גוגל מחויבת לקדם הון גזעי עבור קהילות שחורות. תראה איך.
דף זה תורגם על ידי Cloud Translation API.
Switch to English

עלון אבטחה של Nexus - מרץ 2016

פורסם ב- 07 במרץ 2016 | עודכן ב -8 במרץ, 2016

פרסמנו עדכון אבטחה למכשירי Nexus דרך עדכון שידור מהיר (OTA) כחלק מתהליך השחרור החודשי של עלון האבטחה ב- Android. תמונות הקושחה של Nexus שוחררו גם לאתר המפתחים של גוגל . בונה LMY49H ואילך ו- Android M ברמת תיקון אבטחה מיום 01 במרץ, 2016 ואילך, מתייחס לבעיות אלה. עיין בתיעוד Nexus לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה.

השותפים קיבלו הודעה על הנושאים המתוארים בעלון ב- 1 בפברואר 2016 או קודם לכן. במידת הצורך, תיקוני קוד המקור לבעיות אלה שוחררו למאגר ה- Android Open Source Project (AOSP).

החמורה שבבעיות אלה היא פגיעות אבטחה קריטית העלולה לאפשר ביצוע קוד מרחוק בהתקן מושפע באמצעות שיטות מרובות כמו דואר אלקטרוני, גלישה באינטרנט ו- MMS בעת עיבוד קבצי מדיה. הערכת החומרה מבוססת על ההשפעה שעלולה להיות לניצול הפגיעות על מכשיר מושפע, בהנחה שהפחתת הפלטפורמה והשירותים מושבתות למטרות פיתוח או אם עקפו אותם בהצלחה.

לא היו לנו דיווחים על ניצול פעיל של לקוחות מהבעיות החדשות המדווחות הללו. עיין בסעיף Migigations לפרטים על הגנות פלטפורמת האבטחה של Android והגנות השירות כגון SafetyNet המשפרות את האבטחה של פלטפורמת Android. אנו מעודדים את כל הלקוחות לקבל עדכונים אלה למכשירים שלהם.

הקלות

זהו סיכום של ההקלות שמספקות פלטפורמת האבטחה של Android והגנות השירות כמו SafetyNet. יכולות אלה מקטינות את הסבירות שניתן לנצל בהצלחה פגיעויות אבטחה ב- Android.

  • הניצול לסוגיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו מעודדים את כל המשתמשים לעדכן לגרסה האחרונה של אנדרואיד במידת האפשר.
  • צוות האבטחה של אנדרואיד עוקב באופן פעיל אחר שימוש לרעה באמצעות Verify Apps ו- SafetyNet, אשר יתריע על יישומים שעלולים להתקיים. כלי השתרשות מכשירים אסורים ב- Google Play. כדי להגן על משתמשים שמתקינים יישומים מחוץ ל- Google Play, אמת האפליקציות מופעל כברירת מחדל ויזהיר משתמשים לגבי יישומי השתרשות ידועים. אמת Apps מנסה לזהות ולחסום התקנה של אפליקציות זדוניות ידועות המנצלות פגיעות של הסלמת הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע למשתמש וינסה להסיר כל יישום כזה.
  • בהתאם לצורך, יישומי Google Hangouts ו- Messenger אינם מעבירים מדיה אוטומטית לתהליכים כמו שרת מדיה.

תודות

אנו רוצים להודות לחוקרים אלה על תרומתם:

  • אבהישק אריה, אוליבר צ'אנג ומרטין ברבלה מצוות האבטחה של גוגל כרום: CVE-2016-0815
  • Anestis Bechtsoudis ( @anestisb ) של CENSUS SA: CVE-2016-0816, CVE-2016-0824
  • צ'אד ברובייקר מאבטחת אנדרואיד: CVE-2016-0818
  • סמן מותג של אפס פרוייקט גוגל: CVE-2016-0820
  • מינג'יאן ג'ואו ( @Mingjian_Zhou ), צ'יאצ'יה וו ( @chiachih_wu ) ו- Xuxian Jiang מצוות C0RE מקבוצת Qihoo 360 : CVE-2016-0826
  • פיטר פי ( @heisecode ) מ- Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
  • סקוט באואר ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
  • מאחל וו ( @wish_wu ) מ- Trend Micro Inc .: CVE-2016-0819
  • יונגז'נג וו וטייאן לי מ- Huawei: CVE-2016-0831
  • סו מון קיווה וינג'י-לי לי מאוניברסיטת הניהול בסינגפור: CVE-2016-0831
  • זאק ריגלי ( @ ebeip90 ) מצוות האבטחה של אנדרואיד: CVE-2016-0821

פרטי הפגיעות באבטחה

בסעיפים שלהלן אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון 2016-03-01. יש תיאור של הבעיה, רציונל של חומרה וטבלה עם ה- CVE, באג המשויך, חומרתה, גרסאות מושפעות ותאריך המדווח. כאשר הוא זמין, נקשר את שינוי ה- AOSP שטיפל בנושא במזהה הבאג. כאשר שינויים מרובים קשורים לבאג בודד, הפניות AOSP נוספות מקושרות למספרים העוקבים אחר מזהה הבאג.

פגיעות של ביצוע קוד מרחוק ב- Mediaserver

במהלך עיבוד קבצי מדיה ונתונים של קובץ בעל מבנה מיוחד, פגיעויות בשרת המדיה עלולות לאפשר לתוקף לגרום לשחיתות זיכרון וביצוע קוד מרחוק כתהליך המדיאס.

הפונקציונליות המושפעת ניתנת כחלק ליבה במערכת ההפעלה, וישנם יישומים רבים המאפשרים להגיע אליו עם תוכן מרוחק, ובמיוחד MMS והשמעת דפדפן של מדיה.

נושא זה דורג כחומרה קריטית בגלל האפשרות לביצוע קוד מרחוק במסגרת שירות המדיה. לשירות המדיה יש גישה לזרמי שמע ווידאו, כמו גם גישה להרשאות שאפליקציות צד ג 'לא יכולות לגשת אליהן בדרך כלל.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2016-0815 ANDROID-26365349 קריטי 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 גוגל פנימי
CVE-2016-0816 ANDROID-25928803 קריטי 6.0, 6.0.1 גוגל פנימי

פגיעויות של ביצוע קוד מרחוק ב- libvpx

במהלך עיבוד קבצי מדיה ונתונים של קובץ בעל מבנה מיוחד, פגיעויות בשרת המדיה עלולות לאפשר לתוקף לגרום לשחיתות זיכרון וביצוע קוד מרחוק כתהליך המדיאס.

הפונקציונליות המושפעת ניתנת כחלק ליבה במערכת ההפעלה וישנם מספר יישומים המאפשרים להגיע אליו באמצעות תוכן מרוחק, ובמיוחד MMS והשמעת דפדפן של מדיה.

הנושאים מדורגים כחומרת קריטית מכיוון שהם יכולים לשמש לביצוע קוד מרחוק במסגרת שירות השרת המתווך. לשירות המדיה יש גישה לזרמי שמע ווידאו, כמו גם גישה להרשאות שאפליקציות צד ג 'בדרך כלל אינן יכולות לגשת אליהן.

CVE באג עם קישורי AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2016-1621 ANDROID-23452792 [2] [3] קריטי 4.4.4, 5.0.2, 5.1.1, 6.0 גוגל פנימי

העלאת הרשאות בקונסקריפט

פגיעות ב- Conscrypt עשויה לאפשר בטענה שגויה של סוג מסוים של אישור לא חוקי, שהונפק על ידי רשות תעודות ביניים (CA). זה עשוי לאפשר התקפה של אדם באמצע. נושא זה דורג כחומרה קריטית בגלל האפשרות להעלאת הרשאות וביצוע קוד שרירותי מרוחק.

CVE באג עם קישורי AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2016-0818 ANDROID-26232830 [2] קריטי 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 גוגל פנימי

פגיעות של העלאת רמת הרשאות ברכיב הביצועים של קוואלקום

העלאת הפגיעות ברכיב הביצועים של Qualcomm עשויה לאפשר ליישום זדוני מקומי לבצע קוד שרירותי בגלעין. סוגיה זו מדורגת כחומרה קריטית בגלל האפשרות להתפשר על התקן קבוע מקומי, וניתן היה לתקן את המכשיר רק על ידי הברקה מחודשת של מערכת ההפעלה.

CVE חרק חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2016-0819 ANDROID-25364034 * קריטי 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 באוקטובר 2015

* התיקון לבעיה זו אינו נמצא ב- AOSP. העדכון כלול במנהלי ההתקנים הבינאריים האחרונים למכשירי Nexus הזמינים באתר המפתחים של גוגל .

פגיעות של העלאת רמת הרשאות במנהל התקן Wi-Fi Wi-Fi

קיימת פגיעות במנהל התקן הגרעין של MediaTek Wi-Fi העלול לאפשר ליישום זדוני מקומי לבצע קוד שרירותי בהקשר של הגרעין. נושא זה דורג כחומרה קריטית בגלל האפשרות להעלות הרשאות וביצוע קוד שרירותי בהקשר של הגרעין.

CVE חרק חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2016-0820 ANDROID-26267358 * קריטי 6.0.1 18 בדצמבר 2015

* התיקון לבעיה זו אינו נמצא ב- AOSP. העדכון כלול במנהלי ההתקנים הבינאריים האחרונים למכשירי Nexus הזמינים באתר המפתחים של גוגל .

פגיעות של העלאת הרשאות ברכיב Keyring Keyring

העלאת הפגיעות ברכיב Keerning Keyring עשויה לאפשר ליישום זדוני מקומי לבצע קוד שרירותי בתוך הגרעין. סוגיה זו מדורגת כחומרה קריטית בגלל האפשרות להתפשר על התקן קבוע מקומי וייתכן שתיקון זה יתוקן רק על ידי הברקה מחדש של מערכת ההפעלה. עם זאת, בגרסאות אנדרואיד 5.0 ומעלה, כללי SELinux מונעים מאפליקציות צד ג 'להגיע לקוד המושפע.

הערה: לעיון, התיקון ב- AOSP זמין לגירסאות גרעין ספציפיות: 4.1 , 3.18 , 3.14 ו- 3.10 .

CVE חרק חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2016-0728 ANDROID-26636379 קריטי 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 בינואר 2016

פגיעות של מעקף עוקף הליבה

פגיעות של עקיפה מקלה בגרעין עשויות לאפשר עקיפה של אמצעי אבטחה שנועדו להגביר את הקושי של התוקפים לנצל את הרציף. נושא זה דורג כחומרה גבוהה מכיוון שהוא יכול לאפשר עקיפה של אמצעי אבטחה שנועדו להגביר את הקושי של התוקפים המנצלים את הרציף.

הערה: העדכון לבעיה זו נמצא במעלה הזרם של לינוקס .

CVE חרק חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2016-0821 ANDROID-26186802 גָבוֹהַ 6.0.1 גוגל פנימי

העלאת הרשאות במנהל התקן הליבה של מדיה טק

קיימת פגיעות של העלאת הרשאות במנהל התקן גרעין קישוריות של MediaTek העלול לאפשר ליישום זדוני מקומי לבצע קוד שרירותי בהקשר של הגרעין. בדרך כלל באג ביצוע קוד גרעין כמו זה יוגדר קריטי, אך מכיוון שהוא דורש פגיעה ראשונה בשירות conn_launcher, הוא מצדיק שדרוג לאחור לדירוג חומרה גבוהה.

CVE חרק חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2016-0822 ANDROID-25873324 * גָבוֹהַ 6.0.1 24 בנובמבר 2015

* התיקון לבעיה זו אינו נמצא ב- AOSP. העדכון כלול במנהלי ההתקנים הבינאריים האחרונים למכשירי Nexus הזמינים באתר המפתחים של גוגל .

פגיעות של גילוי מידע בקרנל

פגיעות בגילוי מידע בגרעין עשויה לאפשר עקיפה של אמצעי אבטחה שנועדו להגביר את הקושי של התוקפים לנצל את הפלטפורמה. נושאים אלה מדורגים כחומרת גבוהה מכיוון שהם יכולים לאפשר עקיפה מקומית של טכנולוגיות להפחתת ניצול כמו ASLR בתהליך מיוחס.

הערה: התיקון לבעיה זו ממוקם במערכת ההפעלה לינוקס .

CVE חרק חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2016-0823 ANDROID-25739721 * גָבוֹהַ 6.0.1 גוגל פנימי

* התיקון לבעיה זו אינו נמצא ב- AOSP. העדכון כלול במנהלי ההתקנים הבינאריים האחרונים למכשירי Nexus הזמינים באתר המפתחים של גוגל .

פגיעות של גילוי מידע באורח libstag

פגיעות בגילוי מידע באורח libstag עלולה לאפשר עקיפה של אמצעי אבטחה שנועדו להגביר את הקושי של התוקפים לנצל את הרציף. סוגיות אלו הנן בעלות דירוג חומרה גבוהה משום שהם יכולים לשמש גם כדי להשיג יכולות גבוהות, כגון חתימה או SignatureOrSystem הרשאות הרשאות, אשר אינן נגישים יישומי צד שלישי.

CVE באג עם קישור AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2016-0824 ANDROID-25765591 גָבוֹהַ 6.0, 6.0.1 18 בנובמבר 2015

פגיעות של גילוי מידע ב- Widewine

פגיעות של גילוי מידע ביישום Widevine Trusted עשויה לאפשר לקוד הפועל בהקשר של הגלעין לגשת למידע באחסון מאובטח של TrustZone. בעיה זו מדורגת בדרגת חומרה גבוהה כי זה יכול לשמש כדי להשיג יכולות גבוהות, כגון חתימה או SignatureOrSystem הרשאות הרשאות.

CVE באגים) חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2016-0825 ANDROID-20860039 * גָבוֹהַ 6.0.1 גוגל פנימי

* התיקון לבעיה זו אינו נמצא ב- AOSP. העדכון כלול במנהלי ההתקנים הבינאריים האחרונים למכשירי Nexus הזמינים באתר המפתחים של גוגל .

פגיעות של העלאת רמת הרשאות ב- Mediaserver

העלאת הפגיעות בהגדרת המדיה עלולה לאפשר ליישום זדוני מקומי לבצע קוד שרירותי בהקשר של יישום מערכת מוגבה. בעיה זו מדורגת בדרגת חומרה גבוהה כי זה יכול לשמש כדי להשיג יכולות גבוהות, כגון חתימה או SignatureOrSystem הרשאות הרשאות, אשר אינן נגישים יישום צד שלישי.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2016-0826 ANDROID-26265403 [2] גָבוֹהַ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 בדצמבר 2015
CVE-2016-0827 ANDROID-26347509 גָבוֹהַ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 בדצמבר 2015

פגיעות של גילוי מידע ב- Mediaserver

פגיעות בגילוי מידע בשרת המדיה עשויה לאפשר עקיפה של אמצעי אבטחה שנועדו להגביר את הקושי של התוקפים המנצלים את הפלטפורמה. סוגיות אלו הנן בעלות דירוג חומרה גבוהה משום שהם יכולים לשמש גם כדי להשיג יכולות גבוהות, כגון חתימה או SignatureOrSystem הרשאות הרשאות, אשר אינו נגישות יישומי צד שלישי.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2016-0828 ANDROID-26338113 גָבוֹהַ 5.0.2, 5.1.1, 6.0, 6.0.1 27 בדצמבר 2015
CVE-2016-0829 ANDROID-26338109 גָבוֹהַ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 בדצמבר 2015

פגיעות של מניעת שירות מרחוק ב- Bluetooth

פגיעות של מניעת שירות מרחוק ברכיב ה- Bluetooth עשויה לאפשר לתוקף פרוקסימלי לחסום גישה למכשיר מושפע. תוקף עלול לגרום להצפה של מכשירי Bluetooth מזוהים ברכיב ה- Bluetooth, מה שמוביל לשחיתות זיכרון והפסקת השירות. זה דורג כחומרה גבוהה מכיוון שהוא מוביל לשלילת שירות לשירות ה- Bluetooth, שעשוי לתקן רק עם הבזק של המכשיר.

CVE באג עם קישור AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2016-0830 ANDROID-26071376 גָבוֹהַ 6.0, 6.0.1 גוגל פנימי

פגיעות של גילוי מידע בטלפוניה

פגיעות של גילוי מידע ברכיב הטלפוניה עשויה לאפשר ליישום לגשת למידע רגיש. נושא זה דורג חומרה בינונית מכיוון שניתן להשתמש בו כדי לגשת בצורה לא נכונה לנתונים ללא אישור.

CVE באג עם קישור AOSP חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2016-0831 ANDROID-25778215 לְמַתֵן 5.0.2, 5.1.1, 6.0, 6.0.1 16 בנובמבר 2015

פגיעות של הרמת הרשאות באשף ההתקנה

פגיעות באשף ההתקנה עלולה לאפשר לתוקף שהיה לו גישה פיזית למכשיר לקבל גישה להגדרות המכשיר ולבצע איפוס מכשיר ידני. בעיה זו מדורגת כחומרת בינונית מכיוון שהיא יכולה לשמש לעבודה לא נכונה סביב ההגנה לאיפוס המפעל.

CVE באגים) חוּמרָה גרסאות מעודכנות התאריך המדווח
CVE-2016-0832 ANDROID-25955042 * לְמַתֵן 5.1.1, 6.0, 6.0.1 גוגל פנימי

* לא קיים תיקון קוד מקור לעדכון זה.

שאלות ותשובות נפוצות

פרק זה סוקר תשובות לשאלות נפוצות שעלולות להופיע לאחר קריאת עלון זה.

1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלה?

בונה LMY49H ואילך ו- Android 6.0 ברמת תיקון אבטחה של 1 במרץ, 2016 ואילך, מתייחס לבעיות אלה. עיין בתיעוד Nexus לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה. יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל: [ro.build.version.security_patch]: [2016-03-01]

מהדורות

  • 07 במרץ 2016: עלון פורסם.
  • 8 במרץ, 2016: העלון תוקן כך שיכלול קישורי AOSP.