Nexus Güvenlik Bülteni - Aralık 2015

07 Aralık 2015'te yayınlandı | 7 Mart 2016'da güncellendi

Android Güvenlik Bülteni Aylık Sürüm sürecimizin bir parçası olarak kablosuz (OTA) güncelleme aracılığıyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı görüntüleri de Google Geliştirici sitesinde yayınlandı. LMY48Z veya üzeri sürümler ve 1 Aralık 2015 veya üzeri Güvenlik Düzeltme Eki Düzeyine sahip Android 6.0 sürümleri bu sorunları giderir. Daha fazla ayrıntı için Sık Sorulan Sorular ve Cevaplar bölümüne bakın.

İş ortakları 2 Kasım 2015'te veya daha önce bu sorunlarla ilgili bilgilendirildi ve bunlara ilişkin güncellemeler sağlandı. Uygun olduğu durumlarda, bu sorunlara yönelik kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır.

Bu sorunlardan en ciddi olanı, etkilenen bir cihazda medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden fazla yöntemle uzaktan kod yürütülmesine olanak tanıyan Kritik bir güvenlik açığıdır. Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.

Yeni bildirilen bu sorunların aktif müşteri istismarına ilişkin hiçbir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Azaltıcı Önlemler bölümüne bakın. Tüm müşterilerimizi cihazlarına yönelik bu güncellemeleri kabul etmeye teşvik ediyoruz.

Azaltmalar

Bu , Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltımların bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.

  • Android platformunun daha yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorundan yararlanmayı daha da zorlaştırıyor. Tüm kullanıcılarımızı mümkün olduğunca Android'in en son sürümüne güncelleme yapmaya teşvik ediyoruz.
  • Android Güvenlik ekibi, yüklenmek üzere olan potansiyel zararlı uygulamalar hakkında uyarı verecek olan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Cihaz rootlama araçları Google Play'de yasaktır. Google Play dışından uygulama yükleyen kullanıcıları korumak için Uygulamaları Doğrula özelliği varsayılan olarak etkindir ve kullanıcıları bilinen köklendirme uygulamaları konusunda uyarır. Uygulamaları Doğrula, ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaları tanımlamaya ve yüklemesini engellemeye çalışır. Böyle bir uygulama zaten kuruluysa Verify Apps kullanıcıyı bilgilendirecek ve bu tür uygulamaları kaldırmaya çalışacaktır.
  • Uygun olduğu üzere Google Hangouts ve Messenger uygulamaları, medya sunucusu gibi işlemlere otomatik olarak medya aktarmamaktadır.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür ederiz:

  • Google Chrome Güvenlik Ekibi'nden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , CVE-2015-6634
  • KeenTeam'den ( @K33nTeam ) Flanker ( @flanker_hqd ): CVE-2015-6620
  • Guang Gong (龚广) ( @oldfresher , higongguang@gmail.com), Qihoo 360 Technology Co.Ltd'den : CVE-2015-6626
  • EmberMitre Ltd'den Mark Carter ( @hanpingchinese ): CVE-2015-6630
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2015-6621
  • Google Project Zero'dan Natalie Silvanovich: CVE-2015-6616
  • Trend Micro'dan Peter Pi: ​​CVE-2015-6616, CVE-2015-6628
  • KeenTeam'den ( @K33nTeam ) Qidan He ( @flanker_hqd ) ve Marco Grassi ( @marcograss ): CVE-2015-6622
  • Tzu-Yin (Nina) Tai: CVE-2015-6627
  • Programa STIC'den Joaquín Rinaudo ( @xeroxnir ), Fundación Dr. Manuel Sadosky, Buenos Aires, Arjantin: CVE-2015-6631
  • Baidu X-Team'den Wangtao (neobayt): CVE-2015-6626

Güvenlik Açığı Ayrıntıları

Aşağıdaki bölümlerde, 2015-12-01 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, ciddiyet gerekçesi ve CVE, ilgili hata, önem derecesi, güncellenmiş sürümler ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren AOSP değişikliğini hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek AOSP referansları hata kimliğini takip eden numaralara bağlanır.

Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açıkları

Medya dosyası ve özel hazırlanmış bir dosyanın verilerinin işlenmesi sırasında, medya sunucusundaki güvenlik açıkları, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olmasına olanak verebilir.

Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanmaktadır ve başta MMS ve medyanın tarayıcıda oynatılması olmak üzere, bu işlevselliğe uzak içerikle erişilmesine olanak tanıyan çok sayıda uygulama vardır.

Bu sorun, medya sunucusu hizmeti bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Mediaserver hizmetinin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6616 ANDROID-24630158 Kritik 6.0 ve altı Google Dahili
ANDROID-23882800 Kritik 6.0 ve altı Google Dahili
ANDROID-17769851 Kritik 5.1 ve altı Google Dahili
ANDROID-24441553 Kritik 6.0 ve altı 22 Eylül 2015
ANDROID-24157524 Kritik 6.0 08 Eylül 2015

Skia'da Uzaktan Kod Yürütme Güvenlik Açığı

Özel hazırlanmış bir medya dosyası işlenirken Skia bileşenindeki bir güvenlik açığından yararlanılabilir ve bu, ayrıcalıklı bir işlemde belleğin bozulmasına ve uzaktan kod yürütülmesine neden olabilir. Bu sorun, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden fazla saldırı yöntemi aracılığıyla uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6617 ANDROID-23648740 Kritik 6.0 ve altı Google dahili

Çekirdekte Ayrıcalık Yükselişi

Sistem çekirdeğindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, cihazın kök bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, yerel kalıcı cihaz güvenliği ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir ve cihaz yalnızca işletim sisteminin yeniden flaşlanmasıyla onarılabilir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6619 ANDROID-23520714 Kritik 6.0 ve altı 7 Haziran 2015

Ekran Sürücüsünde Uzaktan Kod Yürütme Güvenlik Açıkları

Ekran sürücülerinde, bir medya dosyasını işlerken hafızanın bozulmasına ve mediaserver tarafından yüklenen kullanıcı modu sürücüsü bağlamında olası rastgele kod yürütülmesine neden olabilecek güvenlik açıkları bulunmaktadır. Bu sorun, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden fazla saldırı yöntemi aracılığıyla uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6633 ANDROID-23987307* Kritik 6.0 ve altı Google Dahili
CVE-2015-6634 ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] Kritik 5.1 ve altı Google Dahili

*Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Bluetooth'ta Uzaktan Kod Yürütme Güvenlik Açığı

Android'in Bluetooth bileşenindeki bir güvenlik açığı uzaktan kod yürütülmesine izin verebilir. Ancak bunun gerçekleşmesi için birden fazla manuel adımın atılması gerekir. Bunu yapabilmek için, kişisel alan ağı (PAN) profili etkinleştirildikten (örneğin, Bluetooth Bağlantısı kullanılarak) ve cihaz eşleştirildikten sonra başarıyla eşleştirilmiş bir cihaz gerekir. Uzaktan kod yürütme, Bluetooth hizmetinin ayrıcalığında olacaktır. Bir cihaz yalnızca yakın çevrede başarıyla eşleştirilmiş bir cihazdan bu soruna karşı savunmasızdır.

Bu sorun, bir saldırganın yalnızca birden fazla manuel adım atıldıktan sonra ve daha önce bir cihazı eşleştirmesine izin verilen yerel olarak yakın bir saldırgandan rastgele kodu uzaktan yürütebilmesi nedeniyle Yüksek önem derecesi olarak derecelendirilmiştir.

CVE Hata(lar) Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6618 ANDROID-24595992* Yüksek 4.4, 5.0 ve 5.1 28 Eylül 2015

*Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Libstagefright'ta Ayrıcalık Güvenlik Açıklarının Yükselmesi

Libstagefright'ta, yerel kötü amaçlı bir uygulamanın mediaserver hizmeti bağlamında rastgele kod yürütmesine olanak verebilecek çok sayıda güvenlik açığı vardır. Bu sorun, üçüncü taraf uygulamalar tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6620 ANDROID-24123723 Yüksek 6.0 ve altı 10 Eylül 2015
ANDROID-24445127 Yüksek 6.0 ve altı 2 Eylül 2015

SystemUI'da Ayrıcalık Güvenlik Açığı Yükselişi

Saat uygulamasını kullanarak alarm ayarlarken, SystemUI bileşenindeki bir güvenlik açığı, uygulamanın bir görevi yükseltilmiş ayrıcalık düzeyinde yürütmesine izin verebilir. Bu sorun, üçüncü taraf uygulamalar tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6621 ANDROID-23909438 Yüksek 5.0, 5.1 ve 6.0 7 Eylül 2015

Yerel Çerçeve Kitaplığında Bilginin İfşa Edilmesi Güvenlik Açığı

Android Native Frameworks Library'deki bir bilginin açığa çıkması güvenlik açığı, saldırganların platformu istismar etmesini zorlaştıracak şekilde güvenlik önlemlerinin atlanmasına izin verebilir. Bu sorunlar, Üçüncü taraf uygulamalar tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için de kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6622 ANDROID-23905002 Yüksek 6.0 ve altı 7 Eylül 2015

Wi-Fi'de Ayrıcalık Güvenlik Açığının Yükselmesi

Wi-Fi'deki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, yükseltilmiş bir sistem hizmeti bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, Üçüncü taraf bir uygulama tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6623 ANDROID-24872703 Yüksek 6.0 Google Dahili

Sistem Sunucusunda Ayrıcalık Güvenlik Açığı Yükselişi

Sistem Sunucusu bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın hizmetle ilgili bilgilere erişmesine olanak sağlayabilir. Bu sorun, üçüncü taraf uygulamalar tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6624 ANDROID-23999740 Yüksek 6.0 Google dahili

Libstagefright'ta Bilgi İfşası Güvenlik Açıkları

Libstagefright'ta, mediaserver ile iletişim sırasında, saldırganların platformu istismar etmesini zorlaştıracak güvenlik önlemlerinin atlanmasına izin verebilecek bilgilerin açığa çıkması güvenlik açıkları bulunmaktadır. Bu sorunlar, Üçüncü taraf uygulamalar tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için de kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6632 ANDROID-24346430 Yüksek 6.0 ve altı Google Dahili
CVE-2015-6626 ANDROID-24310423 Yüksek 6.0 ve altı 2 Eylül 2015
CVE-2015-6631 ANDROID-24623447 Yüksek 6.0 ve altı 21 Ağustos 2015

Seste Bilginin İfşa Edilmesi Güvenlik Açığı

Ses dosyasının işlenmesi sırasında Ses bileşenindeki bir güvenlik açığından yararlanılabilir. Bu güvenlik açığı, yerel kötü amaçlı bir uygulamanın özel hazırlanmış bir dosyayı işlerken bilgilerin açığa çıkmasına neden olmasına olanak verebilir. Bu sorun, üçüncü taraf uygulamalar tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6627 ANDROID-24211743 Yüksek 6.0 ve altı Google Dahili

Medya Çerçevesinde Bilgi İfşası Güvenlik Açığı

Media Framework'te, mediaserver ile iletişim sırasında saldırganların platformdan yararlanma zorluğunu artırmak için mevcut güvenlik önlemlerinin atlanmasına izin verebilecek bir bilginin açığa çıkması güvenlik açığı bulunmaktadır. Bu sorun, üçüncü taraf uygulamalar tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için de kullanılabileceğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6628 ANDROID-24074485 Yüksek 6.0 ve altı 8 Eylül 2015

Wi-Fi'de Bilgi İfşası Güvenlik Açığı

Wi-Fi bileşenindeki bir güvenlik açığı, bir saldırganın Wi-Fi hizmetinin bilgileri ifşa etmesine neden olmasına olanak verebilir. Bu sorun, üçüncü taraf uygulamalar tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6629 ANDROID-22667667 Yüksek 5.1 ve 5.0 Google Dahili

Sistem Sunucusunda Ayrıcalık Güvenlik Açığı Yükselişi

Sistem Sunucusundaki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın Wi-Fi hizmetiyle ilgili bilgilere erişmesine olanak sağlayabilir. Bu sorun, " tehlikeli " izinlerin uygunsuz bir şekilde elde edilmesi için kullanılabileceğinden, Orta önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6625 ANDROID-23936840 Ilıman 6.0 Google Dahili

SystemUI'da Bilgi İfşası Güvenlik Açığı

SystemUI'daki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın ekran görüntülerine erişmesine olanak tanıyabilir. Bu sorun, " tehlikeli " izinlerin uygunsuz bir şekilde elde edilmesi için kullanılabileceğinden, Orta önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6630 ANDROID-19121797 Ilıman 5.0, 5.1 ve 6.0 22 Ocak 2015

Sık Sorulan Sorular ve Cevaplar

Bu bölümde, bu bülteni okuduktan sonra karşılaşabileceğiniz genel soruların yanıtları incelenecektir.

1. Cihazımın bu sorunları çözecek şekilde güncellenip güncellenmediğini nasıl belirleyebilirim?

LMY48Z veya üzeri sürümler ve 1 Aralık 2015 veya üzeri Güvenlik Düzeltme Eki Düzeyine sahip Android 6.0 sürümleri bu sorunları giderir. Güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın. Bu güncellemeleri içeren cihaz üreticileri yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2015-12-01]

Revizyonlar

  • 07 Aralık 2015: İlk Yayın Tarihi
  • 09 Aralık 2015: Bülten, AOSP bağlantılarını içerecek şekilde revize edildi.
  • 22 Aralık 2015: Teşekkür bölümüne eksik kredi eklendi.
  • 07 Mart 2016: Teşekkür bölümüne eksik kredi eklendi.