באוגוסט 2015 | |
| ANDROID-23756261 [2] | רחב | 6.0 ומטה | 26 באוגוסט 2015 | |
| ANDROID-23540907 [2] | רחב | 5.1 ומטה | 25 באוגוסט 2015 | |
| ANDROID-23541506 | רחב | 6.0 ומטה | 25 באוגוסט 2015 | |
| ANDROID-23284974* | ||||
| ANDROID-23542351* | ||||
| ANDROID-23542352* | ||||
| ANDROID-23515142 | רחב | 5.1 ומטה | 19 באוגוסט 2015 |
* התיקון לבאג הזה נכלל בקישורים אחרים שסופקו ל-AOSP.
נקודת חולשה מסוג הסלמת הרשאות (privilege escalation) ב-libstagefright
יש נקודת חולשה של הסלמת הרשאות ב-libstagefright שעלולה לאפשר לאפליקציה זדונית מקומית לגרום לנזק בזיכרון ולביצוע קוד שרירותי בהקשר של שירות mediaserver. בדרך כלל הבעיה הזו מסווגת כקריטית, אבל הערכנו אותה כרמת סיכון גבוהה כי הסבירות לניצול לרעה מרחוק נמוכה יותר.
| CVE | באגים בקישורים ל-AOSP | מידת החומרה | גרסאות שהושפעו | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6610 | ANDROID-23707088 [2] | רחב | 6.0 ומטה | 19 באוגוסט 2015 |
נקודת חולשה מסוג הסלמת הרשאות (privilege escalation) ב-libmedia
יש נקודת חולשה ב-libmedia שעלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של שירות mediaserver. רמת החומרה של הבעיה הזו היא גבוהה כי אפשר להשתמש בה כדי לגשת להרשאות שאפליקציה של צד שלישי לא יכולה לגשת אליהן ישירות.
| CVE | באגים בקישורים ל-AOSP | מידת החומרה | גרסאות שהושפעו | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6612 | ANDROID-23540426 | רחב | 6.0 ומטה | 23 באוגוסט 2015 |
נקודת חולשה של הסלמת הרשאות ב-Bluetooth
יש נקודת חולשה ב-Bluetooth שעלולה לאפשר לאפליקציה מקומית לשלוח פקודות ליציאת ניפוי באגים במצב הקשבה במכשיר. רמת החומרה של הבעיה הזו היא גבוהה כי אפשר להשתמש בה כדי לקבל יכולות מורחבות, כמו הרשאות הרשאה של Signature או SignatureOrSystem, שאפליקציה של צד שלישי לא יכולה לגשת אליהן.
| CVE | באגים בקישורים ל-AOSP | מידת החומרה | גרסאות שהושפעו | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6613 | ANDROID-24371736 | רחב | 6.0 | Google פנימי |
נקודת חולשה של הסלמת הרשאות (privilege escalation) בטלפוניה
נקודת חולשה ברכיב הטלפוני שעלולה לאפשר לאפליקציה זדונית מקומית להעביר נתונים לא מורשים לממשקי הרשת המוגבלים, ויכולה להשפיע על חיובים על נתונים. הוא עלול גם למנוע מהמכשיר לקבל שיחות, ולאפשר לתוקף לשלוט בהגדרות ההשתקה של השיחות. רמת החומרה של הבעיה הזו היא בינונית כי אפשר להשתמש בה כדי לקבל הרשאות מסוכנות באופן לא תקין.
| CVE | באגים בקישורים ל-AOSP | מידת החומרה | גרסאות שהושפעו | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6614 | ANDROID-21900139 [2] [3] | בינונית | 5.0, 5.1 | 8 ביוני 2015 |
שאלות נפוצות ותשובות
בקטע הזה נספק תשובות לשאלות נפוצות שעשויות להתעורר אחרי קריאת העדכון.
1. איך אפשר לדעת אם המכשיר מעודכן כדי לטפל בבעיות האלה?
הגרסאות LMY48X ואילך ו-Android Marshmallow עם רמת תיקון האבטחה מ-1 בנובמבר 2015 ואילך פותרות את הבעיות האלה. הוראות לבדיקה של רמת תיקון האבטחה מפורטות במסמכי העזרה של Nexus. יצרני המכשירים שכוללים את העדכונים האלה צריכים להגדיר את רמת מחרוזת התיקון כך: [ro.build.version.security_patch]:[2015-11-01]
גרסאות קודמות
- 2 בנובמבר 2015: תאריך הפרסום המקורי