Nexus 安全性公告 - 2015 年 11 月

發布日期:2015 年 11 月 2 日

Google 已根據 Android 安全性公告每月發布程序,透過無線更新機制 (OTA) 發布 Nexus 裝置的安全性更新。此外,Nexus 韌體映像檔也已經發布到 Google Developers 網站。LMY48X 以上版本以及 Android Marshmallow 在 2015 年 11 月 1 日或之後推出的安全性修補程式等級針對下列問題提供了解決之道。詳情請參閱「常見問題與解答」一節。

合作夥伴是在 2015 年 10 月 5 日或之前收到有關這些問題的通知。這些問題的原始碼修補程式會在接下來的 48 小時內發布到 Android 開放原始碼計劃 (AOSP) 存放區,等到相關 Android 開放原始碼計劃連結建立完成後,我們就會修訂這則公告。

在這些問題中,最嚴重的就是「最高」等級的安全性漏洞。當系統執行媒體檔案時,遠端程式碼可利用這類漏洞,透過電子郵件、網頁瀏覽活動和多媒體訊息等方法,自動在受影響的裝置上執行。嚴重程度評定標準是假設平台與服務的因應防護措施基於開發作業的需求而被停用,或是遭到有心人士破解,然後推算當有人惡意運用漏洞時,裝置會受到多大的影響,據此評定漏洞的嚴重程度。

針對這些新發現的漏洞,我們目前尚未收到任何客戶回報相關的漏洞濫用案例。如果想進一步瞭解 Android 安全性平台防護措施和 SafetyNet 等服務防護措施如何加強 Android 平台的安全性,請參閱「因應措施」一節。我們建議所有客戶接受這些裝置更新。

因應措施

本節概述 Android 安全性平台和 SafetyNet 等服務防護方案提供的因應措施。這些措施可有效防範有心人士在 Android 系統上惡意運用安全漏洞達到特定目的。

  • Android 平台持續推出新版本強化安全性,因此有心人士越來越難在 Android 系統上找出漏洞加以利用。我們建議所有使用者盡可能更新至最新版的 Android。
  • Android 安全性團隊採用「驗證應用程式」和 SafetyNet 主動監控濫用情形。如果發現應用程式可能有害,將在安裝前發出警告。Google Play 內禁止發布任何可用於獲取裝置 Root 權限的工具。為了保護不是在 Google Play 安裝應用程式的使用者,「驗證應用程式」預設會自動啟用並向使用者發出警告,提醒他們留意目前已知的破解程式 (用於取得 Root 權限的應用程式)。「驗證應用程式」會盡可能找出已知會利用權限升級漏洞的惡意應用程式,並封鎖這類應用程式的安裝程序。如果使用者已安裝這類應用程式,「驗證應用程式」會通知使用者,並嘗試移除應用程式。
  • 在適用情況下,Google Hangouts 和 Messenger 應用程式不會自動將媒體內容傳送給媒體伺服器這類的處理程序。

特別銘謝

感謝以下研究人員做出的貢獻:

  • Google Chrome 安全性團隊成員 Abhishek Arya、Oliver Chang 和 Martin Barbella:CVE-2015-6608
  • Copperhead Security 的 Daniel Micay (daniel.micay@copperhead.co):CVE-2015-6609
  • 韓國科學技術學院系統安全性實驗室的 Dongkwan Kim (dkay@kaist.ac.kr):CVE-2015-6614
  • 韓國科學技術學院系統安全性實驗室的 Hongil Kim (hongilk@kaist.ac.kr):CVE-2015-6614
  • 趨勢科技的 Jack Tang (@jacktang310):CVE-2015-6611
  • 趨勢科技的 Peter Pi:CVE-2015-6611
  • Google Project Zero 成員 Natalie Silvanovich:CVE-2015-6608
  • 碁震安全研究團隊 (@K33nTeam,http://k33nteam.org/) 的 Qidan He (@flanker_hqd) 和 Wen Xu (@antlr7):CVE-2015-6612
  • 奇虎 360 科技有限的 Guang Gong (龔廣) (@oldfresher,higongguang@gmail.com):CVE-2015-6612
  • 趨勢科技的 Seven Shen:CVE-2015-6610

安全性漏洞詳情

下列各節針對 2015-11-01 安全性修補程式等級適用的各項安全漏洞提供了詳細資訊。另外也附上了問題說明、嚴重程度評定原因和一份 CVE 資訊表,其中包括了相關錯誤、嚴重程度、受影響版本和回報日期。在適用的情況下,錯誤 ID 會連結到對應的 Android 開放原始碼計畫變更。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的 Android 開放原始碼計畫編號連結開啟額外的參考資料。

媒體伺服器中的遠端程式碼執行漏洞

處理某些特殊的媒體檔案及資料時,攻擊者可能會利用媒體伺服器中的漏洞造成記憶體出錯,並執行遠端程式碼當做媒體伺服器處理程序。

受影響的功能是作業系統的核心部分,而多款應用程式都允許遠端內容連到這項功能,其中最常見的內容是多媒體訊息和瀏覽器中播放的媒體。

由於這個問題可能會讓遠端程式碼在媒體伺服器服務環境內執行,因此嚴重程度被評定為「最高」。媒體伺服器服務除了能夠存取音訊和視訊串流,還會有第三方應用程式一般無法存取的權限。

CVE 錯誤 (附有 Android 開放原始碼計畫連結) 嚴重程度 受影響的版本 回報日期
CVE-2015-6608 ANDROID-19779574 最高 5.0、5.1、6.0 Google 內部資訊
ANDROID-23680780
ANDROID-23876444
ANDROID-23881715 最高 4.4、5.0、5.1、6.0 Google 內部資訊
ANDROID-14388161 最高 4.4 和 5.1 Google 內部資訊
ANDROID-23658148 最高 5.0、5.1、6.0 Google 內部資訊

libutils 中的遠端程式碼執行漏洞

libutils (通用程式庫) 中的漏洞可能會在音訊檔案處理期間遭到惡意運用。攻擊者會利用這項漏洞,在特製檔案處理期間造成記憶體損毀並執行遠端程式碼。

受影響的功能是以 API 形式提供使用,而多款應用程式都允許遠端內容連到這項功能,其中最常見的內容是多媒體訊息和瀏覽器中播放的媒體。由於這個問題可能會讓遠端程式碼在高階權限服務中執行,因此嚴重程度被評定為「最高」。這項受影響的元件能夠存取音訊和視訊串流,以及第三方應用程式一般無法存取的權限。

CVE 錯誤 (附有 Android 開放原始碼計畫連結) 嚴重程度 受影響的版本 回報日期
CVE-2015-6609 ANDROID-22953624 [2] 最高 6.0 以下版本 2015 年 8 月 3 日

媒體伺服器中的資訊外洩漏洞

媒體伺服器中有一些資訊外洩漏洞。有心人士可利用這些漏洞,規避系統中用來防範攻擊者惡意運用平台的安全措施。

CVE 錯誤 (附有 Android 開放原始碼計畫連結) 嚴重程度 受影響的版本 回報日期
CVE-2015-6611 ANDROID-23905951 [2] [3] 6.0 以下版本 2015 年 9 月 7 日
ANDROID-23912202*
ANDROID-23953967*
ANDROID-23696300 6.0 以下版本 2015 年 8 月 31 日
ANDROID-23600291 6.0 以下版本 2015 年 8 月 26 日
ANDROID-23756261 [2] 6.0 以下版本 2015 年 8 月 26 日
ANDROID-23540907 [2] 5.1 以下版本 2015 年 8 月 25 日
ANDROID-23541506 6.0 以下版本 2015 年 8 月 25 日
ANDROID-23284974*
ANDROID-23542351*
ANDROID-23542352*
ANDROID-23515142 5.1 以下版本 2015 年 8 月 19 日

* 這項錯誤的修補程式已附在本文提供的其他 Android 開放原始碼計劃連結中。

libstagefright 中的權限升級安全漏洞

libstagefright 中有一項權限升級漏洞,本機惡意應用程式可利用這項漏洞造成記憶體出錯,並在媒體伺服器服務環境內執行任何程式碼。儘管這個問題的嚴重程度通常會被評定為「最高」,但由於我們認為這個問題較不可能透過遠端加以利用,因此將嚴重程度評定為「高」。

CVE 錯誤 (附有 Android 開放原始碼計畫連結) 嚴重程度 受影響的版本 回報日期
CVE-2015-6610 ANDROID-23707088 [2] 6.0 以下版本 2015 年 8 月 19 日

libmedia 中的權限升級安全漏洞

libmedia 中的一項漏洞可讓本機惡意應用程式在媒體伺服器環境內執行任何程式碼。由於這個問題可被利用來存取第三方應用程式無法直接存取的權限,因此嚴重程度被評定為「高」。

CVE 錯誤 (附有 Android 開放原始碼計畫連結) 嚴重程度 受影響的版本 回報日期
CVE-2015-6612 ANDROID-23540426 6.0 以下版本 2015 年 8 月 23 日

藍牙功能的權限升級安全漏洞

藍牙中有一項漏洞,本機應用程式可利用這項漏洞,傳送指令到裝置上的監聽偵錯通訊埠。由於這個問題可用於取得進階功能 (例如 SignatureSignatureOrSystem 等第三方應用程式無法存取的權限),因此嚴重程度被評定為「高」。

CVE 錯誤 (附有 Android 開放原始碼計畫連結) 嚴重程度 受影響的版本 回報日期
CVE-2015-6613 ANDROID-24371736 6.0 Google 內部資訊

電話通訊系統中的權限升級安全漏洞

本機惡意應用程式可利用電話通訊系統元件中的權限升級安全漏洞,將未經授權的資料傳送到網路介面,這可能會影響數據傳輸費。此外,這個問題也會讓裝置無法接收通話,以及允許攻擊者控制通話的靜音設定。由於這個問題可被用於不當取得「危險的」權限,因此嚴重程度被評定為「中」。

CVE 錯誤 (附有 Android 開放原始碼計畫連結) 嚴重程度 受影響的版本 回報日期
CVE-2015-6614 ANDROID-21900139 [2] [3] 5.0、5.1 2015 年 6 月 8 日

常見問題與解答

如果您在閱讀這篇公告後有任何疑問,建議您查看本節的常見問題。

1. 如何判斷我目前的裝置軟體版本是否已修正這些問題?

LMY48X 以上版本以及 Android Marshmallow 在 2015 年 11 月 1 日或之後推出的安全性修補程式等級針對下列問題提供了解決之道。請參閱 Nexus 說明文件,瞭解如何查看安全性修補程式等級。提供這些更新的裝置製造商應將修補程式字串等級設定為:[ro.build.version.security_patch]:[2015-11-01]

修訂版本

  • 2015 年 11 月 2 日:原始發布日期