Nexus Güvenlik Bülteni - Kasım 2015

02 Kasım 2015'te yayınlandı

Android Güvenlik Bülteni Aylık Sürüm sürecimizin bir parçası olarak kablosuz (OTA) güncelleme aracılığıyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı görüntüleri de Google Geliştirici sitesinde yayınlandı. LMY48X veya üzeri sürümler ve 1 Kasım 2015 veya üzeri Güvenlik Düzeltme Eki Düzeyine sahip Android Marshmallow bu sorunları giderir. Daha fazla ayrıntı için Sık Sorulan Sorular ve Cevaplar bölümüne bakın.

İş ortakları bu sorunlarla ilgili olarak 5 Ekim 2015'te veya daha önce bilgilendirildi. Bu sorunlara yönelik kaynak kodu yamaları önümüzdeki 48 saat içinde Android Açık Kaynak Projesi (AOSP) deposunda yayınlanacak. Bu bülteni, mevcut olduğunda AOSP bağlantılarıyla birlikte revize edeceğiz.

Bu sorunlardan en ciddi olanı, etkilenen bir cihazda medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden fazla yöntemle uzaktan kod yürütülmesine olanak tanıyan Kritik bir güvenlik açığıdır. Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.

Yeni bildirilen bu sorunların aktif müşteri istismarına ilişkin hiçbir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Azaltıcı Önlemler bölümüne bakın. Tüm müşterilerimizi cihazlarına yönelik bu güncellemeleri kabul etmeye teşvik ediyoruz.

Azaltmalar

Bu , Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltımların bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.

  • Android platformunun daha yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorundan yararlanmayı daha da zorlaştırıyor. Tüm kullanıcılarımızı mümkün olduğunca Android'in en son sürümüne güncelleme yapmaya teşvik ediyoruz.
  • Android Güvenlik ekibi, yüklenmek üzere olan potansiyel zararlı uygulamalar hakkında uyarı verecek olan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Cihaz rootlama araçları Google Play'de yasaktır. Google Play dışından uygulama yükleyen kullanıcıları korumak için Uygulamaları Doğrula özelliği varsayılan olarak etkindir ve kullanıcıları bilinen köklendirme uygulamaları konusunda uyarır. Uygulamaları Doğrula, ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaları tanımlamaya ve yüklemesini engellemeye çalışır. Böyle bir uygulama zaten kuruluysa Verify Apps kullanıcıyı bilgilendirecek ve bu tür uygulamaları kaldırmaya çalışacaktır.
  • Uygun olduğu üzere Google Hangouts ve Messenger uygulamaları, medya sunucusu gibi işlemlere otomatik olarak medya aktarmamaktadır.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür ederiz:

  • Abhishek Arya, Oliver Chang ve Martin Barbella, Google Chrome Güvenlik Ekibi: CVE-2015-6608
  • Copperhead Güvenlik'ten Daniel Micay (daniel.micay@copperhead.co): CVE-2015-6609
  • Sistem Güvenliği Laboratuvarı'ndan Dongkwan Kim, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
  • Sistem Güvenliği Laboratuvarı'ndan Hongil Kim, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
  • Trend Micro'dan Jack Tang (@jacktang310): CVE-2015-6611
  • Trend Micro'dan Peter Pi: ​​CVE-2015-6611
  • Google Project Zero'dan Natalie Silvanovich: CVE-2015-6608
  • KeenTeam'den (@K33nTeam, http://k33nteam.org/) Qidan He (@flanker_hqd) ve Wen Xu (@antlr7): CVE-2015-6612
  • Guang Gong (龚广) ( @oldfresher , higongguang@gmail.com), Qihoo 360 Technology CC o.Ltd'den : CVE-2015-6612
  • Trend Micro'nun Yedi Shen'i: CVE-2015-6610

Güvenlik Açığı Ayrıntıları

Aşağıdaki bölümlerde, 2015-11-01 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, ciddiyet gerekçesi ve CVE, ilgili hata, önem derecesi, etkilenen sürümler ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren AOSP değişikliğini hata kimliğine bağladık. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek AOSP referansları hata kimliğini takip eden numaralara bağlanır.

Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açıkları

Medya dosyası ve özel hazırlanmış bir dosyanın verilerinin işlenmesi sırasında, medya sunucusundaki güvenlik açıkları, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olmasına olanak verebilir.

Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanmaktadır ve başta MMS ve medyanın tarayıcıda oynatılması olmak üzere, bu işlevselliğe uzak içerikle erişilmesine olanak tanıyan çok sayıda uygulama vardır.

Bu sorun, medya sunucusu hizmeti bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Mediaserver hizmetinin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen sürümler Bildirilme tarihi
CVE-2015-6608 ANDROID-19779574 Kritik 5.0, 5.1, 6.0 Google Dahili
ANDROID-23680780
ANDROID-23876444
ANDROID-23881715 Kritik 4.4, 5.0, 5.1, 6.0 Google Dahili
ANDROID-14388161 Kritik 4.4 ve 5.1 Google Dahili
ANDROID-23658148 Kritik 5.0, 5.1, 6.0 Google Dahili

Libutils'te Uzaktan Kod Yürütme Güvenlik Açığı

Genel bir kütüphane olan libutils'teki bir güvenlik açığından, ses dosyasının işlenmesi sırasında yararlanılabilir. Bu güvenlik açığı, bir saldırganın özel hazırlanmış bir dosyayı işlerken bellek bozulmasına ve uzaktan kod yürütülmesine neden olmasına olanak verebilir.

Etkilenen işlevsellik bir API olarak sağlanıyor ve en önemlisi MMS ve medyanın tarayıcıda oynatılması gibi uzak içerikle bu işlevselliğe erişilmesine izin veren birden fazla uygulama var. Bu sorun, ayrıcalıklı bir hizmette uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesine sahip bir sorun olarak derecelendirilmiştir. Etkilenen bileşenin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi var.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen sürümler Bildirilme tarihi
CVE-2015-6609 ANDROID-22953624 [ 2 ] Kritik 6.0 ve altı 3 Ağu 2015

Mediaserver'daki Bilgi İfşası Güvenlik Açıkları

Mediaserver'da, saldırganların platformu istismar etmesini zorlaştıracak güvenlik önlemlerinin atlanmasına izin verebilecek bilgilerin ifşa edilmesine yönelik güvenlik açıkları bulunmaktadır.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen sürümler Bildirilme tarihi
CVE-2015-6611 ANDROID-23905951 [ 2 ] [ 3 ] Yüksek 6.0 ve altı 07 Eylül 2015
ANDROID-23912202*
ANDROID-23953967*
ANDROID-23696300 Yüksek 6.0 ve altı 31 Ağu 2015
ANDROID-23600291 Yüksek 6.0 ve altı 26 Ağustos 2015
ANDROID-23756261 [ 2 ] Yüksek 6.0 ve altı 26 Ağustos 2015
ANDROID-23540907 [ 2 ] Yüksek 5.1 ve altı 25 Ağu 2015
ANDROID-23541506 Yüksek 6.0 ve altı 25 Ağu 2015
ANDROID-23284974*
ANDROID-23542351*
ANDROID-23542352*
ANDROID-23515142 Yüksek 5.1 ve altı 19 Ağustos 2015

* Bu hataya yönelik yama, sağlanan diğer AOSP bağlantılarında bulunmaktadır.

Libstagefright'ta Ayrıcalık Güvenlik Açığı Yükselişi

Libstagefright'ta, yerel kötü amaçlı bir uygulamanın medya sunucusu hizmeti bağlamında bellek bozulmasına ve rastgele kod yürütülmesine neden olmasına olanak tanıyan bir ayrıcalık yükselmesi güvenlik açığı bulunmaktadır. Bu sorun normalde Kritik olarak derecelendirilse de, uzaktan istismar edilme ihtimalinin düşük olması nedeniyle bu sorunu Yüksek önem derecesi olarak değerlendirdik.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen sürümler Bildirilme tarihi
CVE-2015-6610 ANDROID-23707088 [ 2 ] Yüksek 6.0 ve altı 19 Ağustos 2015

Libmedia'da Ayrıcalık Güvenlik Açığı Yükselişi

Libmedia'da, yerel kötü amaçlı bir uygulamanın mediaserver hizmeti bağlamında rastgele kod yürütmesine olanak tanıyan bir güvenlik açığı bulunmaktadır. Bu sorun, üçüncü taraf bir uygulamanın doğrudan erişemediği ayrıcalıklara erişmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen sürümler Bildirilme tarihi
CVE-2015-6612 ANDROID-23540426 Yüksek 6.0 ve altı 23 Ağustos 2015

Bluetooth'ta Ayrıcalık Güvenlik Açığı Yükselişi

Bluetooth'ta, yerel bir uygulamanın cihazdaki dinleme hata ayıklama bağlantı noktasına komut göndermesine olanak tanıyan bir güvenlik açığı bulunmaktadır. Bu sorun, Üçüncü taraf bir uygulama tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen sürümler Bildirilme tarihi
CVE-2015-6613 ANDROID-24371736 Yüksek 6.0 Google Dahili

Telefon Hizmetinde Ayrıcalık Zafiyetinin Yükselmesi

Telefon bileşeninde, yerel kötü amaçlı bir uygulamanın yetkisiz verileri kısıtlı ağ arayüzlerine iletmesine olanak tanıyarak veri ücretlerini etkileme potansiyeline sahip bir güvenlik açığı. Ayrıca cihazın çağrı almasını engelleyebilir ve saldırganın çağrıların sessize alma ayarlarını kontrol etmesine olanak tanıyabilir. Bu sorun, " tehlikeli " izinleri uygunsuz bir şekilde elde etmek için kullanılabildiğinden Orta önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen sürümler Bildirilme tarihi
CVE-2015-6614 ANDROID-21900139 [ 2 ] [ 3 ] Ilıman 5.0, 5.1 8 Haziran 2015

Sık Sorulan Sorular ve Cevaplar

Bu bölümde, bu bülteni okuduktan sonra karşılaşabileceğiniz genel soruların yanıtları incelenecektir.

1. Cihazımın bu sorunları çözecek şekilde güncellenip güncellenmediğini nasıl belirleyebilirim?

LMY48X veya üzeri sürümler ve 1 Kasım 2015 veya üzeri Güvenlik Düzeltme Eki Düzeyine sahip Android Marshmallow bu sorunları giderir. Güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın. Bu güncellemeleri içeren cihaz üreticileri yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2015-11-01]

Revizyonlar

  • 02 Kasım 2015: İlk Yayın Tarihi