פורסם ב -2 בנובמבר 2015
פרסמנו עדכון אבטחה למכשירי Nexus באמצעות עדכון מקומי (OTA) כחלק מתהליך ההפצה החודשי של Android. תמונות הקושחה של נקסוס שוחררו גם לאתר המפתחים של גוגל . בונה LMY48X ואילך ו- Android Marshmallow עם רמת תיקון אבטחה החל מה -1 בנובמבר 2015 ואילך מטפלים בבעיות אלה. לקבלת פרטים נוספים, עיין בסעיף שאלות נפוצות ותשובות .
שותפים קיבלו הודעה על נושאים אלה ב- 5 באוקטובר 2015 או קודם לכן. תיקוני קוד המקור לבעיות אלה ישוחררו למאגר ה- Android Open Source Project (AOSP) במהלך 48 השעות הקרובות. אנו נעדכן את העלון הזה עם קישורי AOSP כאשר הם זמינים.
החמורה מבין הבעיות הללו היא פגיעות אבטחה קריטית שעלולה לאפשר ביצוע קוד מרחוק במכשיר מושפע באמצעות מספר שיטות כגון דואר אלקטרוני, גלישה באינטרנט ו- MMS בעת עיבוד קבצי מדיה. הערכת החומרה מבוססת על ההשפעה שיש לנצל את הפגיעות במכשיר מושפע, בהנחה שהפלטפורמה והפחתת השירות מושבתים למטרות פיתוח או אם עוקפים אותם בהצלחה.
לא היו לנו דיווחים על ניצול פעיל של לקוחות של בעיות אלה שדווחו לאחרונה. עיין בסעיף הקלות לפרטים אודות הגנות פלטפורמת האבטחה של Android והגנות שירות כגון SafetyNet, המשפרות את האבטחה של פלטפורמת Android. אנו ממליצים לכל הלקוחות לקבל עדכונים אלה למכשירים שלהם.
מקלות
זהו סיכום ההקלות המסופקות על ידי פלטפורמת האבטחה של Android והגנות שירות כגון SafetyNet. יכולות אלה מקטינות את הסבירות שניתן לנצל בהצלחה פגיעויות אבטחה באנדרואיד.
- ניצול לבעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות החדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה האחרונה של Android, במידת האפשר.
- צוות האבטחה של Android עוקב באופן פעיל אחר התעללות באמצעות Verify Apps ו- SafetyNet אשר יזהירו מפני יישומים שעלולים להזיק. כלי השתרשות מכשירים אסורים ב- Google Play. כדי להגן על משתמשים שמתקינים יישומים מחוץ ל- Google Play, Verify Apps מופעלת כברירת מחדל ותזהיר משתמשים מפני יישומי שורש ידועים. אמת את אפליקציות מנסה לזהות ולחסום התקנה של יישומים זדוניים ידועים המנצלים פגיעות של הסלמת הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע על כך למשתמש וינסה להסיר יישומים כאלה.
- לפי הצורך, יישומי Google Hangouts ו- Messenger אינם מעבירים מדיה אוטומטית לתהליכים כגון מדיה שרת.
תודות
אנו רוצים להודות לחוקרים אלה על תרומתם:
- אבישק אריה, אוליבר צ'אנג ומרטין ברבלה, צוות האבטחה של Google Chrome: CVE-2015-6608
- דניאל מיקי (daniel.micay@copperhead.co) ב- Copperhead Security: CVE-2015-6609
- דונגקוואן קים ממעבדת אבטחת המערכת, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
- הונגיל קים ממעבדת אבטחת המערכת, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
- ג'ק טאנג ממגמת מיקרו (@ jacktang310): CVE-2015-6611
- פיטר פיי ממגמת מיקרו: CVE-2015-6611
- נטלי סילבנוביץ 'מ- Google Project Zero: CVE-2015-6608
- קידן הוא (@flanker_hqd) וון שו (@ antlr7) מ- KeenTeam (@ K33nTeam, http://k33nteam.org/): CVE-2015-6612
- גואנג גונג (龚 广) ( @oldfresher , higongguang@gmail.com) של Qihoo 360 Technology CC o.Ltd : CVE-2015-6612
- שבעה שן של טרנד מיקרו: CVE-2015-6610
פרטי פגיעות אבטחה
בסעיפים שלמטה אנו מספקים פרטים על כל אחת מפגיעות האבטחה החלות על רמת התיקון 2015-11-01. יש תיאור של הבעיה, נימוק חומרה וטבלה עם CVE, באג משויך, חומרה, גרסאות מושפעות ותאריך המדווח. היכן שהוא זמין, קישרנו את שינוי ה- AOSP שעסק בבעיה לזהות הבאג. כאשר שינויים מרובים מתייחסים לבאג יחיד, הפניות נוספות ל- AOSP מקושרות למספרים בעקבות מזהה הבאג.
פגיעויות של ביצוע קוד מרחוק במדיה שרת
במהלך עיבוד קבצי מדיה ונתונים של קובץ בעל מבנה מיוחד, פגיעות במדיסרת שרת עשויה לאפשר לתוקף לגרום לשחיתות בזיכרון ולביצוע קוד מרחוק כתהליך מדיה שרת.
הפונקציונליות המושפעת ניתנת כחלק מרכזי במערכת ההפעלה ויש מספר יישומים המאפשרים להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת דפדפן של מדיה.
נושא זה מדורג כחומרה קריטית עקב האפשרות לביצוע קוד מרחוק בהקשר לשירות המדיה. לשירות מדיה השרת יש גישה לזרמי שמע ווידאו וכן גישה להרשאות שאפליקציות צד שלישי אינן יכולות לגשת אליהן בדרך כלל.
CVE | באגים עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
---|---|---|---|---|
CVE-2015-6608 | ANDROID-19779574 | קריטי | 5.0, 5.1, 6.0 | גוגל פנימי |
ANDROID-23680780 | ||||
ANDROID-23876444 | ||||
ANDROID-23881715 | קריטי | 4.4, 5.0, 5.1, 6.0 | גוגל פנימי | |
ANDROID-14388161 | קריטי | 4.4 ו- 5.1 | גוגל פנימי | |
ANDROID-23658148 | קריטי | 5.0, 5.1, 6.0 | גוגל פנימי |
פגיעות של ביצוע קוד מרחוק ב- libutils
ניתן לנצל פגיעות ב- libutils, ספרייה כללית, במהלך עיבוד קובצי שמע. פגיעות זו עשויה לאפשר לתוקף במהלך עיבוד של קובץ בעל מבנה מיוחד, לגרום לשחיתות בזיכרון ולביצוע קוד מרחוק.
הפונקציונליות המושפעת ניתנת כ- API ויש מספר יישומים המאפשרים להגיע אליה באמצעות תוכן מרוחק, בעיקר MMS והשמעת דפדפן של מדיה. נושא זה מדורג כבעיית חומרה קריטית בשל האפשרות לביצוע קוד מרחוק בשירות מועדף. לרכיב המושפע יש גישה לזרמי שמע ווידאו וכן גישה להרשאות שאפליקציות צד שלישי אינן יכולות לגשת אליהן בדרך כלל.
CVE | באגים עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
---|---|---|---|---|
CVE-2015-6609 | ANDROID-22953624 [ 2 ] | קריטי | 6.0 ומטה | 3 באוגוסט 2015 |
פגיעות של גילוי מידע במדיה שרת
קיימות פגיעות של גילוי מידע במדיסרת שיכולות לאפשר עקיפת אמצעי אבטחה כדי להגביר את הקושי של תוקפים לנצל את הפלטפורמה.
CVE | באגים עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
---|---|---|---|---|
CVE-2015-6611 | ANDROID-23905951 [ 2 ] [ 3 ] | גָבוֹהַ | 6.0 ומטה | 07 בספטמבר 2015 |
ANDROID-23912202 * | ||||
ANDROID-23953967 * | ||||
ANDROID-23696300 | גָבוֹהַ | 6.0 ומטה | 31 באוגוסט 2015 | |
ANDROID-23600291 | גָבוֹהַ | 6.0 ומטה | 26 באוגוסט 2015 | |
ANDROID-23756261 [ 2 ] | גָבוֹהַ | 6.0 ומטה | 26 באוגוסט 2015 | |
ANDROID-23540907 [ 2 ] | גָבוֹהַ | 5.1 ומטה | 25 באוגוסט 2015 | |
ANDROID-23541506 | גָבוֹהַ | 6.0 ומטה | 25 באוגוסט 2015 | |
ANDROID-23284974 * | ||||
ANDROID-23542351 * | ||||
ANDROID-23542352 * | ||||
ANDROID-23515142 | גָבוֹהַ | 5.1 ומטה | 19 באוגוסט 2015 |
* התיקון של באג זה נכלל בקישורי AOSP אחרים שסופקו.
העלאת הפגיעות בפריבילגיות בסחר בליבסטאות
ישנו פגיעות של הרשאות ברמת libstagefright שיכולה לאפשר ליישום זדוני מקומי לגרום לשחיתות בזיכרון ולביצוע קוד שרירותי בהקשר של שירות המדיום. אמנם בדרך כלל נושא זה ידורג כקריטי, אך הערכנו נושא זה כחומרה גבוהה בגלל סבירות נמוכה יותר שניתן יהיה לנצל אותו מרחוק.
CVE | באגים עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
---|---|---|---|---|
CVE-2015-6610 | ANDROID-23707088 [ 2 ] | גָבוֹהַ | 6.0 ומטה | 19 באוגוסט 2015 |
העלאת הפגיעות בזכויות יתר בליבדיה
קיימת פגיעות ב- libmedia שיכולה לאפשר ליישום זדוני מקומי לבצע קוד שרירותי בהקשר של שירות השרת המדיה. נושא זה מדורג כחומרה גבוהה מכיוון שניתן להשתמש בו לגישה להרשאות שאינן נגישות ישירות ליישום צד שלישי.
CVE | באגים עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
---|---|---|---|---|
CVE-2015-6612 | ANDROID-23540426 | גָבוֹהַ | 6.0 ומטה | 23 באוגוסט 2015 |
העלאת פגיעות הרשאות ב- Bluetooth
קיימת פגיעות ב- Bluetooth שיכולה לאפשר ליישום מקומי לשלוח פקודות ליציאת איתור באגים בהאזנה במכשיר. בעיה זו מדורגת בדרגת חומרה גבוהה, כי זה יכול לשמש כדי להשיג יכולות גבוהות, כגון חתימה או SignatureOrSystem הרשאות הרשאות, אשר אינן נגישים יישום צד שלישי.
CVE | באגים עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
---|---|---|---|---|
CVE-2015-6613 | ANDROID-24371736 | גָבוֹהַ | 6.0 | גוגל פנימי |
העלאת פגיעות הזכויות בטלפוניה
פגיעות ברכיב הטלפוניה שיכולה לאפשר ליישום זדוני מקומי להעביר נתונים לא מורשים לממשקי הרשת המוגבלים, מה שעלול להשפיע על חיובי הנתונים. זה יכול גם למנוע מהתקן לקבל שיחות וכן לאפשר לתוקף לשלוט בהגדרות ההשתקה של השיחות. נושא זה מדורג כחומרה בינונית מכיוון שניתן להשתמש בו בכדי להשיג הרשאות " מסוכנות " בצורה לא נכונה.
CVE | באגים עם קישורי AOSP | חוּמרָה | גרסאות מושפעות | תאריך דיווח |
---|---|---|---|---|
CVE-2015-6614 | ANDROID-21900139 [ 2 ] [ 3 ] | לְמַתֵן | 5.0, 5.1 | 8 ביוני 2015 |
שאלות ותשובות נפוצות
חלק זה יסקור תשובות לשאלות נפוצות שעשויות להתרחש לאחר קריאת העלון הזה.
1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן לטפל בבעיות אלה?
בונה LMY48X ואילך ו- Android Marshmallow עם רמת תיקון אבטחה החל מה -1 בנובמבר 2015 ואילך מטפלים בבעיות אלה. עיין בתיעוד של Nexus להוראות כיצד לבדוק את רמת תיקון האבטחה. יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל: [ro.build.version.security_patch]: [2015-11-01]
תיקונים
- 02 בנובמבר 2015: פורסם במקור