Buletin Keamanan Nexus—Januari 2016

Diterbitkan 04 Januari 2016 | Diperbarui 28 April 2016

Kami telah merilis pembaruan keamanan untuk perangkat Nexus melalui pembaruan over-the-air (OTA) sebagai bagian dari proses Rilis Bulanan Buletin Keamanan Android kami. Gambar firmware Nexus juga telah dirilis ke situs Pengembang Google . Membangun LMY49F atau lebih baru dan Android 6.0 dengan Tingkat Patch Keamanan 1 Januari 2016 atau lebih baru untuk mengatasi masalah ini. Lihat bagian Pertanyaan dan Jawaban Umum untuk detail selengkapnya.

Mitra diberitahu tentang dan memberikan pembaruan untuk masalah yang dijelaskan dalam buletin ini pada tanggal 7 Desember 2015 atau sebelumnya. Jika berlaku, patch kode sumber untuk masalah ini telah dirilis ke repositori Android Open Source Project (AOSP).

Yang paling parah dari masalah ini adalah kerentanan keamanan Kritis yang dapat mengaktifkan eksekusi kode jarak jauh pada perangkat yang terpengaruh melalui beberapa metode seperti email, penelusuran web, dan MMS saat memproses file media. Penilaian tingkat keparahan didasarkan pada efek eksploitasi kerentanan yang mungkin terjadi pada perangkat yang terpengaruh, dengan asumsi platform dan mitigasi layanan dinonaktifkan untuk tujuan pengembangan atau jika berhasil dilewati.

Kami tidak memiliki laporan eksploitasi pelanggan aktif dari masalah yang baru dilaporkan ini. Lihat bagian Mitigasi untuk detail tentang perlindungan platform keamanan Android dan perlindungan layanan seperti SafetyNet, yang meningkatkan keamanan platform Android. Kami mendorong semua pelanggan untuk menerima pembaruan ini ke perangkat mereka.

Mitigasi

Ini adalah ringkasan mitigasi yang disediakan oleh platform keamanan Android dan perlindungan layanan seperti SafetyNet. Kemampuan ini mengurangi kemungkinan kerentanan keamanan berhasil dieksploitasi di Android.

  • Eksploitasi untuk banyak masalah di Android menjadi lebih sulit dengan peningkatan versi platform Android yang lebih baru. Kami mendorong semua pengguna untuk memperbarui ke versi Android terbaru jika memungkinkan.
  • Tim Keamanan Android secara aktif memantau penyalahgunaan dengan Verifikasi Aplikasi dan SafetyNet yang akan memperingatkan tentang aplikasi yang berpotensi berbahaya yang akan dipasang. Alat rooting perangkat dilarang di Google Play. Untuk melindungi pengguna yang menginstal aplikasi dari luar Google Play, Verifikasi Aplikasi diaktifkan secara default dan akan memperingatkan pengguna tentang aplikasi rooting yang diketahui. Verifikasi Aplikasi mencoba mengidentifikasi dan memblokir pemasangan aplikasi berbahaya yang diketahui yang mengeksploitasi kerentanan eskalasi hak istimewa. Jika aplikasi tersebut telah diinstal, Verifikasi Aplikasi akan memberi tahu pengguna dan mencoba menghapus aplikasi tersebut.
  • Jika sesuai, aplikasi Google Hangouts dan Messenger tidak secara otomatis meneruskan media ke proses seperti server media.

Ucapan Terima Kasih

Kami ingin mengucapkan terima kasih kepada para peneliti ini atas kontribusi mereka:

  • Abhishek Arya, Oliver Chang, dan Martin Barbella dari Tim Keamanan Google Chrome: CVE-2015-6636
  • Sen Nie ( @nforest_ ) dan jfang dari KEEN lab, Tencent ( @K33nTeam ): CVE-2015-6637
  • Yabin Cui dari Tim Android Bionic: CVE-2015-6640
  • Tom Craig dari Google X: CVE-2015-6641
  • Jann Horn ( https://thejh.net ): CVE-2015-6642
  • Jouni Malinen PGP id EFC895FA: CVE-2015-5310
  • Quan Nguyen dari Tim Insinyur Keamanan Informasi Google: CVE-2015-6644
  • Gal Beniamini ( @laginimaineb , http://bits-please.blogspot.com ): CVE-2015-6639

Detail Kerentanan Keamanan

Di bagian di bawah ini, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku untuk level patch 01-01-2016. Ada deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, bug terkait, tingkat keparahan, versi yang diperbarui, dan tanggal yang dilaporkan. Jika tersedia, kami akan menautkan perubahan AOSP yang mengatasi masalah tersebut ke ID bug. Ketika beberapa perubahan terkait dengan satu bug, referensi AOSP tambahan ditautkan ke nomor yang mengikuti ID bug.

Kerentanan Eksekusi Kode Jarak Jauh di Mediaserver

Selama file media dan pemrosesan data dari file yang dibuat khusus, kerentanan di server media dapat memungkinkan penyerang menyebabkan kerusakan memori dan eksekusi kode jarak jauh sebagai proses server media.

Fungsionalitas yang terpengaruh disediakan sebagai bagian inti dari sistem operasi dan ada beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media browser.

Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks layanan server media. Layanan server media memiliki akses ke aliran audio dan video serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.

CVE Bug dengan tautan AOSP Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2015-6636 ANDROID-25070493 Kritis 5.0, 5.1.1, 6.0, 6.0.1 Google Internal
ANDROID-24686670 Kritis 5.0, 5.1.1, 6.0, 6.0.1 Google Internal

Peningkatan Kerentanan Privilege di driver misc-sd

Peningkatan kerentanan hak istimewa pada driver misc-sd dari MediaTek dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer di dalam kernel. Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan kompromi perangkat permanen lokal, dalam hal ini perangkat mungkin perlu diperbaiki dengan mem-flash ulang sistem operasi.

CVE Bug) Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2015-6637 ANDROID-25307013* Kritis 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26 Oktober 2015

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Hak Istimewa dalam driver Imagination Technologies

Peningkatan kerentanan hak istimewa dalam driver kernel dari Imagination Technologies dapat mengaktifkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer di dalam kernel. Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan kompromi perangkat permanen lokal, dalam hal ini perangkat mungkin perlu diperbaiki dengan mem-flash ulang sistem operasi.

CVE Bug) Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2015-6638 ANDROID-24673908* Kritis 5.0, 5.1.1, 6.0, 6.0.1 Google Internal

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Privilege di Trustzone

Peningkatan kerentanan hak istimewa dalam aplikasi Widevine QSEE TrustZone dapat memungkinkan kompromi, aplikasi istimewa dengan akses ke QSEECOM untuk mengeksekusi kode arbitrer dalam konteks Trustzone. Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan kompromi perangkat permanen lokal, dalam hal ini perangkat mungkin perlu diperbaiki dengan mem-flash ulang sistem operasi.

CVE Bug) Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2015-6639 ANDROID-24446875* Kritis 5.0, 5.1.1, 6.0, 6.0.1 23 Sep 2015
CVE-2015-6647 ANDROID-24441554* Kritis 5.0, 5.1.1, 6.0, 6.0.1 27 Sep 2015

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Privilege di Kernel

Peningkatan kerentanan hak istimewa di kernel dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer di kernel. Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan kompromi perangkat permanen lokal, dalam hal ini perangkat mungkin perlu diperbaiki dengan mem-flash ulang sistem operasi.

CVE Bug dengan Tautan AOSP Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2015-6640 ANDROID-20017123 Kritis 4.4.4, 5.0, 5.1.1, 6.0 Google Internal

Peningkatan Kerentanan Hak Istimewa di Bluetooth

Peningkatan kerentanan hak istimewa dalam komponen Bluetooth dapat memungkinkan perangkat jarak jauh yang dipasangkan melalui Bluetooth untuk mendapatkan akses ke informasi pribadi pengguna (Kontak). Masalah ini dinilai sebagai tingkat keparahan tinggi karena dapat digunakan untuk mendapatkan kemampuan " berbahaya " dari jarak jauh, izin ini hanya dapat diakses oleh aplikasi pihak ketiga yang diinstal secara lokal.

CVE Bug dengan tautan AOSP Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2015-6641 ANDROID-23607427 [ 2 ] Tinggi 6.0, 6.0.1 Google Internal

Kerentanan Pengungkapan Informasi di Kernel

Kerentanan pengungkapan informasi di kernel dapat memungkinkan tindakan keamanan yang di-bypass untuk meningkatkan kesulitan penyerang mengeksploitasi platform. Masalah ini dinilai sebagai tingkat keparahan tinggi karena juga dapat digunakan untuk mendapatkan kemampuan yang lebih tinggi, seperti hak istimewa izin Signature atau SignatureOrSystem , yang tidak dapat diakses oleh aplikasi pihak ketiga.

CVE Bug) Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2015-6642 ANDROID-24157888* Tinggi 4.4.4, 5.0, 5.1.1, 6.0 12 Sep 2015

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Privilege di Setup Wizard

Peningkatan kerentanan hak istimewa di Wizard Penyiapan dapat memungkinkan penyerang dengan akses fisik ke perangkat untuk mendapatkan akses ke pengaturan perangkat dan melakukan penyetelan ulang perangkat secara manual. Masalah ini dinilai sebagai tingkat keparahan Sedang karena dapat digunakan untuk mengatasi perlindungan reset pabrik secara tidak benar.

CVE Bug dengan tautan AOSP Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2015-6643 ANDROID-25290269 [ 2 ] Sedang 5.1.1, 6.0, 6.0.1 Google Internal

Peningkatan Kerentanan Privilege di Wi-Fi

Peningkatan kerentanan hak istimewa dalam komponen Wi-Fi dapat memungkinkan penyerang terdekat secara lokal untuk mendapatkan akses ke informasi terkait layanan Wi-Fi. Perangkat hanya rentan terhadap masalah ini saat berada dalam jarak lokal. Masalah ini dinilai sebagai tingkat keparahan Sedang karena dapat digunakan untuk mendapatkan kemampuan " normal " dari jarak jauh, izin ini hanya dapat diakses oleh aplikasi pihak ketiga yang diinstal secara lokal.

CVE Bug dengan tautan AOSP Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2015-5310 ANDROID-25266660 Sedang 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 Oktober 2015

Kerentanan Pengungkapan Informasi di Bouncy Castle

Kerentanan pengungkapan informasi di Bouncy Castle dapat mengaktifkan aplikasi jahat lokal untuk mendapatkan akses ke informasi pribadi pengguna. Masalah ini dinilai sebagai tingkat keparahan Sedang karena dapat digunakan untuk mendapatkan izin " berbahaya " secara tidak benar.

CVE Bug dengan tautan AOSP Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2015-6644 ANDROID-24106146 Sedang 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 Google Internal

Kerentanan Denial of Service di SyncManager

Kerentanan penolakan layanan di SyncManager dapat mengaktifkan aplikasi berbahaya lokal untuk menyebabkan loop boot ulang. Masalah ini dinilai sebagai tingkat keparahan Sedang karena dapat digunakan untuk menyebabkan penolakan layanan sementara lokal yang mungkin perlu diperbaiki melalui reset pabrik.

CVE Bug dengan tautan AOSP Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2015-6645 ANDROID-23591205 Sedang 4.4.4, 5.0, 5.1.1, 6.0 Google Internal

Pengurangan Permukaan Serangan untuk Kernel Nexus

SysV IPC tidak didukung di Kernel Android mana pun. Kami telah menghapus ini dari OS karena memperlihatkan permukaan serangan tambahan yang tidak menambahkan fungsionalitas ke sistem yang dapat dieksploitasi oleh aplikasi jahat. Selain itu, IPC Sistem V tidak sesuai dengan siklus hidup aplikasi Android karena sumber daya yang dialokasikan tidak dapat dibebaskan oleh manajer memori yang menyebabkan kebocoran sumber daya kernel global. Perubahan ini mengatasi masalah seperti CVE-2015-7613.

CVE Bug) Kerasnya Versi yang diperbarui Tanggal dilaporkan
CVE-2015-6646 ANDROID-22300191* Sedang 6.0 Google Internal

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Pertanyaan dan Jawaban Umum

Bagian ini mengulas jawaban atas pertanyaan umum yang mungkin muncul setelah membaca buletin ini.

1. Bagaimana cara menentukan apakah perangkat saya diperbarui untuk mengatasi masalah ini?

Membangun LMY49F atau lebih baru dan Android 6.0 dengan Tingkat Patch Keamanan 1 Januari 2016 atau lebih baru untuk mengatasi masalah ini. Lihat dokumentasi Nexus untuk petunjuk tentang cara memeriksa tingkat patch keamanan. Produsen perangkat yang menyertakan pembaruan ini harus menyetel level string patch ke: [ro.build.version.security_patch]:[01-01-2016]

Revisi

  • 04 Januari 2016: Buletin diterbitkan.
  • 06 Januari 2016: Buletin direvisi untuk menyertakan tautan AOSP.
  • 28 April 2016: Menghapus CVE-2015-6617 dari Ucapan Terima Kasih dan menambahkan CVE-2015-6647 ke tabel ringkasan