פורסם ב-07 בדצמבר 2015 | עודכן ב-7 במרץ 2016
פרסמנו עדכון אבטחה למכשירי Nexus באמצעות עדכון אויר (OTA) כחלק מתהליך השחרור החודשי של עלון האבטחה של Android. תמונות הקושחה של Nexus שוחררו גם לאתר Google Developer . בונה LMY48Z ואילך ו-Android 6.0 עם רמת תיקון אבטחה של 1 בדצמבר 2015 ואילך מטפלים בבעיות אלה. עיין בסעיף שאלות ותשובות נפוצות לפרטים נוספים.
שותפים קיבלו הודעה על בעיות אלה וסיפקו עדכונים ב-2 בנובמבר 2015 או קודם לכן. במידת האפשר, תיקוני קוד מקור עבור בעיות אלה שוחררו למאגר Android Open Source Project (AOSP).
החמורה ביותר מבין הבעיות הללו היא פגיעות אבטחה קריטית שעלולה לאפשר ביצוע קוד מרחוק במכשיר מושפע באמצעות מספר שיטות כגון דואר אלקטרוני, גלישה באינטרנט ו-MMS בעת עיבוד קובצי מדיה. הערכת החומרה מבוססת על ההשפעה שאולי תהיה לניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה וההפחתות השירות מושבתות למטרות פיתוח או אם יעקפו בהצלחה.
לא קיבלנו דיווחים על ניצול פעיל של לקוחות של בעיות אלה שדווחו לאחרונה. עיין בסעיף ההקלות לפרטים על הגנות פלטפורמת האבטחה של אנדרואיד והגנות שירות כגון SafetyNet, המשפרות את האבטחה של פלטפורמת אנדרואיד. אנו מעודדים את כל הלקוחות לקבל עדכונים אלה למכשירים שלהם.
הקלות
זהו סיכום של ההקלות שמספקות פלטפורמת האבטחה אנדרואיד והגנות שירות כגון SafetyNet. יכולות אלו מפחיתות את הסבירות שניתן יהיה לנצל בהצלחה פרצות אבטחה באנדרואיד.
- ניצול בעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
- צוות אבטחת אנדרואיד עוקב באופן פעיל אחר שימוש לרעה עם Verify Apps ו- SafetyNet אשר יזהירו מפני אפליקציות שעלולות להיות מזיקים שעומדים להתקין. כלי השתרשות מכשירים אסורים ב-Google Play. כדי להגן על משתמשים שמתקינים יישומים מחוץ ל-Google Play, Verify Apps מופעל כברירת מחדל והוא יזהיר משתמשים לגבי יישומי השתרשות ידועים. אימות אפליקציות מנסה לזהות ולחסום התקנה של יישומים זדוניים ידועים המנצלים פגיעות של הסלמה של הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע למשתמש וינסה להסיר אפליקציות כאלה.
- בהתאם, יישומי Google Hangouts ו-Messenger אינם מעבירים מדיה אוטומטית לתהליכים כגון שרת מדיה.
תודות
ברצוננו להודות לחוקרים אלו על תרומתם:
- Abhishek Arya, Oliver Chang ומרטין ברבלה מצוות האבטחה של Google Chrome: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , CVE-2015-6634
- פלנקר ( @flanker_hqd ) של KeenTeam ( @K33nTeam ): CVE-2015-6620
- גואנג גונג (龚广) ( @oldfresher , higongguang@gmail.com) של Qihoo 360 Technology Co.Ltd : CVE-2015-6626
- מארק קרטר ( @hanpingchinese ) מ-EmberMitre Ltd: CVE-2015-6630
- מיכאל בדנרסקי ( https://github.com/michalbednarski ): CVE-2015-6621
- נטלי סילבנוביץ' מ-Google Project Zero: CVE-2015-6616
- Peter Pi של Trend Micro: CVE-2015-6616, CVE-2015-6628
- Qidan He ( @flanker_hqd ) ומרקו גרסי ( @marcograss ) מ- KeenTeam ( @K33nTeam ): CVE-2015-6622
- צו-יין (נינה) טאי: CVE-2015-6627
- Joaquin Rinaudo ( @xeroxnir ) מ-Programma STIC ב-Fundación Dr. Manuel Sadosky, בואנוס איירס, ארגנטינה: CVE-2015-6631
- Wangtao (neobyte) של Baidu X-Team: CVE-2015-6626
פרטי פגיעות אבטחה
בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2015-12-01. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הבאג המשויך, החומרה, הגרסאות המעודכנות ותאריך הדיווח. כאשר יהיה זמין, נקשר את השינוי ב-AOSP שטיפל בבעיה למזהה הבאג. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות של AOSP מקושרות למספרים בעקבות מזהה הבאג.
פגיעויות של ביצוע קוד מרחוק ב-Mediaserver
במהלך קבצי מדיה ועיבוד נתונים של קובץ בעל מבנה מיוחד, פגיעויות בשרת המדיה עלולות לאפשר לתוקף לגרום לפגיעה בזיכרון ולביצוע קוד מרחוק כתהליך שרת המדיה.
הפונקציונליות המושפעת מסופקת כחלק מרכזי ממערכת ההפעלה וישנן מספר יישומים המאפשרים להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת מדיה בדפדפן.
בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של שירות שרת המדיה. לשירות שרת המדיה יש גישה לזרמי אודיו ווידאו וכן גישה להרשאות שאפליקציות צד שלישי אינן יכולות לגשת אליהן בדרך כלל.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6616 | ANDROID-24630158 | קריטי | 6.0 ומטה | Google פנימי |
| ANDROID-23882800 | קריטי | 6.0 ומטה | Google פנימי | |
| ANDROID-17769851 | קריטי | 5.1 ומטה | Google פנימי | |
| ANDROID-24441553 | קריטי | 6.0 ומטה | 22 בספטמבר 2015 | |
| ANDROID-24157524 | קריטי | 6.0 | 8 בספטמבר 2015 |
פגיעות של ביצוע קוד מרחוק בסקיה
פגיעות ברכיב Skia עשויה להיות ממונפת בעת עיבוד קובץ מדיה בעל מבנה מיוחד, שעלולה להוביל לפגיעה בזיכרון ולביצוע קוד מרחוק בתהליך מיוחס. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק באמצעות שיטות התקפה מרובות כגון דואר אלקטרוני, גלישה באינטרנט ו-MMS בעת עיבוד קבצי מדיה.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6617 | ANDROID-23648740 | קריטי | 6.0 ומטה | Google פנימי |
העלאת זכות בגרעין
הפגיעות של העלאת הרשאות בליבת המערכת עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בתוך הקשר שורש המכשיר. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר וניתן היה לתקן את המכשיר רק על ידי הבזק מחדש של מערכת ההפעלה.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6619 | ANDROID-23520714 | קריטי | 6.0 ומטה | 7 ביוני 2015 |
פגיעויות של ביצוע קוד מרחוק במנהל התקן תצוגה
ישנן נקודות תורפה במנהלי ההתקן של התצוגה, שבעת עיבוד קובץ מדיה עלולות לגרום לפגיעה בזיכרון ולביצוע קוד שרירותי אפשרי בהקשר של מנהל ההתקן של מצב המשתמש שנטען על ידי שרת המדיה. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק באמצעות שיטות התקפה מרובות כגון דואר אלקטרוני, גלישה באינטרנט ו-MMS בעת עיבוד קבצי מדיה.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6633 | ANDROID-23987307* | קריטי | 6.0 ומטה | Google פנימי |
| CVE-2015-6634 | ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] | קריטי | 5.1 ומטה | Google פנימי |
*התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות של ביצוע קוד מרחוק ב-Bluetooth
פגיעות ברכיב Bluetooth של אנדרואיד עלולה לאפשר ביצוע קוד מרחוק. עם זאת, נדרשים מספר שלבים ידניים לפני שזה עלול להתרחש. כדי לעשות זאת, זה ידרוש מכשיר מותאם בהצלחה, לאחר שפרופיל הרשת האישית (PAN) מופעל (לדוגמה באמצעות חיבור Bluetooth) וההתקן מותאם. ביצוע הקוד מרחוק יהיה ברשות שירות Bluetooth. מכשיר חשוף לבעיה זו רק ממכשיר מותאם בהצלחה תוך כדי קרבה מקומית.
בעיה זו מדורגת כחומרה גבוהה מכיוון שתוקף יכול להפעיל מרחוק קוד שרירותי רק לאחר ביצוע שלבים ידניים מרובים ומתוקף מקומי קרוב לו הורשה בעבר להתאים מכשיר.
| CVE | באגים) | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6618 | ANDROID-24595992* | גָבוֹהַ | 4.4, 5.0 ו-5.1 | 28 בספטמבר 2015 |
*התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
העלאת נקודות תורפה ב-libstagefright
ישנן פגיעויות מרובות ב-libstagefright שעלולות לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של שירות שרת המדיה. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישומי צד שלישי.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6620 | ANDROID-24123723 | גָבוֹהַ | 6.0 ומטה | 10 בספטמבר 2015 |
| ANDROID-24445127 | גָבוֹהַ | 6.0 ומטה | 2 בספטמבר 2015 |
הפגיעות של העלאת הרשאות ב-SystemUI
בעת הגדרת התראה באמצעות אפליקציית השעון, פגיעות ברכיב SystemUI עלולה לאפשר לאפליקציה לבצע משימה ברמת הרשאות מוגברת. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישומי צד שלישי.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6621 | ANDROID-23909438 | גָבוֹהַ | 5.0, 5.1 ו-6.0 | 7 בספטמבר 2015 |
פגיעות של חשיפת מידע בספריית Native Frameworks
פגיעות של חשיפת מידע בספריית Android Native Frameworks עלולה לאפשר עקיפת אמצעי אבטחה כדי להגביר את הקושי של תוקפים לנצל את הפלטפורמה. בעיות אלו מדורגות כחומרה גבוהה מכיוון שניתן להשתמש בהן גם כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישומי צד שלישי.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6622 | ANDROID-23905002 | גָבוֹהַ | 6.0 ומטה | 7 בספטמבר 2015 |
פגיעות העלאת הרשאות ב-Wi-Fi
פגיעות העלאת הרשאות ב-Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של שירות מערכת מוגברת. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6623 | ANDROID-24872703 | גָבוֹהַ | 6.0 | Google פנימי |
הפגיעות של העלאת הרשאות בשרת מערכת
פגיעות העלאת הרשאות ברכיב שרת המערכת עלולה לאפשר ליישום זדוני מקומי לקבל גישה למידע הקשור לשירות. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישומי צד שלישי.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6624 | ANDROID-23999740 | גָבוֹהַ | 6.0 | Google פנימי |
פרצות גילוי מידע ב-libstagefright
ישנן פגיעויות של חשיפת מידע ב-libstagefright שבמהלך תקשורת עם שרת מדיה, עשויות לאפשר עקיפת אמצעי אבטחה במקום כדי להגביר את הקושי של תוקפים לנצל את הפלטפורמה. בעיות אלו מדורגות כחומרה גבוהה מכיוון שניתן להשתמש בהן גם כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישומי צד שלישי.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6632 | ANDROID-24346430 | גָבוֹהַ | 6.0 ומטה | Google פנימי |
| CVE-2015-6626 | ANDROID-24310423 | גָבוֹהַ | 6.0 ומטה | 2 בספטמבר 2015 |
| CVE-2015-6631 | ANDROID-24623447 | גָבוֹהַ | 6.0 ומטה | 21 באוגוסט 2015 |
פגיעות של גילוי מידע באודיו
פגיעות ברכיב האודיו עלולה להיות מנוצלת במהלך עיבוד קבצי אודיו. פגיעות זו עלולה לאפשר ליישום זדוני מקומי, במהלך עיבוד של קובץ בעל מבנה מיוחד, לגרום לחשיפת מידע. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישומי צד שלישי.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6627 | ANDROID-24211743 | גָבוֹהַ | 6.0 ומטה | Google פנימי |
פגיעות של חשיפת מידע במסגרת מדיה
קיימת פגיעות של חשיפת מידע ב-Media Framework שבמהלך תקשורת עם שרת המדיה, עלולה לאפשר עקיפת אמצעי אבטחה במקום כדי להגביר את הקושי של תוקפים לנצל את הפלטפורמה. בעיה זו מדורגת כחומרה גבוהה מכיוון שהיא יכולה לשמש גם כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישומי צד שלישי.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6628 | ANDROID-24074485 | גָבוֹהַ | 6.0 ומטה | 8 בספטמבר 2015 |
פגיעות של חשיפת מידע ב-Wi-Fi
פגיעות ברכיב ה-Wi-Fi עלולה לאפשר לתוקף לגרום לשירות ה-Wi-Fi לחשוף מידע. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישומי צד שלישי.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6629 | ANDROID-22667667 | גָבוֹהַ | 5.1 ו-5.0 | Google פנימי |
הפגיעות של העלאת הרשאות בשרת מערכת
פגיעות העלאת הרשאות בשרת המערכת עלולה לאפשר ליישום זדוני מקומי לקבל גישה למידע הקשור לשירות Wi-Fi. בעיה זו מדורגת כחומרה בינונית מכיוון שהיא עשויה לשמש כדי לקבל הרשאות " מסוכנות " באופן שגוי.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6625 | ANDROID-23936840 | לְמַתֵן | 6.0 | Google פנימי |
פגיעות של חשיפת מידע ב-SystemUI
פגיעות של חשיפת מידע ב-SystemUI עלולה לאפשר לאפליקציה זדונית מקומית לקבל גישה לצילומי מסך. בעיה זו מדורגת כחומרה בינונית מכיוון שהיא עשויה לשמש כדי לקבל הרשאות " מסוכנות " באופן שגוי.
| CVE | באג(ים) עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-6630 | ANDROID-19121797 | לְמַתֵן | 5.0, 5.1 ו-6.0 | 22 בינואר 2015 |
שאלות ותשובות נפוצות
חלק זה יסקור תשובות לשאלות נפוצות שעלולות להתרחש לאחר קריאת עלון זה.
1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלו?
בונה LMY48Z ואילך ו-Android 6.0 עם רמת תיקון אבטחה של 1 בדצמבר 2015 ואילך מטפלים בבעיות אלה. עיין בתיעוד של Nexus לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה. יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל: [ro.build.version.security_patch]:[2015-12-01]
תיקונים
- 7 בדצמבר 2015: פורסם במקור
- 9 בדצמבר 2015: העלון תוקן כך שיכלול קישורי AOSP.
- 22 בדצמבר 2015: נוסף קרדיט חסר למדור תודות.
- 07 במרץ 2016: נוסף קרדיט חסר למדור תודות.