גוגל מחויבת לקדם הון גזעי עבור קהילות שחורות. תראה איך.
דף זה תורגם על ידי Cloud Translation API.
Switch to English

עלון אבטחה של Nexus - דצמבר 2015

פורסם 07 בדצמבר 2015 | עודכן ב- 7 במרץ 2016

פרסמנו עדכון אבטחה למכשירי Nexus דרך עדכון שידור מהיר (OTA) כחלק מתהליך השחרור החודשי של עלון האבטחה ב- Android. תמונות הקושחה של Nexus שוחררו גם לאתר המפתחים של גוגל . בונה LMY48Z ואילך ו- Android 6.0 ברמת תיקון אבטחה מיום 1 בדצמבר 2015 ואילך מתייחס לבעיות אלה. עיין בסעיף השאלות והתשובות הנפוצות לקבלת פרטים נוספים.

השותפים קיבלו הודעה וסיפקו עדכונים לנושאים אלה ב- 2 בנובמבר 2015 או קודם לכן. במידת הצורך, תיקוני קוד המקור לבעיות אלה שוחררו למאגר ה- Android Open Source Project (AOSP).

החמורה שבבעיות אלה היא פגיעות אבטחה קריטית העלולה לאפשר ביצוע קוד מרחוק בהתקן מושפע באמצעות שיטות מרובות כמו דואר אלקטרוני, גלישה באינטרנט ו- MMS בעת עיבוד קבצי מדיה. הערכת החומרה מתבססת על ההשפעה שעלולה להיות לניצול הפגיעות על מכשיר מושפע, בהנחה שהפחתת הפלטפורמה והשירותים מושבתות למטרות פיתוח או אם עוקפים בהצלחה.

לא היו לנו דיווחים על ניצול פעיל של לקוחות מהבעיות החדשות המדווחות הללו. עיין בסעיף Migigations לפרטים על הגנות פלטפורמת האבטחה של Android והגנות השירות כגון SafetyNet המשפרות את האבטחה של פלטפורמת Android. אנו מעודדים את כל הלקוחות לקבל עדכונים אלה למכשירים שלהם.

הקלות

זהו סיכום של ההקלות שמספקות פלטפורמת האבטחה של Android והגנות השירות כמו SafetyNet. יכולות אלה מקטינות את הסבירות שניתן לנצל בהצלחה פגיעויות אבטחה ב- Android.

  • הניצול לסוגיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו מעודדים את כל המשתמשים לעדכן לגרסה האחרונה של אנדרואיד במידת האפשר.
  • צוות האבטחה של אנדרואיד עוקב באופן פעיל אחר שימוש לרעה באמצעות Verify Apps ו- SafetyNet, אשר יתריע על יישומים שעלולים להתקיים. כלי השתרשות מכשירים אסורים ב- Google Play. כדי להגן על משתמשים שמתקינים יישומים מחוץ ל- Google Play, אמת האפליקציות מופעל כברירת מחדל ויזהיר משתמשים לגבי יישומי השתרשות ידועים. אמת Apps מנסה לזהות ולחסום התקנה של אפליקציות זדוניות ידועות המנצלות פגיעות של הסלמת הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע למשתמש וינסה להסיר כל יישום כזה.
  • בהתאם לצורך, יישומי Google Hangouts ו- Messenger אינם מעבירים מדיה אוטומטית לתהליכים כמו שרת מדיה.

תודות

אנו רוצים להודות לחוקרים אלה על תרומתם:

  • אבהישק אריה, אוליבר צ'אנג ומרטין ברבלה מצוות האבטחה של גוגל כרום: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , CVE-2015-6634
  • פלנקר ( @flanker_hqd ) של KeenTeam ( @ K33nTeam ): CVE-2015-6620
  • גואנג גונג (龚 广) ( @oldfresher , higongguang@gmail.com) של Qihoo 360 Technology Co.Ltd : CVE-2015-6626
  • מארק קרטר ( @hanpingchinese ) ממשרד EmberMitre Ltd: CVE-2015-6630
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2015-6621
  • נטלי סילבנוביץ 'מ- Google Project Zero: CVE-2015-6616
  • פיטר פי מ- Trend Micro: CVE-2015-6616, CVE-2015-6628
  • קידן הוא ( @flanker_hqd ) ומרקו גרסי ( @marcograss ) מ- KeenTeam ( @ K33nTeam ): CVE-2015-6622
  • צו-יין (נינה) טאי: CVE-2015-6627
  • חואקין רינאודו ( @xeroxnir ) מ- Programa STIC ב- Fundación ד"ר מנואל סדוסקי, בואנוס איירס, ארגנטינה: CVE-2015-6631
  • Wangtao (neobyte) של Baidu X-Team: CVE-2015-6626

פרטי הפגיעות באבטחה

בסעיפים שלהלן אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון 2015-12-01. יש תיאור של הבעיה, רציונל של חומרה וטבלה עם ה- CVE, הבאג המשויך, חומרתה, גרסאות מעודכנות ותאריך המדווח. כאשר הוא זמין, נקשר את שינוי ה- AOSP שטיפל בנושא במזהה הבאג. כאשר שינויים מרובים קשורים לבאג בודד, הפניות AOSP נוספות מקושרות למספרים העוקבים אחר מזהה הבאג.

פגיעויות של ביצוע קוד מרחוק ב- Mediaserver

במהלך עיבוד קבצי מדיה ונתונים של קובץ בעל מבנה מיוחד, פגיעויות בשרת המדיה עלולות לאפשר לתוקף לגרום לשחיתות זיכרון וביצוע קוד מרחוק כתהליך המדיאס.

הפונקציונליות המושפעת ניתנת כחלק מרכזי במערכת ההפעלה וישנם מספר יישומים המאפשרים להגיע אליו עם תוכן מרוחק, ובמיוחד MMS והשמעת דפדפן של מדיה.

נושא זה דורג כחומרה קריטית בגלל האפשרות לביצוע קוד מרחוק במסגרת שירות המדיה. לשירות המדיה יש גישה לזרמי שמע ווידאו, כמו גם גישה להרשאות שאפליקציות צד ג 'בדרך כלל אינן יכולות לגשת אליהן.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2015-6616 ANDROID-24630158 קריטי 6.0 ומטה גוגל פנימי
ANDROID-23882800 קריטי 6.0 ומטה גוגל פנימי
ANDROID-17769851 קריטי 5.1 ומטה גוגל פנימי
ANDROID-24441553 קריטי 6.0 ומטה 22 בספטמבר 2015
ANDROID-24157524 קריטי 6.0 08 בספטמבר 2015

פגיעות של ביצוע קוד מרחוק בסקיה

פגיעות במרכיב Skia עשויה להיות ממונפת בעת עיבוד קובץ מדיה בעל מבנה מיוחד שעלול להוביל לשחיתות זיכרון וביצוע קוד מרחוק בתהליך מיוחס. בעיה זו מדורגת כחומרה קריטית עקב האפשרות לביצוע קוד מרחוק בשיטות התקפה מרובות כגון דואר אלקטרוני, גלישה באינטרנט ו- MMS בעת עיבוד קבצי מדיה.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2015-6617 ANDROID-23648740 קריטי 6.0 ומטה גוגל פנימית

העלאת רמת הרשאות בקרנל

העלאת הפגיעות בגרעין המערכת עשויה לאפשר ליישום זדוני מקומי לבצע קוד שרירותי בהקשר שורש המכשיר. סוגיה זו מדורגת כחומרה קריטית בגלל האפשרות של פשרה קבועה במכשיר מקומי וניתן היה לתקן את המכשיר רק על ידי הברקה מחודשת של מערכת ההפעלה.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2015-6619 ANDROID-23520714 קריטי 6.0 ומטה 7 ביוני 2015

פגיעויות של ביצוע קוד מרחוק במנהל התקן התצוגה

במנהלי התקן התצוגה ישנן פגיעויות שעלולות לעבד קובץ מדיה עלולות לגרום לשחיתות זיכרון וביצוע קוד שרירותי פוטנציאלי בהקשר של מנהל התקן מצב המשתמש שנטען על ידי המדיה. בעיה זו מדורגת כחומרה קריטית עקב האפשרות לביצוע קוד מרחוק בשיטות התקפה מרובות כגון דואר אלקטרוני, גלישה באינטרנט ו- MMS בעת עיבוד קבצי מדיה.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2015-6633 ANDROID-23987307 * קריטי 6.0 ומטה גוגל פנימי
CVE-2015-6634 ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] קריטי 5.1 ומטה גוגל פנימי

* התיקון לבעיה זו אינו נמצא ב- AOSP. העדכון כלול במנהלי ההתקנים הבינאריים האחרונים למכשירי Nexus הזמינים באתר המפתחים של גוגל .

פגיעות של ביצוע קוד מרחוק ב- Bluetooth

פגיעות ברכיב ה- Bluetooth של אנדרואיד עשויה לאפשר ביצוע קוד מרחוק. עם זאת, דרושים מספר צעדים ידניים לפני שהדבר עלול להתרחש. לשם כך זה ידרוש התקן מותאם בהצלחה, לאחר הפעלת פרופיל הרשת האישית (PAN) (לדוגמה, באמצעות התקשרות Bluetooth) והמכשיר משויך. ביצוע הקוד המרוחק יהיה בזכות שירות Bluetooth. מכשיר חשוף לבעיה זו רק ממכשיר מותאם בהצלחה כאשר הוא נמצא בסמיכות מקומית.

בעיה זו מדורגת כחומרה גבוהה מכיוון שתוקף יכול היה לבצע מרחוק קוד שרירותי רק לאחר שננקטו צעדים ידניים מרובים וממתוקף מקומי מקומי שהיה מורשה בעבר להתאים מכשיר.

CVE באגים) חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2015-6618 ANDROID-24595992 * גָבוֹהַ 4.4, 5.0 ו- 5.1 28 בספטמבר 2015

* התיקון לבעיה זו אינו נמצא ב- AOSP. העדכון כלול במנהלי ההתקנים הבינאריים האחרונים למכשירי Nexus הזמינים באתר המפתחים של גוגל .

פגיעות של העלאת הרשאות באורח libstag

ישנן נקודות תורפה מרובות בתחום ה- libstag העלולות לאפשר ליישום זדוני מקומי לבצע קוד שרירותי בהקשר של שירות המדיה. בעיה זו מדורגים בדרגת חומרה גבוהה כי זה יכול לשמש כדי להשיג יכולות גבוהות, כגון חתימה או SignatureOrSystem הרשאות הרשאות, אשר אינם נגישים על יישומי צד שלישי.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2015-6620 ANDROID-24123723 גָבוֹהַ 6.0 ומטה 10 בספטמבר 2015
ANDROID-24445127 גָבוֹהַ 6.0 ומטה 2 בספטמבר 2015

פגיעות של הרמת הרשאות ב- SystemUI

בעת הגדרת אזעקה באמצעות יישום השעון, פגיעות ברכיב SystemUI עשויה לאפשר ליישום לבצע משימה ברמת הרשאות גבוהה. בעיה זו מדורגים בדרגת חומרה גבוהה כי זה יכול לשמש כדי להשיג יכולות גבוהות, כגון חתימה או SignatureOrSystem הרשאות הרשאות, אשר אינם נגישים על יישומי צד שלישי.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2015-6621 ANDROID-23909438 גָבוֹהַ 5.0, 5.1 ו- 6.0 7 בספטמבר 2015

פגיעות של גילוי מידע בספריית מסגרות הילידים

פגיעות של גילוי מידע בספריית Android Native Frameworks עשויה לאפשר עקיפה של אמצעי אבטחה שנועדו להגביר את הקושי של התוקפים לנצל את הפלטפורמה. סוגיות אלו הנן בעלות דירוג חומרה גבוהה משום שהם יכולים לשמש גם כדי להשיג יכולות גבוהות, כגון חתימה או SignatureOrSystem הרשאות הרשאות, אשר אינו נגישות יישומי צד שלישי.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2015-6622 ANDROID-23905002 גָבוֹהַ 6.0 ומטה 7 בספטמבר 2015

פגיעות של העלאת רמת הרשאות ב- Wi-Fi

העלאת רמת הפגיעות ב- Wi-Fi עשויה לאפשר ליישום זדוני מקומי לבצע קוד שרירותי במסגרת שירות מערכת מוגבה. בעיה זו מדורגת בדרגת חומרה גבוהה כי זה יכול לשמש כדי להשיג יכולות גבוהות, כגון חתימה או SignatureOrSystem הרשאות הרשאות, אשר אינן נגישים יישום צד שלישי.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2015-6623 ANDROID-24872703 גָבוֹהַ 6.0 גוגל פנימי

פגיעות של העלאת הרשאות בשרת המערכת

העלאת הפגיעות ברכיב שרת המערכת עשויה לאפשר ליישום זדוני מקומי לקבל גישה למידע הקשור בשירות. בעיה זו מדורגת בדרגת חומרה גבוהה כי זה יכול לשמש כדי להשיג יכולות גבוהות, כגון חתימה או SignatureOrSystem הרשאות הרשאות, אשר אינו נגישות יישומי צד שלישי.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2015-6624 ANDROID-23999740 גָבוֹהַ 6.0 גוגל פנימית

פגיעויות בחשיפת מידע באורח libstag

קיימות פגיעויות בגילוי מידע שבתקופת libstag אשר במהלך תקשורת עם השרת המתווך, יכולות לאפשר עקיפה של אמצעי אבטחה שנועדו להגביר את הקושי של התוקפים לנצל את הרציף. סוגיות אלו הנן בעלות דירוג חומרה גבוהה משום שהם יכולים לשמש גם כדי להשיג יכולות גבוהות, כגון חתימה או SignatureOrSystem הרשאות הרשאות, אשר אינן נגישות יישומי צד שלישי.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2015-6632 ANDROID-24346430 גָבוֹהַ 6.0 ומטה גוגל פנימי
CVE-2015-6626 ANDROID-24310423 גָבוֹהַ 6.0 ומטה 2 בספטמבר 2015
CVE-2015-6631 ANDROID-24623447 גָבוֹהַ 6.0 ומטה 21 באוגוסט 2015

פגיעות של גילוי מידע באודיו

ניתן לנצל פגיעות ברכיב השמע במהלך עיבוד קבצי שמע. פגיעות זו עלולה לאפשר ליישום זדוני מקומי, במהלך עיבוד קובץ בעל מבנה מיוחד, לגרום לחשיפת מידע. בעיה זו מדורגת בדרגת חומרה גבוהה כי זה יכול לשמש כדי להשיג יכולות גבוהות, כגון חתימה או SignatureOrSystem הרשאות הרשאות, אשר אינו נגישות יישומי צד שלישי.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2015-6627 ANDROID-24211743 גָבוֹהַ 6.0 ומטה גוגל פנימי

פגיעות של גילוי מידע במסגרת מדיה

קיימת פגיעות בגילוי מידע ב- Media Framework, שבמהלך התקשורת עם השרת המתווך, עשויה לאפשר עקיפה של אמצעי אבטחה שנועדו להגביר את הקושי של התוקפים לנצל את הפלטפורמה. בעיה זו מדורגת בדרגת חומרה גבוהה כי זה יכול לשמש גם כדי להשיג יכולות גבוהות, כגון חתימה או SignatureOrSystem הרשאות הרשאות, אשר אינן נגישים יישומי צד שלישי.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2015-6628 ANDROID-24074485 גָבוֹהַ 6.0 ומטה 8 בספטמבר 2015

פגיעות של גילוי מידע ב- Wi-Fi

פגיעות ברכיב ה- Wi-Fi עשויה לאפשר לתוקף לגרום לשירות ה- Wi-Fi לחשוף מידע. בעיה זו מדורגים בדרגת חומרה גבוהה כי זה יכול לשמש כדי להשיג יכולות גבוהות, כגון חתימה או SignatureOrSystem הרשאות הרשאות, אשר אינם נגישים על יישומי צד שלישי.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2015-6629 ANDROID-22667667 גָבוֹהַ 5.1 ו- 5.0 גוגל פנימי

פגיעות של העלאת רמת הרשאות בשרת המערכת

העלאת הפגיעות בשרת המערכת עשויה לאפשר ליישום זדוני מקומי לקבל גישה למידע הקשור בשירות Wi-Fi. סוגיה זו מדורגת כחומרת בינונית מכיוון שניתן להשתמש בה כדי להשיג באופן לא ראוי הרשאות " מסוכנות ".

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2015-6625 ANDROID-23936840 לְמַתֵן 6.0 גוגל פנימי

פגיעות של גילוי מידע ב- SystemUI

פגיעות בגילוי מידע ב- SystemUI עשויה לאפשר ליישום זדוני מקומי לקבל גישה למסך מסך. סוגיה זו מדורגת כחומרת בינונית מכיוון שניתן להשתמש בה כדי להשיג באופן לא ראוי הרשאות " מסוכנות ".

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2015-6630 ANDROID-19121797 לְמַתֵן 5.0, 5.1 ו- 6.0 22 בינואר 2015

שאלות ותשובות נפוצות

פרק זה יסקור תשובות לשאלות נפוצות שעלולות להופיע לאחר קריאת עלון זה.

1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלה?

בונה LMY48Z ואילך ו- Android 6.0 ברמת תיקון אבטחה מיום 1 בדצמבר 2015 ואילך מתייחס לבעיות אלה. עיין בתיעוד Nexus לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה. יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל: [ro.build.version.security_patch]: [2015-12-01]

מהדורות

  • 07 בדצמבר 2015: פורסם במקור
  • 09 בדצמבר 2015: העלון תוקן כך שיכלול קישורי AOSP.
  • 22 בדצמבר 2015: הוסיף אשראי חסר לסעיף התודות.
  • 07 במרץ, 2016: הוסיף אשראי חסר למדור ההכרה.