Google, Siyah topluluklar için ırksal eşitliği ilerletmeye kararlıdır. Nasıl olduğunu gör.
Bu sayfa, Cloud Translation API ile çevrilmiştir.
Switch to English

Nexus Güvenlik Bülteni - Mart 2016

07 Mart 2016 Güncelleme: 08 Mart 2016

Android Güvenlik Bülteni Aylık Sürüm sürecimizin bir parçası olarak havadan (OTA) bir güncelleme yoluyla Nexus cihazlarına bir güvenlik güncellemesi yayınladık. Nexus ürün yazılımı resimleri de Google Geliştirici sitesine yayınlandı . LMY49H veya daha yenisini ve 01 Mart 2016 veya daha sonraki Güvenlik Düzeltme Eki Seviyesine sahip Android M'yi oluşturur. Güvenlik düzeltme eki düzeyinin nasıl denetleneceğine ilişkin talimatlar için Nexus belgelerine bakın.

İş ortaklarına 1 Şubat 2016 veya daha önceki bültende açıklanan konular hakkında bilgi verildi. Uygulanabilir olduğunda, bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposuna yayınlanmıştır.

Bu sorunlardan en önemlisi, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden çok yöntemle etkilenen bir aygıtta uzaktan kod yürütülmesine olanak verebilecek Kritik bir güvenlik açığıdır. Önem derecesi değerlendirmesi , platform ve hizmet azaltma önlemlerinin geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı takdirde, güvenlik açığından yararlanma olasılığının etkilenen bir aygıtta sahip olacağı etkiyi temel alır.

Yeni bildirilen bu sorunlardan etkin bir müşteri sömürüsü raporu almadık. Android platformunun güvenliğini artıran Android güvenlik platformu korumaları ve SafetyNet gibi hizmet korumalarıyla ilgili ayrıntılar için Azaltmalar bölümüne bakın. Tüm müşterileri bu güncellemeleri cihazlarında kabul etmeye teşvik ediyoruz.

azaltıcı etkenler

Bu, Android güvenlik platformu tarafından sağlanan hafifletmelerin ve SafetyNet gibi hizmet korumalarının bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.

  • Android'deki birçok sorun için sömürü, Android platformunun daha yeni sürümlerindeki geliştirmelerle daha da zorlaşıyor. Tüm kullanıcıları mümkün olduğunda Android'in en son sürümüne güncellemelerini öneririz.
  • Android Güvenlik ekibi, yüklenecek potansiyel olarak zararlı uygulamalar hakkında uyarıda bulunan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Google Play'de cihaz köklendirme araçlarının kullanılması yasaktır. Uygulamaları Google Play dışından yükleyen kullanıcıları korumak için, Uygulamaları Doğrula varsayılan olarak etkindir ve kullanıcıları bilinen köklendirme uygulamaları hakkında uyarır. Uygulamaların, bir ayrıcalık yükselmesi güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaların kurulumunu belirlemeye ve engellemeye çalıştığını doğrulayın. Böyle bir uygulama zaten yüklenmişse, Uygulamaları Doğrula kullanıcıyı bilgilendirir ve bu tür uygulamaları kaldırmayı dener.
  • Google Hangouts ve Messenger uygulamaları uygun şekilde medyayı otomatik olarak mediaserver gibi işlemlere geçirmez.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür ederiz:

  • Google Chrome Güvenlik Ekibi'nden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2016-0815
  • CENSUS SA için Anestis Bechtsoudis ( @anestisb ): CVE-2016-0816, CVE-2016-0824
  • Android Güvenlik'ten Chad Brubaker: CVE-2016-0818
  • Google Project Zero Mark Markası: CVE-2016-0820
  • Qihoo 360'tan C0RE Ekibinden Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve Xuxian Jiang: CVE-2016-0826
  • Trend Micro'dan Peter Pi ( @heisecode ): CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
  • Scott Bauer ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
  • Wish Micro ( @wish_wu ) - Trend Micro Inc .: CVE-2016-0819
  • Huawei'den Yongzheng Wu ve Tieyan Li: CVE-2016-0831
  • Singapur İşletme Üniversitesi'nden Su Mon Kywe ve Yingjiu Li: CVE-2016-0831
  • Android Güvenlik Ekibi Zach Riggle ( @ ebeip90 ): CVE-2016-0821

Güvenlik Açığı Ayrıntıları

Aşağıdaki bölümlerde, 2016-03-01 düzeltme eki düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun bir açıklaması, bir önem mantığı ve CVE, ilişkili hata, önem derecesi, etkilenen sürümler ve bildirilen tarih içeren bir tablo vardır. Mümkün olduğunda, sorunu ele alan AOSP değişikliğini hata kimliğine bağlayacağız. Birden çok değişiklik tek bir hatayla ilgili olduğunda, ek AOSP referansları hata kimliğini izleyen sayılara bağlanır.

Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açığı

Medya dosyası ve özel hazırlanmış bir dosyanın veri işlenmesi sırasında, medya sunucusundaki güvenlik açıkları, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olabilir.

Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanır ve uzak içerikle, özellikle de MMS ve tarayıcının medya oynatmasıyla erişilmesine izin veren birden fazla uygulama vardır.

Bu sorun, mediaserver hizmeti kapsamında uzaktan kod yürütme olasılığı nedeniyle Kritik bir önem olarak derecelendirilir. Medya sunucusu hizmeti, üçüncü taraf uygulamalarının normal olarak erişemediği ayrıcalıklara erişimin yanı sıra ses ve video akışlarına da erişime sahiptir.

CVE AOSP bağlantılı hatalar şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2016-0815 ANDROID-26365349 kritik 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Dahili
CVE-2016-0816 ANDROID-25928803 kritik 6.0, 6.0.1 Google Dahili

Libvpx'te Uzaktan Kod Yürütme Güvenlik Açıkları

Medya dosyası ve özel hazırlanmış bir dosyanın veri işlenmesi sırasında, medya sunucusundaki güvenlik açıkları, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olabilir.

Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanır ve uzak içerikle, özellikle de MMS ve tarayıcının medya oynatmasıyla erişilmesine izin veren birden fazla uygulama vardır.

Sorunlar, kritik sunucu şiddeti olarak derecelendirildi çünkü bu, mediaserver hizmeti bağlamında uzaktan kod yürütmek için kullanılabilir. Medya sunucusu hizmeti, üçüncü taraf uygulamalarının normal olarak erişemediği ayrıcalıklara erişimin yanı sıra ses ve video akışlarına da erişime sahiptir.

CVE AOSP bağlantılarında hata şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2016-1621 ANDROID-23452792 [2] [3] kritik 4.4.4, 5.0.2, 5.1.1, 6.0 Google Dahili

Conscrypt'te Ayrıcalık Yükselmesi

Conscrypt'teki bir güvenlik açığı, bir ara Sertifika Yetkilisi (CA) tarafından verilen belirli bir tür geçersiz sertifikanın yanlış güvenilmesine izin verebilir. Bu, ortadaki adam saldırısına izin verebilir. Bu sorun, ayrıcalık yükselmesi ve uzaktan rasgele kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilir.

CVE AOSP bağlantılarında hata şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2016-0818 ANDROID-26232830 [2] kritik 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Dahili

Qualcomm Performans Bileşeninde Ayrıcalık Yükselmesi Güvenlik Açığı

Qualcomm performans bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdekte rasgele kod yürütmesine olanak verebilir. Bu sorun, yerel kalıcı aygıt güvenliğinin aşılması olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilir ve aygıt yalnızca işletim sisteminin yeniden yanıp sönmesiyle onarılabilir.

CVE böcek şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2016-0819 ANDROID-25364034 * kritik 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 Ekim 2015

* Bu sorun için düzeltme eki AOSP'de değildir. Güncelleme, Google Geliştirici sitesinde bulunan Nexus cihazları için en son ikili sürücülerde bulunur.

MediaTek Wi-Fi Çekirdek Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı

MediaTek Wi-Fi çekirdek sürücüsünde, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilecek bir güvenlik açığı bulunmaktadır. Bu sorun, çekirdek bağlamında ayrıcalık yükselmesi ve rastgele kod yürütme olasılığı nedeniyle Kritik bir önem derecesi olarak değerlendirilir.

CVE böcek şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2016-0820 ANDROID-26267358 * kritik 6.0.1 18 Aralık 2015

* Bu sorun için düzeltme eki AOSP'de değildir. Güncelleme, Google Geliştirici sitesinde bulunan Nexus cihazları için en son ikili sürücülerde bulunur.

Çekirdek Anahtarlık Bileşeninde Ayrıcalık Yükselmesi Güvenlik Açığı

Çekirdek Anahtarlık Bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek içinde rasgele kod yürütmesine olanak verebilir. Bu sorun, yerel bir kalıcı aygıt güvenliğinin aşılması olasılığı nedeniyle Kritik önem olarak derecelendirilir ve aygıt yalnızca işletim sisteminin yeniden yanıp sönmesiyle giderilebilir. Ancak, Android 5.0 ve sonraki sürümlerde SELinux kuralları, üçüncü taraf uygulamaların etkilenen koda ulaşmasını önler.

Not: Referans olarak, AOSP'deki yama belirli çekirdek sürümleri için kullanılabilir: 4.1 , 3.18 , 3.14 ve 3.10 .

CVE böcek şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2016-0728 ANDROID-26636379 kritik 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 Ocak 2016

Çekirdekte Hafifletme Baypas Güvenlik Açığı

Çekirdekteki hafifletici bir baypas güvenlik açığı, saldırganların platformdan yararlanma güçlüğünü artırmak için yürürlükteki güvenlik önlemlerinin baypas edilmesine izin verebilir. Bu sorun Yüksek önem derecesi olarak derecelendirilmiştir çünkü platformdan yararlanan saldırganların zorluğunu artırmak için güvenlik önlemlerinin atlanmasına izin verebilir.

Not: Bu sorunla ilgili güncelleştirme , Linux yukarı akışında bulunur .

CVE böcek şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2016-0821 ANDROID-26186802 Yüksek 6.0.1 Google Dahili

MediaTek Bağlantı Çekirdeği Sürücüsünde Ayrıcalık Yükselmesi

MediaTek bağlantı çekirdek sürücüsünde, yerel kötü niyetli bir uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilecek bir ayrıcalık yükselmesi güvenlik açığı bulunmaktadır. Normalde bunun gibi bir çekirdek kodu yürütme hatası kritik olarak derecelendirilir, ancak öncelikle conn_launcher hizmetinden ödün verilmesini gerektirdiğinden, Yüksek önem derecesine düşürmeyi haklı çıkarır.

CVE böcek şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2016-0822 ANDROID-25873324 * Yüksek 6.0.1 24 Kasım 2015

* Bu sorun için düzeltme eki AOSP'de değildir. Güncelleme, Google Geliştirici sitesinde bulunan Nexus cihazları için en son ikili sürücülerde bulunur.

Çekirdeğin Bilginin Açığa Çıkması Güvenlik Açığı

Çekirdekteki bir bilgi açığı güvenlik açığı, saldırganların platformdan yararlanma güçlüğünü artırmak için yürürlükteki güvenlik önlemlerinin atlanmasına izin verebilir. Bu konular Yüksek önem derecesi olarak derecelendirilmiştir, çünkü ASLR gibi istismar azaltma teknolojilerinin ayrıcalıklı bir süreçte yerel bir şekilde atlanmasına izin verebilirler.

Not: Bu sorunla ilgili düzeltme, akış yukarı Linux'ta bulunmaktadır .

CVE böcek şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2016-0823 ANDROID-25739721 * Yüksek 6.0.1 Google Dahili

* Bu sorun için düzeltme eki AOSP'de değildir. Güncelleme, Google Geliştirici sitesinde bulunan Nexus cihazları için en son ikili sürücülerde bulunur.

Bilginin Açığa Çıkması lbstagefright'ta Güvenlik Açığı

Libstagefright'taki bir bilginin açığa çıkması güvenlik açığı, saldırganların platformdan yararlanma güçlüğünü artırmak için yürürlükteki güvenlik önlemlerinin atlanmasına izin verebilir. Bu sorunlar Yüksek önem derecesi olarak derecelendirilmiştir, çünkü üçüncü taraf uygulamaların erişemeyeceği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler kazanmak için de kullanılabilirler.

CVE AOSP bağlantısıyla ilgili hata şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2016-0824 ANDROID-25765591 Yüksek 6.0, 6.0.1 18 Kasım 2015

Geniş Alanda Bilginin Açığa Çıkması Güvenlik Açığı

Geniş Alan Güvenilir Uygulamasındaki bir bilginin açığa çıkması güvenlik açığı, çekirdek bağlamında çalışan kodun TrustZone güvenli depolama alanındaki bilgilere erişmesine izin verebilir. İmza veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabileceğinden bu sorun Yüksek önem derecesine sahiptir.

CVE Hata (lar) şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2016-0825 ANDROID-20860039 * Yüksek 6.0.1 Google Dahili

* Bu sorun için düzeltme eki AOSP'de değildir. Güncelleme, Google Geliştirici sitesinde bulunan Nexus cihazları için en son ikili sürücülerde bulunur.

Mediaserver'da Ayrıcalık Yükselmesi Güvenlik Açığı

Medya sunucusunda bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek önem derecesi olarak derecelendirilmiştir, çünkü üçüncü taraf bir uygulama tarafından erişilemeyen Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler kazanmak için kullanılabilir.

CVE AOSP bağlantılı hatalar şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2016-0826 ANDROID-26265403 [2] Yüksek 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 Aralık 2015
CVE-2016-0827 ANDROID-26347509 Yüksek 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 Aralık 2015

Mediaserver'da Bilginin Açığa Çıkması Güvenlik Açığı

Medya sunucusundaki bir bilginin açığa çıkması güvenlik açığı, saldırganların platformdan yararlanma güçlüğünü artırmak için yürürlükteki güvenlik önlemlerinin atlanmasına izin verebilir. Bu sorunlar Yüksek önem derecesi olarak derecelendirilmiştir, çünkü üçüncü taraf uygulamaların erişemeyeceği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler kazanmak için de kullanılabilirler.

CVE AOSP bağlantılı hatalar şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2016-0828 ANDROID-26338113 Yüksek 5.0.2, 5.1.1, 6.0, 6.0.1 27 Aralık 2015
CVE-2016-0829 ANDROID-26338109 Yüksek 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 Aralık 2015

Bluetooth'ta Uzaktan Hizmet Reddi Güvenlik Açığı

Bluetooth bileşenindeki uzaktan hizmet reddi güvenlik açığı, proksimal bir saldırganın etkilenen bir aygıta erişimi engellemesine izin verebilir. Saldırgan, Bluetooth bileşeninde tanımlanan Bluetooth aygıtlarının taşmasına neden olarak bellek bozulmasına ve hizmetin durmasına neden olabilir. Bu, Yüksek önem derecesi olarak derecelendirilmiştir, çünkü Bluetooth hizmetine yalnızca aygıtın bir flaşıyla sabitlenebilecek bir Hizmet Reddi'ne yol açar.

CVE AOSP bağlantısıyla ilgili hata şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2016-0830 ANDROID-26071376 Yüksek 6.0, 6.0.1 Google Dahili

Telefonda Bilginin Açığa Çıkması Güvenlik Açığı

Telefon bileşenindeki bir bilginin açığa çıkması güvenlik açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Verilere izinsiz olarak yanlış erişmek için kullanılabileceği için bu sorun Orta şiddette olarak derecelendirildi.

CVE AOSP bağlantısıyla ilgili hata şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2016-0831 ANDROID-25778215 ılımlı 5.0.2, 5.1.1, 6.0, 6.0.1 16 Kasım 2015

Kurulum Sihirbazı'nda Ayrıcalık Yükselmesi Güvenlik Açığı

Kurulum Sihirbazı'ndaki bir güvenlik açığı, aygıta fiziksel erişimi olan bir saldırganın aygıt ayarlarına erişmesini ve el ile aygıt sıfırlaması gerçekleştirmesini sağlayabilir. Fabrika ayarlarına sıfırlama koruması çevresinde yanlış çalışmak için kullanılabileceğinden, bu sorun Orta şiddette olarak derecelendirilmiştir.

CVE Hata (lar) şiddet Güncellenmiş sürümler Rapor tarihi
CVE-2016-0832 ANDROID-25955042 * ılımlı 5.1.1, 6.0, 6.0.1 Google Dahili

* Bu güncelleme için kaynak kodu yaması sağlanmamıştır.

Sık Sorulan Sorular ve Cevapları

Bu bölümde, bu bülteni okuduktan sonra oluşabilecek sık sorulan soruların yanıtları gözden geçirilmektedir.

1. Cihazımın bu sorunları giderecek şekilde güncellenip güncellenmediğini nasıl belirlerim?

LMY49H veya daha yeni bir sürüm oluşturur ve 1 Mart 2016 veya daha sonraki Güvenlik Düzeltme Eki ile Android 6.0 bu sorunları giderir. Güvenlik düzeltme eki düzeyinin nasıl denetleneceğine ilişkin talimatlar için Nexus belgelerine bakın. Bu güncellemeleri içeren cihaz üreticileri yama dizesi seviyesini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]: [2016-03-01]

Düzeltmeler

  • 07 Mart 2016: Bülten yayımlandı.
  • 08 Mart 2016: Bülten AOSP bağlantılarını içerecek şekilde revize edildi.