Google berkomitmen untuk mendorong terwujudnya keadilan ras bagi komunitas Kulit Hitam. Lihat caranya.

Buletin Keamanan Nexus - November 2015

Dipublikasikan pada 02 November 2015

Kami telah merilis pembaruan keamanan untuk perangkat Nexus melalui pembaruan over-the-air (OTA) sebagai bagian dari proses Rilis Bulanan Buletin Keamanan Android kami. Gambar firmware Nexus juga telah dirilis ke situs Pengembang Google . Membangun LMY48X atau yang lebih baru dan Android Marshmallow dengan Tingkat Patch Keamanan 1 November 2015 atau yang lebih baru untuk mengatasi masalah ini. Lihat bagian Pertanyaan dan Jawaban Umum untuk lebih jelasnya.

Mitra diberi tahu tentang masalah ini pada 5 Oktober 2015 atau lebih awal. Patch kode sumber untuk masalah ini akan dirilis ke repositori Android Open Source Project (AOSP) selama 48 jam ke depan. Kami akan merevisi buletin ini dengan tautan AOSP jika tersedia.

Masalah yang paling parah dari masalah ini adalah kerentanan keamanan kritis yang dapat mengaktifkan eksekusi kode jarak jauh pada perangkat yang terpengaruh melalui beberapa metode seperti email, penjelajahan web, dan MMS saat memproses file media. Penilaian tingkat keparahan didasarkan pada efek yang mengeksploitasi kerentanan pada perangkat yang terpengaruh, dengan asumsi platform dan mitigasi layanan dinonaktifkan untuk tujuan pengembangan atau jika berhasil dilewati.

Kami tidak memiliki laporan tentang eksploitasi pelanggan aktif dari masalah yang baru dilaporkan ini. Lihat bagian Mitigasi untuk mengetahui detail tentang perlindungan platform keamanan Android dan perlindungan layanan seperti SafetyNet, yang meningkatkan keamanan platform Android. Kami mendorong semua pelanggan untuk menerima pembaruan ini ke perangkat mereka.

Mitigasi

Ini adalah ringkasan mitigasi yang disediakan oleh platform keamanan Android dan perlindungan layanan seperti SafetyNet. Kemampuan ini mengurangi kemungkinan kerentanan keamanan berhasil dieksploitasi di Android.

  • Eksploitasi untuk banyak masalah di Android menjadi lebih sulit dengan peningkatan di versi platform Android yang lebih baru. Kami mendorong semua pengguna untuk memperbarui ke versi terbaru Android jika memungkinkan.
  • Tim Keamanan Android secara aktif memantau penyalahgunaan dengan Verify Apps dan SafetyNet yang akan memperingatkan tentang aplikasi yang berpotensi berbahaya akan dipasang. Alat rooting perangkat dilarang di dalam Google Play. Untuk melindungi pengguna yang memasang aplikasi dari luar Google Play, Verifikasi Aplikasi diaktifkan secara default dan akan memperingatkan pengguna tentang aplikasi rooting yang diketahui. Verifikasi Aplikasi mencoba mengidentifikasi dan memblokir penginstalan aplikasi berbahaya yang diketahui yang mengeksploitasi kerentanan eskalasi hak istimewa. Jika aplikasi semacam itu telah dipasang, Verifikasi Aplikasi akan memberi tahu pengguna dan mencoba menghapus aplikasi semacam itu.
  • Jika sesuai, aplikasi Google Hangouts dan Messenger tidak secara otomatis meneruskan media ke proses seperti mediaserver.

Ucapan Terima Kasih

Kami ingin berterima kasih kepada para peneliti ini atas kontribusinya:

  • Abhishek Arya, Oliver Chang dan Martin Barbella, Tim Keamanan Google Chrome: CVE-2015-6608
  • Daniel Micay (daniel.micay@copperhead.co) di Copperhead Security: CVE-2015-6609
  • Dongkwan Kim dari Lab Keamanan Sistem, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
  • Hongil Kim dari Lab Keamanan Sistem, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
  • Jack Tang dari Trend Micro (@ jacktang310): CVE-2015-6611
  • Peter Pi dari Trend Micro: CVE-2015-6611
  • Natalie Silvanovich dari Google Project Zero: CVE-2015-6608
  • Qidan He (@flanker_hqd) dan Wen Xu (@ antlr7) dari KeenTeam (@ K33nTeam, http://k33nteam.org/): CVE-2015-6612
  • Guang Gong (龚 广) ( @oldfresher , higongguang@gmail.com) dari Qihoo 360 Technology CC o. Ltd : CVE-2015-6612
  • Seven Shen dari Trend Micro: CVE-2015-6610

Detail Kerentanan Keamanan

Pada bagian di bawah ini, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku pada level patch 2015-11-01. Terdapat deskripsi masalah, alasan keparahan, dan tabel dengan CVE, bug terkait, tingkat keparahan, versi yang terpengaruh, dan tanggal dilaporkan. Jika tersedia, kami telah menautkan perubahan AOSP yang membahas masalah tersebut ke ID bug. Ketika beberapa perubahan terkait dengan satu bug, referensi AOSP tambahan ditautkan ke nomor setelah ID bug.

Kerentanan Eksekusi Kode Jarak Jauh di Mediaserver

Selama file media dan pemrosesan data dari file yang dibuat khusus, kerentanan di mediaserver dapat memungkinkan penyerang menyebabkan kerusakan memori dan eksekusi kode jarak jauh sebagai proses mediaserver.

Fungsionalitas yang terpengaruh disediakan sebagai bagian inti dari sistem operasi dan ada beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media browser.

Masalah ini dinilai sebagai tingkat keparahan kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks layanan mediaserver. Layanan mediaserver memiliki akses ke aliran audio dan video serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.

CVE Bug dengan tautan AOSP Kerasnya Versi yang terpengaruh Tanggal dilaporkan
CVE-2015-6608 ANDROID-19779574 Kritis 5.0, 5.1, 6.0 Google Internal
ANDROID-23680780
ANDROID-23876444
ANDROID-23881715 Kritis 4.4, 5.0, 5.1, 6.0 Google Internal
ANDROID-14388161 Kritis 4.4 dan 5.1 Google Internal
ANDROID-23658148 Kritis 5.0, 5.1, 6.0 Google Internal

Kerentanan Eksekusi Kode Jarak Jauh di libutils

Kerentanan dalam libutils, pustaka generik, dapat dieksploitasi selama pemrosesan file audio. Kerentanan ini memungkinkan penyerang, selama pemrosesan file yang dibuat secara khusus, menyebabkan kerusakan memori dan eksekusi kode jarak jauh.

Fungsionalitas yang terpengaruh disediakan sebagai API dan ada beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media browser. Masalah ini dinilai sebagai masalah keparahan kritis karena kemungkinan eksekusi kode jarak jauh di layanan yang memiliki hak istimewa. Komponen yang terpengaruh memiliki akses ke aliran audio dan video serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.

CVE Bug dengan tautan AOSP Kerasnya Versi yang terpengaruh Tanggal dilaporkan
CVE-2015-6609 ANDROID-22953624 [ 2 ] Kritis 6.0 dan lebih rendah 3 Agustus 2015

Kerentanan Pengungkapan Informasi di Mediaserver

Terdapat kerentanan pengungkapan informasi di mediaserver yang dapat memungkinkan untuk melewati langkah-langkah keamanan untuk meningkatkan kesulitan penyerang dalam mengeksploitasi platform.

CVE Bug dengan tautan AOSP Kerasnya Versi yang terpengaruh Tanggal dilaporkan
CVE-2015-6611 ANDROID-23905951 [ 2 ] [ 3 ] Tinggi 6.0 dan lebih rendah 07 Sep 2015
ANDROID-23912202 *
ANDROID-23953967 *
ANDROID-23696300 Tinggi 6.0 dan lebih rendah 31 Agustus 2015
ANDROID-23600291 Tinggi 6.0 dan lebih rendah 26 Agustus 2015
ANDROID-23756261 [ 2 ] Tinggi 6.0 dan lebih rendah 26 Agustus 2015
ANDROID-23540907 [ 2 ] Tinggi 5.1 dan di bawahnya 25 Agustus 2015
ANDROID-23541506 Tinggi 6.0 dan lebih rendah 25 Agustus 2015
ANDROID-23284974 *
ANDROID-23542351 *
ANDROID-23542352 *
ANDROID-23515142 Tinggi 5.1 dan di bawahnya 19 Agustus 2015

* Tambalan untuk bug ini disertakan dalam tautan AOSP lain yang disediakan.

Peningkatan Kerentanan Hak Istimewa di libstagefright

Ada peningkatan kerentanan hak istimewa di libstagefright yang dapat memungkinkan aplikasi berbahaya lokal menyebabkan kerusakan memori dan eksekusi kode arbitrer dalam konteks layanan mediaserver. Meskipun masalah ini biasanya tergolong Kritis, kami telah menilai masalah ini sebagai Tingkat keseriusan tinggi karena kecil kemungkinannya untuk dieksploitasi dari jarak jauh.

CVE Bug dengan tautan AOSP Kerasnya Versi yang terpengaruh Tanggal dilaporkan
CVE-2015-6610 ANDROID-23707088 [ 2 ] Tinggi 6.0 dan lebih rendah 19 Agustus 2015

Peningkatan Kerentanan Hak Istimewa di libmedia

Terdapat kerentanan di libmedia yang dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks layanan mediaserver. Masalah ini dinilai sebagai Tingkat keseriusan tinggi karena dapat digunakan untuk mengakses hak istimewa yang tidak dapat diakses secara langsung oleh aplikasi pihak ketiga.

CVE Bug dengan tautan AOSP Kerasnya Versi yang terpengaruh Tanggal dilaporkan
CVE-2015-6612 ANDROID-23540426 Tinggi 6.0 dan lebih rendah 23 Agustus 2015

Peningkatan Kerentanan Hak dalam Bluetooth

Ada kerentanan dalam Bluetooth yang memungkinkan aplikasi lokal mengirim perintah ke port debug yang mendengarkan di perangkat. Masalah ini dinilai sebagai Tingkat keparahan tinggi karena dapat digunakan untuk mendapatkan kemampuan yang ditingkatkan, seperti hak istimewa izin Tanda Tangan atau SignatureOrSystem , yang tidak dapat diakses oleh aplikasi pihak ketiga.

CVE Bug dengan tautan AOSP Kerasnya Versi yang terpengaruh Tanggal dilaporkan
CVE-2015-6613 ANDROID-24371736 Tinggi 6.0 Google Internal

Peningkatan Kerentanan Hak Istimewa dalam Telepon

Kerentanan dalam komponen Telefoni yang dapat memungkinkan aplikasi jahat lokal meneruskan data yang tidak sah ke antarmuka jaringan yang dibatasi, berpotensi memengaruhi biaya data. Itu juga dapat mencegah perangkat menerima panggilan serta memungkinkan penyerang untuk mengontrol pengaturan bisu panggilan. Masalah ini dinilai sebagai Tingkat keparahan sedang karena dapat digunakan untuk mendapatkan izin " berbahaya " dengan tidak semestinya.

CVE Bug dengan tautan AOSP Kerasnya Versi yang terpengaruh Tanggal dilaporkan
CVE-2015-6614 ANDROID-21900139 [ 2 ] [ 3 ] Moderat 5.0, 5.1 8 Juni 2015

Pertanyaan dan Jawaban Umum

Bagian ini akan mengulas jawaban atas pertanyaan umum yang mungkin muncul setelah membaca buletin ini.

1. Bagaimana cara mengetahui apakah perangkat saya diperbarui untuk mengatasi masalah ini?

Membangun LMY48X atau yang lebih baru dan Android Marshmallow dengan Tingkat Patch Keamanan 1 November 2015 atau yang lebih baru untuk mengatasi masalah ini. Lihat dokumentasi Nexus untuk instruksi tentang cara memeriksa tingkat tambalan keamanan. Produsen perangkat yang menyertakan pembaruan ini harus menyetel level string patch ke: [ro.build.version.security_patch]: [2015-11-01]

Revisi

  • 02 November 2015: Awalnya Dipublikasikan