กระดานข่าวความปลอดภัยของ Nexus - พฤศจิกายน 2015

เผยแพร่เมื่อวันที่ 2 พฤศจิกายน 2558

เราได้เผยแพร่การอัปเดตความปลอดภัยสำหรับอุปกรณ์ Nexus ผ่านการอัปเดตแบบ over-the-air (OTA) ซึ่งเป็นส่วนหนึ่งของกระบวนการเผยแพร่กระดานข่าวความปลอดภัยของ Android ประจำเดือน อิมเมจเฟิร์มแวร์ของ Nexus ได้รับการเผยแพร่ไปยัง ไซต์ Google Developer แล้ว สร้าง LMY48X หรือใหม่กว่า และ Android Marshmallow ที่มีระดับแพตช์ความปลอดภัยวันที่ 1 พฤศจิกายน 2015 หรือใหม่กว่า แก้ไขปัญหาเหล่านี้ โปรดดูส่วน คำถามและคำตอบทั่วไป สำหรับรายละเอียดเพิ่มเติม

พันธมิตรได้รับแจ้งเกี่ยวกับปัญหาเหล่านี้ในวันที่ 5 ตุลาคม 2558 หรือก่อนหน้านั้น แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้จะเผยแพร่ไปยังพื้นที่เก็บข้อมูล Android Open Source Project (AOSP) ในอีก 48 ชั่วโมงข้างหน้า เราจะแก้ไขกระดานข่าวนี้พร้อมกับลิงก์ AOSP เมื่อมีให้ใช้งาน

ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญ ซึ่งสามารถเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบได้หลายวิธี เช่น อีเมล การเรียกดูเว็บ และ MMS เมื่อประมวลผลไฟล์สื่อ การประเมินความรุนแรงขึ้น อยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยถือว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

เราไม่มีรายงานเกี่ยวกับการแสวงหาประโยชน์จากลูกค้าจากปัญหาที่ได้รับรายงานใหม่เหล่านี้ โปรดดูส่วน การบรรเทาผลกระทบ สำหรับรายละเอียดเกี่ยวกับ การป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ไปยังอุปกรณ์ของตน

การบรรเทาผลกระทบ

นี่คือบทสรุปของการบรรเทาปัญหาที่มีให้โดย แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น SafetyNet ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะสามารถถูกโจมตีบน Android ได้สำเร็จ

  • การใช้ประโยชน์จากปัญหาต่างๆ บน Android ทำได้ยากขึ้นด้วยการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดเมื่อเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android กำลังตรวจสอบการละเมิดอย่างแข็งขันด้วย Verify Apps และ SafetyNet ซึ่งจะเตือนเกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตรายที่กำลังจะถูกติดตั้ง ห้ามใช้เครื่องมือรูทอุปกรณ์ภายใน Google Play เพื่อปกป้องผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play ยืนยันแอปจะเปิดใช้งานตามค่าเริ่มต้น และจะเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันรูทที่รู้จัก ตรวจสอบความพยายามของแอปในการระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายที่ทราบซึ่งใช้ประโยชน์จากช่องโหว่ในการยกระดับสิทธิ์ หากมีการติดตั้งแอปพลิเคชันดังกล่าวแล้ว ยืนยันแอปจะแจ้งให้ผู้ใช้ทราบและพยายามลบแอปพลิเคชันดังกล่าว
  • ตามความเหมาะสม แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น เซิร์ฟเวอร์สื่อโดยอัตโนมัติ

รับทราบ

เราขอขอบคุณนักวิจัยเหล่านี้สำหรับการมีส่วนร่วม:

  • Abhishek Arya, Oliver Chang และ Martin Barbella ทีมรักษาความปลอดภัยของ Google Chrome: CVE-2015-6608
  • Daniel Micay (daniel.micay@copperhead.co) ที่ Copperhead Security: CVE-2015-6609
  • Dongkwan Kim จาก System Security Lab, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
  • Hongil Kim จาก System Security Lab, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
  • Jack Tang แห่ง Trend Micro (@jacktang310): CVE-2015-6611
  • Peter Pi จาก Trend Micro: CVE-2015-6611
  • นาตาลี ซิลวาโนวิชจาก Google Project Zero: CVE-2015-6608
  • Qidan He (@flanker_hqd) และ Wen Xu (@antlr7) จาก KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
  • Guang Gong (龚广) ( @oldfresher , higongguang@gmail.com) จาก Qihoo 360 Technology CC o.Ltd : CVE-2015-6612
  • Seven Shen แห่ง Trend Micro: CVE-2015-6610

รายละเอียดช่องโหว่ด้านความปลอดภัย

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2015-11-01 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางที่มี CVE, จุดบกพร่องที่เกี่ยวข้อง, ความรุนแรง, เวอร์ชันที่ได้รับผลกระทบ และวันที่รายงาน ในกรณีที่เป็นไปได้ เราได้เชื่อมโยงการเปลี่ยนแปลง AOSP ที่แก้ไขปัญหากับรหัสข้อบกพร่อง เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิง AOSP เพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลัง ID จุดบกพร่อง

ช่องโหว่การเรียกใช้โค้ดระยะไกลใน Mediaserver

ในระหว่างการประมวลผลไฟล์มีเดียและข้อมูลของไฟล์ที่สร้างขึ้นเป็นพิเศษ ช่องโหว่ในมีเดียเซิร์ฟเวอร์อาจทำให้ผู้โจมตีทำให้หน่วยความจำเสียหายและการเรียกใช้โค้ดจากระยะไกลเป็นกระบวนการของมีเดียเซิร์ฟเวอร์

ฟังก์ชันการทำงานที่ได้รับผลกระทบถือเป็นส่วนหลักของระบบปฏิบัติการ และมีแอปพลิเคชั่นหลายตัวที่อนุญาตให้เข้าถึงเนื้อหาระยะไกลได้ โดยเฉพาะ MMS และการเล่นสื่อผ่านเบราว์เซอร์

ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงที่สำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของบริการสื่อเซิร์ฟเวอร์ บริการมีเดียเซิร์ฟเวอร์สามารถเข้าถึงสตรีมเสียงและวิดีโอตลอดจนการเข้าถึงสิทธิพิเศษที่แอปของบุคคลที่สามไม่สามารถเข้าถึงได้ตามปกติ

ซีวีอี ข้อบกพร่องที่มีลิงก์ AOSP ความรุนแรง เวอร์ชันที่ได้รับผลกระทบ วันที่รายงาน
CVE-2015-6608 หุ่นยนต์-19779574 วิกฤต 5.0, 5.1, 6.0 ภายในของ Google
หุ่นยนต์-23680780
หุ่นยนต์-23876444
หุ่นยนต์-23881715 วิกฤต 4.4, 5.0, 5.1, 6.0 ภายในของ Google
หุ่นยนต์-14388161 วิกฤต 4.4 และ 5.1 ภายในของ Google
หุ่นยนต์-23658148 วิกฤต 5.0, 5.1, 6.0 ภายในของ Google

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน libutils

ช่องโหว่ใน libutils ซึ่งเป็นไลบรารีทั่วไปสามารถถูกโจมตีได้ในระหว่างการประมวลผลไฟล์เสียง ช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถทำให้เกิดความเสียหายของหน่วยความจำและการเรียกใช้โค้ดจากระยะไกลได้ในระหว่างการประมวลผลไฟล์ที่สร้างขึ้นเป็นพิเศษ

ฟังก์ชันการทำงานที่ได้รับผลกระทบมีให้ในรูปแบบ API และมีแอปพลิเคชั่นหลายตัวที่อนุญาตให้เข้าถึงได้ด้วยเนื้อหาระยะไกล โดยเฉพาะ MMS และการเล่นสื่อผ่านเบราว์เซอร์ ปัญหานี้ได้รับการจัดอันดับเป็นปัญหาความรุนแรงที่สำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในบริการที่มีสิทธิพิเศษ ส่วนประกอบที่ได้รับผลกระทบสามารถเข้าถึงสตรีมเสียงและวิดีโอตลอดจนสิทธิ์การเข้าถึงที่แอปของบุคคลที่สามไม่สามารถเข้าถึงได้ตามปกติ

ซีวีอี ข้อบกพร่องที่มีลิงก์ AOSP ความรุนแรง เวอร์ชันที่ได้รับผลกระทบ วันที่รายงาน
CVE-2015-6609 หุ่นยนต์-22953624 [ 2 ] วิกฤต 6.0 และต่ำกว่า 3 ส.ค. 2558

ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver

มีช่องโหว่ในการเปิดเผยข้อมูลในมีเดียเซิร์ฟเวอร์ที่สามารถบายพาสมาตรการรักษาความปลอดภัยเพื่อเพิ่มความยากลำบากของผู้โจมตีในการใช้ประโยชน์จากแพลตฟอร์ม

ซีวีอี ข้อบกพร่องที่มีลิงก์ AOSP ความรุนแรง เวอร์ชันที่ได้รับผลกระทบ วันที่รายงาน
CVE-2015-6611 หุ่นยนต์-23905951 [ 2 ] [ 3 ] สูง 6.0 และต่ำกว่า 07 กันยายน 2558
แอนดรอยด์-23912202*
แอนดรอยด์-23953967*
หุ่นยนต์-23696300 สูง 6.0 และต่ำกว่า 31 ส.ค. 2558
หุ่นยนต์-23600291 สูง 6.0 และต่ำกว่า 26 ส.ค. 2558
หุ่นยนต์-23756261 [ 2 ] สูง 6.0 และต่ำกว่า 26 ส.ค. 2558
หุ่นยนต์-23540907 [ 2 ] สูง 5.1 และต่ำกว่า 25 ส.ค. 2558
หุ่นยนต์-23541506 สูง 6.0 และต่ำกว่า 25 ส.ค. 2558
แอนดรอยด์-23284974*
แอนดรอยด์-23542351*
แอนดรอยด์-23542352*
หุ่นยนต์-23515142 สูง 5.1 และต่ำกว่า 19 ส.ค. 2558

* โปรแกรมแก้ไขสำหรับจุดบกพร่องนี้รวมอยู่ในลิงก์ AOSP อื่น ๆ ที่ให้ไว้

การยกระดับช่องโหว่ของสิทธิพิเศษใน libstagefright

มีการยกระดับช่องโหว่ของสิทธิพิเศษใน libstagefright ที่สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อทำให้หน่วยความจำเสียหายและการดำเนินการโค้ดโดยอำเภอใจภายในบริบทของบริการสื่อเซิร์ฟเวอร์ แม้ว่าโดยปกติแล้วปัญหานี้จะได้รับการจัดอันดับเป็น "วิกฤติ" เราได้ประเมินปัญหานี้ว่ามีความรุนแรงสูง เนื่องจากมีโอกาสต่ำที่จะสามารถถูกโจมตีจากระยะไกลได้

ซีวีอี ข้อบกพร่องที่มีลิงก์ AOSP ความรุนแรง เวอร์ชันที่ได้รับผลกระทบ วันที่รายงาน
CVE-2015-6610 หุ่นยนต์-23707088 [ 2 ] สูง 6.0 และต่ำกว่า 19 ส.ค. 2558

การยกระดับช่องโหว่ของสิทธิพิเศษใน libmedia

มีช่องโหว่ใน libmedia ที่สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดที่กำหนดเองภายในบริบทของบริการมีเดียเซิร์ฟเวอร์ ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากสามารถใช้เพื่อเข้าถึงสิทธิพิเศษที่ไม่สามารถเข้าถึงได้โดยตรงจากแอปพลิเคชันบุคคลที่สาม

ซีวีอี ข้อบกพร่องที่มีลิงก์ AOSP ความรุนแรง เวอร์ชันที่ได้รับผลกระทบ วันที่รายงาน
CVE-2015-6612 หุ่นยนต์-23540426 สูง 6.0 และต่ำกว่า 23 ส.ค. 2558

การยกระดับช่องโหว่สิทธิพิเศษใน Bluetooth

มีช่องโหว่ใน Bluetooth ที่สามารถเปิดใช้งานแอปพลิเคชันในเครื่องเพื่อส่งคำสั่งไปยังพอร์ตดีบักการฟังบนอุปกรณ์ ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงสูงเนื่องจากสามารถใช้เพื่อรับความสามารถระดับสูง เช่น สิทธิ์ ลายเซ็น หรือ SignatureOrSystem ซึ่งแอปพลิเคชันบุคคลที่สามไม่สามารถเข้าถึงได้

ซีวีอี ข้อบกพร่องที่มีลิงก์ AOSP ความรุนแรง เวอร์ชันที่ได้รับผลกระทบ วันที่รายงาน
CVE-2015-6613 หุ่นยนต์-24371736 สูง 6.0 ภายในของ Google

การยกระดับช่องโหว่สิทธิพิเศษในระบบโทรศัพท์

ช่องโหว่ในองค์ประกอบ Telephony ที่สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อส่งข้อมูลที่ไม่ได้รับอนุญาตไปยังอินเทอร์เฟซเครือข่ายที่ถูกจำกัด ซึ่งอาจส่งผลกระทบต่อค่าบริการข้อมูล นอกจากนี้ยังสามารถป้องกันไม่ให้อุปกรณ์รับสายตลอดจนอนุญาตให้ผู้โจมตีควบคุมการตั้งค่าการปิดเสียงการโทรได้ ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงปานกลาง เนื่องจากสามารถใช้เพื่อรับสิทธิ์ " อันตราย " อย่างไม่เหมาะสม

ซีวีอี ข้อบกพร่องที่มีลิงก์ AOSP ความรุนแรง เวอร์ชันที่ได้รับผลกระทบ วันที่รายงาน
CVE-2015-6614 หุ่นยนต์-21900139 [ 2 ] [ 3 ] ปานกลาง 5.0, 5.1 8 มิถุนายน 2558

คำถามและคำตอบทั่วไป

ส่วนนี้จะทบทวนคำตอบของคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

สร้าง LMY48X หรือใหม่กว่า และ Android Marshmallow ที่มีระดับแพตช์ความปลอดภัยวันที่ 1 พฤศจิกายน 2015 หรือใหม่กว่า แก้ไขปัญหาเหล่านี้ โปรดดูคำแนะนำในการตรวจสอบระดับแพตช์ความปลอดภัย ในเอกสารประกอบของ Nexus ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงแพตช์เป็น: [ro.build.version.security_patch]:[2015-11-01]

การแก้ไข

  • 2 พฤศจิกายน 2558: เผยแพร่ครั้งแรก