Google is committed to advancing racial equity for Black communities. See how.
This page was translated by the Cloud Translation API.
Switch to English

Nexus Security Bulletin - พฤศจิกายน 2015

เผยแพร่เมื่อ 02 พฤศจิกายน 2015

เราได้เปิดตัวการอัปเดตด้านความปลอดภัยสำหรับอุปกรณ์ Nexus ผ่านการอัปเดตแบบ over-the-air (OTA) ซึ่งเป็นส่วนหนึ่งของกระบวนการเผยแพร่รายเดือนของกระดานข่าวความปลอดภัยของ Android อิมเมจเฟิร์มแวร์ Nexus ได้เผยแพร่ไปยัง ไซต์ Google Developer สร้าง LMY48X ขึ้นไปและ Android Marshmallow ที่มีระดับแพตช์ความปลอดภัยตั้งแต่วันที่ 1 พฤศจิกายน 2015 ขึ้นไปเพื่อแก้ไขปัญหาเหล่านี้ ดูส่วน คำถามและคำตอบทั่วไป สำหรับรายละเอียดเพิ่มเติม

พาร์ทเนอร์ได้รับแจ้งเกี่ยวกับปัญหาเหล่านี้ในวันที่ 5 ตุลาคม 2015 หรือก่อนหน้านั้น แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้จะเผยแพร่ในที่เก็บ Android Open Source Project (AOSP) ในอีก 48 ชั่วโมงข้างหน้า เราจะแก้ไขกระดานข่าวสารนี้ด้วยลิงก์ AOSP เมื่อพร้อมใช้งาน

ปัญหาที่รุนแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญซึ่งอาจเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบผ่านหลายวิธีเช่นอีเมลการท่องเว็บและ MMS เมื่อประมวลผลไฟล์สื่อ การ ประเมินความรุนแรง ขึ้นอยู่กับผลกระทบของการใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบโดยสมมติว่าแพลตฟอร์มและการลดการให้บริการถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

เราไม่มีรายงานเกี่ยวกับการแสวงหาผลประโยชน์ของลูกค้าจากปัญหาที่รายงานใหม่เหล่านี้ โปรดดูส่วนการ ลด ขนาดสำหรับรายละเอียดเกี่ยวกับการ ป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการเช่น SafetyNet ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน

Mitigations

นี่คือบทสรุปของการบรรเทาผลกระทบจาก แพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการเช่น SafetyNet ความสามารถเหล่านี้ช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกใช้ประโยชน์บน Android ได้สำเร็จ

  • การแสวงหาประโยชน์จากปัญหาต่างๆบน Android ทำได้ยากขึ้นโดยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android กำลังตรวจสอบการละเมิดด้วย Verify Apps และ SafetyNet ซึ่งจะเตือนเกี่ยวกับการติดตั้งแอปพลิเคชันที่อาจเป็นอันตราย ห้ามใช้เครื่องมือรูทอุปกรณ์ใน Google Play เพื่อปกป้องผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play การยืนยันแอปจะเปิดใช้งานตามค่าเริ่มต้นและจะเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันที่รู้จัก ตรวจสอบว่าแอปพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายซึ่งเป็นที่รู้จักซึ่งใช้ช่องโหว่ในการยกระดับสิทธิ์ หากมีการติดตั้งแอปพลิเคชันดังกล่าวแล้ว Verify Apps จะแจ้งให้ผู้ใช้ทราบและพยายามลบแอปพลิเคชันดังกล่าว
  • ตามความเหมาะสมแอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งผ่านสื่อไปยังกระบวนการต่างๆเช่นสื่อกลางโดยอัตโนมัติ

กิตติกรรมประกาศ

เราขอขอบคุณนักวิจัยเหล่านี้สำหรับผลงานของพวกเขา:

  • Abhishek Arya, Oliver Chang และ Martin Barbella ทีมรักษาความปลอดภัยของ Google Chrome: CVE-2015-6608
  • Daniel Micay (daniel.micay@copperhead.co) ที่ Copperhead Security: CVE-2015-6609
  • Dongkwan Kim จาก System Security Lab, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
  • Hongil Kim จาก System Security Lab, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
  • Jack Tang จาก Trend Micro (@ jacktang310): CVE-2015-6611
  • Peter Pi จาก Trend Micro: CVE-2015-6611
  • Natalie Silvanovich จาก Google Project Zero: CVE-2015-6608
  • Qidan He (@flanker_hqd) และ Wen Xu (@ antlr7) จาก KeenTeam (@ K33nTeam, http://k33nteam.org/): CVE-2015-6612
  • Guang Gong (龚广) ( @oldfresher , higongguang@gmail.com) ของ Qihoo 360 Technology CC o.Ltd : CVE-2015-6612
  • Seven Shen จาก Trend Micro: CVE-2015-6610

รายละเอียดช่องโหว่ด้านความปลอดภัย

ในส่วนด้านล่างเราให้รายละเอียดสำหรับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2015-11-01 มีคำอธิบายของปัญหาเหตุผลความรุนแรงและตารางที่มี CVE ข้อบกพร่องที่เกี่ยวข้องความรุนแรงเวอร์ชันที่ได้รับผลกระทบและวันที่ที่รายงาน หากมีเราได้เชื่อมโยงการเปลี่ยนแปลง AOSP ที่แก้ไขปัญหากับรหัสข้อบกพร่อง เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องเดียวการอ้างอิง AOSP เพิ่มเติมจะเชื่อมโยงกับตัวเลขตามรหัสข้อบกพร่อง

ช่องโหว่การดำเนินการรหัสระยะไกลใน Mediaserver

ในระหว่างไฟล์สื่อและการประมวลผลข้อมูลของไฟล์ที่สร้างขึ้นมาเป็นพิเศษช่องโหว่ในสื่อกลางอาจเปิดโอกาสให้ผู้โจมตีทำให้หน่วยความจำเสียหายและการเรียกใช้รหัสจากระยะไกลเป็นกระบวนการไกล่เกลี่ย

ฟังก์ชันการทำงานที่ได้รับผลกระทบจัดให้เป็นส่วนหลักของระบบปฏิบัติการและมีแอปพลิเคชั่นหลายตัวที่อนุญาตให้เข้าถึงเนื้อหาระยะไกลโดยเฉพาะอย่างยิ่ง MMS และการเล่นสื่อบนเบราว์เซอร์

ปัญหานี้ได้รับการจัดอันดับให้เป็นความรุนแรงที่สำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของบริการสื่อกลาง บริการสื่อกลางสามารถเข้าถึงสตรีมเสียงและวิดีโอตลอดจนการเข้าถึงสิทธิพิเศษที่แอปของบุคคลที่สามไม่สามารถเข้าถึงได้ตามปกติ

CVE ข้อบกพร่องพร้อมลิงก์ AOSP ความรุนแรง เวอร์ชันที่ได้รับผลกระทบ วันที่รายงาน
CVE-2015-6608 Android-19779574 สำคัญ 5.0, 5.1, 6.0 ภายใน Google
Android-23680780
Android-23876444
Android-23881715 สำคัญ 4.4, 5.0, 5.1, 6.0 ภายใน Google
Android-14388161 สำคัญ 4.4 และ 5.1 ภายใน Google
Android-23658148 สำคัญ 5.0, 5.1, 6.0 ภายใน Google

ช่องโหว่การดำเนินการรหัสระยะไกลใน libutils

ช่องโหว่ใน libutils ซึ่งเป็นไลบรารีทั่วไปสามารถใช้ประโยชน์ได้ระหว่างการประมวลผลไฟล์เสียง ช่องโหว่นี้อาจเปิดโอกาสให้ผู้โจมตีในระหว่างการประมวลผลไฟล์ที่สร้างขึ้นมาเป็นพิเศษทำให้หน่วยความจำเสียหายและการเรียกใช้โค้ดจากระยะไกล

ฟังก์ชันที่ได้รับผลกระทบมีให้เป็น API และมีแอพพลิเคชั่นหลายตัวที่อนุญาตให้เข้าถึงได้ด้วยเนื้อหาระยะไกลโดยเฉพาะอย่างยิ่ง MMS และการเล่นสื่อบนเบราว์เซอร์ ปัญหานี้ได้รับการจัดอันดับว่าเป็นปัญหาระดับวิกฤตเนื่องจากความเป็นไปได้ของการเรียกใช้รหัสระยะไกลในบริการที่มีสิทธิพิเศษ คอมโพเนนต์ที่ได้รับผลกระทบสามารถเข้าถึงสตรีมเสียงและวิดีโอตลอดจนการเข้าถึงสิทธิพิเศษที่แอปของบุคคลที่สามไม่สามารถเข้าถึงได้ตามปกติ

CVE ข้อบกพร่องพร้อมลิงก์ AOSP ความรุนแรง เวอร์ชันที่ได้รับผลกระทบ วันที่รายงาน
CVE-2015-6609 Android-22953624 [ 2 ] สำคัญ 6.0 และต่ำกว่า 3 ส.ค. 2558

ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver

มีช่องโหว่ในการเปิดเผยข้อมูลในสื่อกลางที่สามารถอนุญาตให้มีการข้ามมาตรการรักษาความปลอดภัยเพื่อเพิ่มความยากลำบากในการโจมตีที่ใช้ประโยชน์จากแพลตฟอร์ม

CVE ข้อบกพร่องพร้อมลิงก์ AOSP ความรุนแรง เวอร์ชันที่ได้รับผลกระทบ วันที่รายงาน
CVE-2015-6611 ANDROID-23905951 [ 2 ] [ 3 ] สูง 6.0 และต่ำกว่า 07 ก.ย. 2558
Android-23912202 *
Android-23953967 *
Android-23696300 สูง 6.0 และต่ำกว่า 31 ส.ค. 2558
Android-23600291 สูง 6.0 และต่ำกว่า 26 ส.ค. 2558
Android-23756261 [ 2 ] สูง 6.0 และต่ำกว่า 26 ส.ค. 2558
Android-23540907 [ 2 ] สูง 5.1 และต่ำกว่า 25 ส.ค. 2558
Android-23541506 สูง 6.0 และต่ำกว่า 25 ส.ค. 2558
Android-23284974 *
Android-23542351 *
Android-23542352 *
Android-23515142 สูง 5.1 และต่ำกว่า 19 ส.ค. 2558

* แพตช์สำหรับจุดบกพร่องนี้รวมอยู่ในลิงค์ AOSP อื่น ๆ ที่มีให้

การยกระดับช่องโหว่ของสิทธิ์ใน libstagefright

มีการเพิ่มช่องโหว่ของสิทธิพิเศษใน libstagefright ที่สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในพื้นที่เพื่อทำให้หน่วยความจำเสียหายและการใช้รหัสโดยอำเภอใจภายในบริบทของบริการสื่อกลาง แม้ว่าโดยปกติแล้วปัญหานี้จะได้รับการจัดประเภทเป็นวิกฤต แต่เราได้ประเมินว่าปัญหานี้มีความรุนแรงสูงเนื่องจากมีความเป็นไปได้น้อยกว่าที่จะสามารถใช้ประโยชน์จากระยะไกลได้

CVE ข้อบกพร่องพร้อมลิงก์ AOSP ความรุนแรง เวอร์ชันที่ได้รับผลกระทบ วันที่รายงาน
CVE-2015-6610 Android-23707088 [ 2 ] สูง 6.0 และต่ำกว่า 19 ส.ค. 2558

การยกระดับช่องโหว่ของสิทธิ์ใน Libmedia

มีช่องโหว่ใน libmedia ที่สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในระบบเพื่อเรียกใช้รหัสโดยอำเภอใจภายในบริบทของบริการสื่อกลาง ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากสามารถใช้เพื่อเข้าถึงสิทธิ์ที่ไม่สามารถเข้าถึงได้โดยตรงจากแอปพลิเคชันของบุคคลที่สาม

CVE ข้อบกพร่องพร้อมลิงก์ AOSP ความรุนแรง เวอร์ชันที่ได้รับผลกระทบ วันที่รายงาน
CVE-2015-6612 Android-23540426 สูง 6.0 และต่ำกว่า 23 ส.ค. 2558

การยกระดับช่องโหว่ของสิทธิ์ใน Bluetooth

มีช่องโหว่ในบลูทู ธ ที่สามารถเปิดใช้งานแอปพลิเคชันในระบบเพื่อส่งคำสั่งไปยังพอร์ตดีบักการฟังบนอุปกรณ์ ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงสูงเพราะมันสามารถนำมาใช้เพื่อให้ได้รับการยกระดับความสามารถเช่น ลายเซ็น หรือ SignatureOrSystem สิทธิพิเศษสิทธิ์ซึ่งไม่สามารถเข้าถึงแอพลิเคชันของบุคคลที่สาม

CVE ข้อบกพร่องพร้อมลิงก์ AOSP ความรุนแรง เวอร์ชันที่ได้รับผลกระทบ วันที่รายงาน
CVE-2015-6613 Android-24371736 สูง 6.0 ภายใน Google

การยกระดับช่องโหว่ของสิทธิพิเศษในระบบโทรศัพท์

ช่องโหว่ในคอมโพเนนต์ Telephony ที่สามารถเปิดให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่ส่งข้อมูลที่ไม่ได้รับอนุญาตไปยังอินเทอร์เฟซเครือข่ายที่ จำกัด ซึ่งอาจส่งผลต่อค่าบริการข้อมูล นอกจากนี้ยังสามารถป้องกันไม่ให้อุปกรณ์รับสายและอนุญาตให้ผู้โจมตีควบคุมการตั้งค่าปิดเสียงการโทร ปัญหานี้จัดอยู่ในประเภทความรุนแรงปานกลางเนื่องจากสามารถใช้เพื่อรับสิทธิ์ " อันตราย " อย่างไม่เหมาะสม

CVE ข้อบกพร่องพร้อมลิงก์ AOSP ความรุนแรง เวอร์ชันที่ได้รับผลกระทบ วันที่รายงาน
CVE-2015-6614 ANDROID-21900139 [ 2 ] [ 3 ] ปานกลาง 5.0, 5.1 8 มิ.ย. 2558

คำถามและคำตอบทั่วไป

ส่วนนี้จะตรวจสอบคำตอบสำหรับคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวสารนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่?

สร้าง LMY48X ขึ้นไปและ Android Marshmallow ที่มีระดับแพตช์ความปลอดภัยตั้งแต่วันที่ 1 พฤศจิกายน 2015 ขึ้นไปเพื่อแก้ไขปัญหาเหล่านี้ โปรดดู เอกสาร Nexus สำหรับคำแนะนำเกี่ยวกับวิธีตรวจสอบระดับแพตช์ความปลอดภัย ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงโปรแกรมแก้ไขเป็น: [ro.build.version.security_patch]: [2015-11-01]

การแก้ไข

  • 2 พฤศจิกายน 2558: เผยแพร่ครั้งแรก