עלון אבטחה של נקסוס - נובמבר 2015

פורסם ב -2 בנובמבר 2015

פרסמנו עדכון אבטחה למכשירי Nexus באמצעות עדכון מקומי (OTA) כחלק מתהליך ההפצה החודשי של Android. תמונות הקושחה של נקסוס שוחררו גם לאתר המפתחים של גוגל . בונה LMY48X ואילך ו- Android Marshmallow עם רמת תיקון אבטחה החל מה -1 בנובמבר 2015 ואילך מטפלים בבעיות אלה. לקבלת פרטים נוספים, עיין בסעיף שאלות נפוצות ותשובות .

שותפים קיבלו הודעה על נושאים אלה ב- 5 באוקטובר 2015 או קודם לכן. תיקוני קוד המקור לבעיות אלה ישוחררו למאגר ה- Android Open Source Project (AOSP) במהלך 48 השעות הקרובות. אנו נעדכן את העלון הזה עם קישורי AOSP כאשר הם זמינים.

החמורה מבין הבעיות הללו היא פגיעות אבטחה קריטית שעלולה לאפשר ביצוע קוד מרחוק במכשיר מושפע באמצעות מספר שיטות כגון דואר אלקטרוני, גלישה באינטרנט ו- MMS בעת עיבוד קבצי מדיה. הערכת החומרה מבוססת על ההשפעה שיש לנצל את הפגיעות במכשיר מושפע, בהנחה שהפלטפורמה והפחתת השירות מושבתים למטרות פיתוח או אם עוקפים אותם בהצלחה.

לא היו לנו דיווחים על ניצול פעיל של לקוחות של בעיות אלה שדווחו לאחרונה. עיין בסעיף הקלות לפרטים אודות הגנות פלטפורמת האבטחה של Android והגנות שירות כגון SafetyNet, המשפרות את האבטחה של פלטפורמת Android. אנו ממליצים לכל הלקוחות לקבל עדכונים אלה למכשירים שלהם.

מקלות

זהו סיכום ההקלות המסופקות על ידי פלטפורמת האבטחה של Android והגנות שירות כגון SafetyNet. יכולות אלה מקטינות את הסבירות שניתן לנצל בהצלחה פגיעויות אבטחה באנדרואיד.

  • ניצול לבעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות החדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה האחרונה של Android, במידת האפשר.
  • צוות האבטחה של Android עוקב באופן פעיל אחר התעללות באמצעות Verify Apps ו- SafetyNet אשר יזהירו מפני יישומים שעלולים להזיק. כלי השתרשות מכשירים אסורים ב- Google Play. כדי להגן על משתמשים שמתקינים יישומים מחוץ ל- Google Play, Verify Apps מופעלת כברירת מחדל ותזהיר משתמשים מפני יישומי שורש ידועים. אמת את אפליקציות מנסה לזהות ולחסום התקנה של יישומים זדוניים ידועים המנצלים פגיעות של הסלמת הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע על כך למשתמש וינסה להסיר יישומים כאלה.
  • לפי הצורך, יישומי Google Hangouts ו- Messenger אינם מעבירים מדיה אוטומטית לתהליכים כגון מדיה שרת.

תודות

אנו רוצים להודות לחוקרים אלה על תרומתם:

  • אבישק אריה, אוליבר צ'אנג ומרטין ברבלה, צוות האבטחה של Google Chrome: CVE-2015-6608
  • דניאל מיקי (daniel.micay@copperhead.co) ב- Copperhead Security: CVE-2015-6609
  • דונגקוואן קים ממעבדת אבטחת המערכת, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
  • הונגיל קים ממעבדת אבטחת המערכת, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
  • ג'ק טאנג ממגמת מיקרו (@ jacktang310): CVE-2015-6611
  • פיטר פיי ממגמת מיקרו: CVE-2015-6611
  • נטלי סילבנוביץ 'מ- Google Project Zero: CVE-2015-6608
  • קידן הוא (@flanker_hqd) וון שו (@ antlr7) מ- KeenTeam (@ K33nTeam, http://k33nteam.org/): CVE-2015-6612
  • גואנג גונג (龚 广) ( @oldfresher , higongguang@gmail.com) של Qihoo 360 Technology CC o.Ltd : CVE-2015-6612
  • שבעה שן של טרנד מיקרו: CVE-2015-6610

פרטי פגיעות אבטחה

בסעיפים שלמטה אנו מספקים פרטים על כל אחת מפגיעות האבטחה החלות על רמת התיקון 2015-11-01. יש תיאור של הבעיה, נימוק חומרה וטבלה עם CVE, באג משויך, חומרה, גרסאות מושפעות ותאריך המדווח. היכן שהוא זמין, קישרנו את שינוי ה- AOSP שעסק בבעיה לזהות הבאג. כאשר שינויים מרובים מתייחסים לבאג יחיד, הפניות נוספות ל- AOSP מקושרות למספרים בעקבות מזהה הבאג.

פגיעויות של ביצוע קוד מרחוק במדיה שרת

במהלך עיבוד קבצי מדיה ונתונים של קובץ בעל מבנה מיוחד, פגיעות במדיסרת שרת עשויה לאפשר לתוקף לגרום לשחיתות בזיכרון ולביצוע קוד מרחוק כתהליך מדיה שרת.

הפונקציונליות המושפעת ניתנת כחלק מרכזי במערכת ההפעלה ויש מספר יישומים המאפשרים להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת דפדפן של מדיה.

נושא זה מדורג כחומרה קריטית עקב האפשרות לביצוע קוד מרחוק בהקשר לשירות המדיה. לשירות מדיה השרת יש גישה לזרמי שמע ווידאו וכן גישה להרשאות שאפליקציות צד שלישי אינן יכולות לגשת אליהן בדרך כלל.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מושפעות תאריך דיווח
CVE-2015-6608 ANDROID-19779574 קריטי 5.0, 5.1, 6.0 גוגל פנימי
ANDROID-23680780
ANDROID-23876444
ANDROID-23881715 קריטי 4.4, 5.0, 5.1, 6.0 גוגל פנימי
ANDROID-14388161 קריטי 4.4 ו- 5.1 גוגל פנימי
ANDROID-23658148 קריטי 5.0, 5.1, 6.0 גוגל פנימי

פגיעות של ביצוע קוד מרחוק ב- libutils

ניתן לנצל פגיעות ב- libutils, ספרייה כללית, במהלך עיבוד קובצי שמע. פגיעות זו עשויה לאפשר לתוקף במהלך עיבוד של קובץ בעל מבנה מיוחד, לגרום לשחיתות בזיכרון ולביצוע קוד מרחוק.

הפונקציונליות המושפעת ניתנת כ- API ויש מספר יישומים המאפשרים להגיע אליה באמצעות תוכן מרוחק, בעיקר MMS והשמעת דפדפן של מדיה. נושא זה מדורג כבעיית חומרה קריטית בשל האפשרות לביצוע קוד מרחוק בשירות מועדף. לרכיב המושפע יש גישה לזרמי שמע ווידאו וכן גישה להרשאות שאפליקציות צד שלישי אינן יכולות לגשת אליהן בדרך כלל.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מושפעות תאריך דיווח
CVE-2015-6609 ANDROID-22953624 [ 2 ] קריטי 6.0 ומטה 3 באוגוסט 2015

פגיעות של גילוי מידע במדיה שרת

קיימות פגיעות של גילוי מידע במדיסרת שיכולות לאפשר עקיפת אמצעי אבטחה כדי להגביר את הקושי של תוקפים לנצל את הפלטפורמה.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מושפעות תאריך דיווח
CVE-2015-6611 ANDROID-23905951 [ 2 ] [ 3 ] גָבוֹהַ 6.0 ומטה 07 בספטמבר 2015
ANDROID-23912202 *
ANDROID-23953967 *
ANDROID-23696300 גָבוֹהַ 6.0 ומטה 31 באוגוסט 2015
ANDROID-23600291 גָבוֹהַ 6.0 ומטה 26 באוגוסט 2015
ANDROID-23756261 [ 2 ] גָבוֹהַ 6.0 ומטה 26 באוגוסט 2015
ANDROID-23540907 [ 2 ] גָבוֹהַ 5.1 ומטה 25 באוגוסט 2015
ANDROID-23541506 גָבוֹהַ 6.0 ומטה 25 באוגוסט 2015
ANDROID-23284974 *
ANDROID-23542351 *
ANDROID-23542352 *
ANDROID-23515142 גָבוֹהַ 5.1 ומטה 19 באוגוסט 2015

* התיקון של באג זה נכלל בקישורי AOSP אחרים שסופקו.

העלאת הפגיעות בפריבילגיות בסחר בליבסטאות

ישנו פגיעות של הרשאות ברמת libstagefright שיכולה לאפשר ליישום זדוני מקומי לגרום לשחיתות בזיכרון ולביצוע קוד שרירותי בהקשר של שירות המדיום. אמנם בדרך כלל נושא זה ידורג כקריטי, אך הערכנו נושא זה כחומרה גבוהה בגלל סבירות נמוכה יותר שניתן יהיה לנצל אותו מרחוק.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מושפעות תאריך דיווח
CVE-2015-6610 ANDROID-23707088 [ 2 ] גָבוֹהַ 6.0 ומטה 19 באוגוסט 2015

העלאת הפגיעות בזכויות יתר בליבדיה

קיימת פגיעות ב- libmedia שיכולה לאפשר ליישום זדוני מקומי לבצע קוד שרירותי בהקשר של שירות השרת המדיה. נושא זה מדורג כחומרה גבוהה מכיוון שניתן להשתמש בו לגישה להרשאות שאינן נגישות ישירות ליישום צד שלישי.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מושפעות תאריך דיווח
CVE-2015-6612 ANDROID-23540426 גָבוֹהַ 6.0 ומטה 23 באוגוסט 2015

העלאת פגיעות הרשאות ב- Bluetooth

קיימת פגיעות ב- Bluetooth שיכולה לאפשר ליישום מקומי לשלוח פקודות ליציאת איתור באגים בהאזנה במכשיר. בעיה זו מדורגת בדרגת חומרה גבוהה, כי זה יכול לשמש כדי להשיג יכולות גבוהות, כגון חתימה או SignatureOrSystem הרשאות הרשאות, אשר אינן נגישים יישום צד שלישי.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מושפעות תאריך דיווח
CVE-2015-6613 ANDROID-24371736 גָבוֹהַ 6.0 גוגל פנימי

העלאת פגיעות הזכויות בטלפוניה

פגיעות ברכיב הטלפוניה שיכולה לאפשר ליישום זדוני מקומי להעביר נתונים לא מורשים לממשקי הרשת המוגבלים, מה שעלול להשפיע על חיובי הנתונים. זה יכול גם למנוע מהתקן לקבל שיחות וכן לאפשר לתוקף לשלוט בהגדרות ההשתקה של השיחות. נושא זה מדורג כחומרה בינונית מכיוון שניתן להשתמש בו בכדי להשיג הרשאות " מסוכנות " בצורה לא נכונה.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מושפעות תאריך דיווח
CVE-2015-6614 ANDROID-21900139 [ 2 ] [ 3 ] לְמַתֵן 5.0, 5.1 8 ביוני 2015

שאלות ותשובות נפוצות

חלק זה יסקור תשובות לשאלות נפוצות שעשויות להתרחש לאחר קריאת העלון הזה.

1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן לטפל בבעיות אלה?

בונה LMY48X ואילך ו- Android Marshmallow עם רמת תיקון אבטחה החל מה -1 בנובמבר 2015 ואילך מטפלים בבעיות אלה. עיין בתיעוד של Nexus להוראות כיצד לבדוק את רמת תיקון האבטחה. יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל: [ro.build.version.security_patch]: [2015-11-01]

תיקונים

  • 02 בנובמבר 2015: פורסם במקור