Google, Siyah topluluklar için ırksal eşitliği ilerletmeye kararlıdır. Nasıl olduğunu gör.
Bu sayfa, Cloud Translation API ile çevrilmiştir.
Switch to English

Nexus Güvenlik Bülteni - Aralık 2015

07 Aralık 2015 Yayınlandı | Güncelleme: 7 Mart 2016

Android Güvenlik Bülteni Aylık Sürüm sürecimizin bir parçası olarak havadan (OTA) bir güncelleme yoluyla Nexus cihazlarına bir güvenlik güncellemesi yayınladık. Nexus ürün yazılımı resimleri de Google Geliştirici sitesine yayınlandı . LMY48Z veya daha yenisini ve 1 Aralık 2015 veya daha sonraki Güvenlik Düzeltme Eki ile Android 6.0'ı oluşturur. Daha fazla ayrıntı için Sık Sorulan Sorular ve Cevaplar bölümüne bakın.

İş ortakları, 2 Kasım 2015 veya daha önce bu konular hakkında bilgilendirildi ve güncellemeler sağlandı. Uygulanabilir olduğunda, bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposuna yayınlanmıştır.

Bu sorunlardan en önemlisi, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden çok yöntemle etkilenen bir aygıtta uzaktan kod yürütülmesini etkinleştirebilecek Kritik bir güvenlik açığıdır. Önem derecesi değerlendirmesi , platform ve hizmet azaltma önlemlerinin geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı takdirde, güvenlik açığından yararlanma olasılığının etkilenen bir aygıtta sahip olacağı etkiyi temel alır.

Yeni bildirilen bu sorunlardan etkin bir müşteri sömürüsü raporu almadık. Android platformunun güvenliğini artıran Android güvenlik platformu korumaları ve SafetyNet gibi hizmet korumalarıyla ilgili ayrıntılar için Azaltmalar bölümüne bakın. Tüm müşterileri bu güncellemeleri cihazlarında kabul etmeye teşvik ediyoruz.

azaltıcı etkenler

Bu, Android güvenlik platformu tarafından sağlanan hafifletmelerin ve SafetyNet gibi hizmet korumalarının bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.

  • Android'deki birçok sorun için sömürü, Android platformunun daha yeni sürümlerindeki geliştirmelerle daha da zorlaşıyor. Tüm kullanıcıları mümkün olduğunda Android'in en son sürümüne güncellemelerini öneririz.
  • Android Güvenlik ekibi, yüklenecek potansiyel olarak zararlı uygulamalar hakkında uyarıda bulunan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Google Play'de cihaz köklendirme araçlarının kullanılması yasaktır. Uygulamaları Google Play dışından yükleyen kullanıcıları korumak için, Uygulamaları Doğrula varsayılan olarak etkindir ve kullanıcıları bilinen köklendirme uygulamaları hakkında uyarır. Uygulamaların, bir ayrıcalık yükselmesi güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaların kurulumunu belirlemeye ve engellemeye çalıştığını doğrulayın. Böyle bir uygulama zaten yüklenmişse, Uygulamaları Doğrula kullanıcıyı bilgilendirir ve bu tür uygulamaları kaldırmayı dener.
  • Google Hangouts ve Messenger uygulamaları uygun şekilde medyayı otomatik olarak mediaserver gibi işlemlere geçirmez.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür ederiz:

Güvenlik Açığı Ayrıntıları

Aşağıdaki bölümlerde, 2015-12-01 düzeltme eki düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun bir açıklaması, bir önem mantığı ve CVE, ilişkili hata, önem derecesi, güncellenmiş sürümler ve bildirilen tarih içeren bir tablo vardır. Mümkün olduğunda, sorunu ele alan AOSP değişikliğini hata kimliğine bağlayacağız. Birden çok değişiklik tek bir hatayla ilgili olduğunda, ek AOSP referansları hata kimliğini izleyen sayılara bağlanır.

Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açıkları

Medya dosyası ve özel hazırlanmış bir dosyanın veri işlenmesi sırasında, medya sunucusundaki güvenlik açıkları, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olabilir.

Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanır ve uzak içerikle, özellikle de MMS ve tarayıcının medya oynatmasıyla erişilmesine izin veren birden fazla uygulama vardır.

Bu sorun, mediaserver hizmeti kapsamında uzaktan kod yürütme olasılığı nedeniyle Kritik bir önem olarak derecelendirilir. Medya sunucusu hizmeti, üçüncü taraf uygulamalarının normal olarak erişemediği ayrıcalıklara erişimin yanı sıra ses ve video akışlarına da erişime sahiptir.

CVE AOSP bağlantıları olan hatalar şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2015-6616 ANDROID-24630158 kritik 6.0 ve altı Google Dahili
ANDROID-23882800 kritik 6.0 ve altı Google Dahili
ANDROID-17769851 kritik 5.1 ve altı Google Dahili
ANDROID-24441553 kritik 6.0 ve altı 22 Eyl 2015
ANDROID-24157524 kritik 6 08 Eyl 2015

Skia'da Uzaktan Kod Yürütme Güvenlik Açığı

Özel hazırlanmış bir medya dosyası işlenirken, ayrıcalıklı bir işlemde bellek bozulmasına ve uzaktan kod yürütülmesine neden olabilecek bir Skia bileşenindeki bir güvenlik açığı kullanılabilir. Bu sorun, medya dosyaları işlenirken e-posta, web'de gezinme ve MMS gibi birden çok saldırı yöntemiyle uzaktan kod yürütülme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilir.

CVE AOSP bağlantıları olan hatalar şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2015-6617 ANDROID-23648740 kritik 6.0 ve altı Google dahili

Çekirdekte Ayrıcalık Yükselmesi

Sistem çekirdeğindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın aygıt kök bağlamı içinde rasgele kod yürütmesine olanak verebilir. Bu sorun, yerel kalıcı aygıt güvenliğinin aşılması olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilir ve aygıt yalnızca işletim sisteminin yeniden yanıp sönmesiyle onarılabilir.

CVE AOSP bağlantıları olan hatalar şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2015-6619 ANDROID-23520714 kritik 6.0 ve altı 07 Haziran 2015

Ekran Sürücüsünde Uzaktan Kod Yürütme Güvenlik Açıkları

Görüntü sürücülerinde, bir medya dosyasını işlerken, mediaserver tarafından yüklenen kullanıcı modu sürücüsü bağlamında bellek bozulmasına ve olası rastgele kod yürütülmesine neden olabilecek güvenlik açıkları vardır. Bu sorun, medya dosyaları işlenirken e-posta, web'de gezinme ve MMS gibi birden çok saldırı yöntemiyle uzaktan kod yürütülme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilir.

CVE AOSP bağlantıları olan hatalar şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2015-6633 ANDROID-23987307 * kritik 6.0 ve altı Google Dahili
CVE-2015-6634 ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] kritik 5.1 ve altı Google Dahili

* Bu sorun için düzeltme eki AOSP'de değildir. Güncelleme, Google Geliştirici sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Bluetooth'ta Uzaktan Kod Yürütme Güvenlik Açığı

Android'in Bluetooth bileşenindeki bir güvenlik açığı uzaktan kod yürütülmesine izin verebilir. Ancak bunun gerçekleşmesi için birden fazla manuel adım gereklidir. Bunu yapmak için, kişisel alan ağı (PAN) profili etkinleştirildikten sonra (örneğin Bluetooth İnternet paylaşımı kullanılarak) ve cihaz eşleştirildikten sonra başarılı bir şekilde eşleştirilmiş bir cihaza ihtiyaç duyacaktır. Uzaktan kod yürütme, Bluetooth hizmetinin ayrıcalığı olacaktır. Bir cihaz bu sorundan yalnızca yerel yakınlıkta başarılı bir şekilde eşleştirilmiş bir cihazdan etkilenir.

Bu sorun Yüksek önem derecesi olarak derecelendirilmiştir, çünkü bir saldırgan yalnızca birden çok manuel adım atandıktan sonra ve daha önce bir aygıtı eşleştirmesine izin verilen yerel olarak yakın bir saldırgandan uzaktan kod yürütebilir.

CVE Hata (lar) şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2015-6618 ANDROID-24595992 * Yüksek 4.4, 5.0 ve 5.1 28 Eyl 2015

* Bu sorun için düzeltme eki AOSP'de değildir. Güncelleme, Google Geliştirici sitesinde bulunan Nexus cihazları için en son ikili sürücülerde bulunur.

Özgürlüklerde Ayrıcalık Yükselmesi Güvenlik Açığı

Libstagefright'ta, yerel bir kötü amaçlı uygulamanın mediaserver hizmeti bağlamında rasgele kod yürütmesine olanak verebilecek birden fazla güvenlik açığı bulunmaktadır. Üçüncü taraf uygulamalar tarafından erişilemeyen Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler kazanmak için kullanılabileceğinden, bu sorun Yüksek önem derecesine sahiptir.

CVE AOSP bağlantıları olan hatalar şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2015-6620 ANDROID-24123723 Yüksek 6.0 ve altı 10 Eyl 2015
ANDROID-24445127 Yüksek 6.0 ve altı 2 Eyl 2015

SystemUI'de Ayrıcalık Yükselmesi Güvenlik Açığı

Saat uygulamasını kullanarak bir alarm ayarlarken, SystemUI bileşenindeki bir güvenlik açığı, uygulamanın görevi ayrıcalık düzeyinde yükseltmesine izin verebilir. Üçüncü taraf uygulamalar tarafından erişilemeyen Signature veya SignatureOrSystem izinleri ayrıcalıkları gibi yükseltilmiş yetenekler kazanmak için kullanılabileceğinden, bu sorun Yüksek önem derecesine sahiptir.

CVE AOSP bağlantıları olan hatalar şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2015-6621 ANDROID-23909438 Yüksek 5.0, 5.1 ve 6.0 7 Eyl 2015

Yerel Çerçeveler Kütüphanesinde Bilginin Açığa Çıkması Güvenlik Açığı

Android Yerel Çerçeveler Kitaplığı'ndaki bir bilginin açığa çıkması güvenlik açığı, saldırganların platformdan yararlanma güçlüğünü artırmak için yürürlükteki güvenlik önlemlerinin atlanmasına izin verebilir. Bu sorunlar Yüksek önem derecesi olarak derecelendirilmiştir, çünkü üçüncü taraf uygulamaların erişemeyeceği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler kazanmak için de kullanılabilirler.

CVE AOSP bağlantıları olan hatalar şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2015-6622 ANDROID-23905002 Yüksek 6.0 ve altı 7 Eyl 2015

Wi-Fi'de Ayrıcalık Yükselmesi Güvenlik Açığı

Kablosuz ağda bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, yükseltilmiş bir sistem hizmeti bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek önem derecesi olarak derecelendirilmiştir, çünkü üçüncü taraf bir uygulama tarafından erişilemeyen Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler kazanmak için kullanılabilir.

CVE AOSP bağlantıları olan hatalar şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2015-6623 ANDROID-24872703 Yüksek 6 Google Dahili

Sistem Sunucusunda Ayrıcalık Yükselmesi Güvenlik Açığı

Sistem Sunucusu bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın hizmetle ilgili bilgilere erişmesini sağlayabilir. Üçüncü taraf uygulamalar tarafından erişilemeyen Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler kazanmak için kullanılabileceğinden, bu sorun Yüksek önem derecesine sahiptir.

CVE AOSP bağlantıları olan hatalar şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2015-6624 ANDROID-23999740 Yüksek 6 Google dahili

Bilgi ifşasının özgürlükteki zafiyetleri

Ortam sunucusuyla iletişim sırasında, platformdan yararlanan saldırganların zorluğunu arttırmak için güvenlik önlemlerinin atlanmasına izin verebileceğinden, bilgi korkusunda güvenlik açığı bulunmaktadır. Bu sorunlar Yüksek önem derecesi olarak derecelendirilmiştir, çünkü üçüncü taraf uygulamaların erişemeyeceği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler kazanmak için de kullanılabilirler.

CVE AOSP bağlantıları olan hatalar şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2015-6632 ANDROID-24346430 Yüksek 6.0 ve altı Google Dahili
CVE-2015-6626 ANDROID-24310423 Yüksek 6.0 ve altı 2 Eyl 2015
CVE-2015-6631 ANDROID-24623447 Yüksek 6.0 ve altı 21 Ağu 2015

Seslerde Bilginin Açığa Çıkması Güvenlik Açığı

Ses dosyası işlenirken Ses bileşenindeki bir güvenlik açığından yararlanılabilir. Bu güvenlik açığı, özel hazırlanmış bir dosyanın işlenmesi sırasında yerel bir kötü amaçlı uygulamanın bilginin açığa çıkmasına neden olabilir. Üçüncü taraf uygulamalar tarafından erişilemeyen Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler kazanmak için kullanılabileceğinden, bu sorun Yüksek önem derecesine sahiptir.

CVE AOSP bağlantıları olan hatalar şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2015-6627 ANDROID-24211743 Yüksek 6.0 ve altı Google Dahili

Medya Çerçevesinde Bilginin Açığa Çıkması Güvenlik Açığı

Media Framework'te, medya sunucusuyla iletişim sırasında, platformdan yararlanan saldırganların zorluğunu artırmak için güvenlik önlemlerinin atlanmasına izin verebilecek bir bilgi açığı güvenlik açığı bulunmaktadır. Bu sorun Yüksek önem derecesi olarak derecelendirilmiştir, çünkü üçüncü taraf uygulamaların erişemediği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler kazanmak için de kullanılabilir.

CVE AOSP bağlantıları olan hatalar şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2015-6628 ANDROID-24074485 Yüksek 6.0 ve altı 8 Eyl 2015

Wi-Fi'de Bilginin Açığa Çıkması Güvenlik Açığı

Wi-Fi bileşenindeki bir güvenlik açığı, bir saldırganın Wi-Fi hizmetinin bilgileri ifşa etmesine neden olmasına neden olabilir. Üçüncü taraf uygulamalar tarafından erişilemeyen Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler kazanmak için kullanılabileceğinden, bu sorun Yüksek önem derecesine sahiptir.

CVE AOSP bağlantıları olan hatalar şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2015-6629 ANDROID-22667667 Yüksek 5.1 ve 5.0 Google Dahili

Sistem Sunucusunda Ayrıcalık Yükselmesi Güvenlik Açığı

Sistem Sunucusundaki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın Wi-Fi hizmetiyle ilgili bilgilere erişmesini sağlayabilir. Bu sorun Orta şiddette olarak derecelendirilmiştir, çünkü “ tehlikeli ” izinlerin yanlış alınması için kullanılabilir.

CVE AOSP bağlantıları olan hatalar şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2015-6625 ANDROID-23936840 ılımlı 6 Google Dahili

SystemUI'de Bilginin Açığa Çıkması Güvenlik Açığı

SystemUI'deki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın ekran görüntülerine erişmesini sağlayabilir. Bu sorun Orta şiddette olarak derecelendirilmiştir, çünkü “ tehlikeli ” izinlerin yanlış alınması için kullanılabilir.

CVE AOSP bağlantılarına sahip hatalar şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2015-6630 ANDROID-19121797 ılımlı 5.0, 5.1 ve 6.0 22 Ocak 2015

Sık Sorulan Sorular ve Cevapları

Bu bölümde, bu bülteni okuduktan sonra oluşabilecek sık sorulan soruların yanıtları incelenecektir.

1. Cihazımın bu sorunları giderecek şekilde güncellenip güncellenmediğini nasıl belirlerim?

LMY48Z veya daha yenisini ve 1 Aralık 2015 veya daha sonraki Güvenlik Düzeltme Eki ile Android 6.0'ı oluşturur. Güvenlik düzeltme eki düzeyinin nasıl denetleneceğine ilişkin talimatlar için Nexus belgelerine bakın. Bu güncellemeleri içeren cihaz üreticileri yama dizesi seviyesini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]: [2015-12-01]

Düzeltmeler

  • 07 Aralık 2015: Başlangıçta Yayınlandı
  • 09 Aralık 2015: Bülten AOSP bağlantılarını içerecek şekilde revize edildi.
  • 22 Aralık 2015: Teşekkürler bölümüne eksik kredi eklendi.
  • 07 Mart 2016: Teşekkürler bölümüne eksik kredi eklendi.