Yayınlanma tarihi: 4 Ocak 2016 | Güncellenme tarihi: 28 Nisan 2016
Android Güvenlik Bülteni Aylık Yayınlama sürecimiz kapsamında, Nexus cihazlara kablosuz (OTA) güncelleme aracılığıyla bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı resimleri Google Developers sitesinde de yayınlandı. LMY49F veya sonraki sürümler ve 1 Ocak 2016 veya sonraki bir güvenlik yaması düzeyine sahip Android 6.0 bu sorunları giderir. Daha fazla bilgi için Sık Sorulan Sorular ve Yanıtlar bölümüne bakın.
İş ortakları, 7 Aralık 2015'te veya daha önce bu bültende açıklanan sorunlar hakkında bilgilendirildi ve güncellemeler sağlandı. Uygun durumlarda, bu sorunların kaynak kodundaki düzeltmeleri Android Açık Kaynak Projesi (AOSP) deposunda yayınlanmıştır.
Bu sorunlardan en ciddi olanı, medya dosyaları işlenirken e-posta, web tarayıcısı ve MMS gibi birden fazla yöntemle etkilenen cihazda uzaktan kod çalıştırmayı etkinleştirebilecek kritik bir güvenlik açığıdır. Önem değerlendirmesi, platform ve hizmet azaltmalarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerinde oluşturabileceği etkiye dayanır.
Yeni bildirilen bu sorunların müşteriler tarafından aktif olarak istismar edildiğine dair bir bildirim almadık. Android güvenlik platformu korumaları ve Android platformunun güvenliğini artıran SafetyNet gibi hizmet korumaları hakkında ayrıntılı bilgi için Önlemler bölümüne bakın. Tüm müşterilerin cihazlarında bu güncellemeleri kabul etmelerini öneririz.
Çözümler
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltıcı önlemlerin özetidir. Bu özellikler, Android'de güvenlik açıklarının başarılı bir şekilde kötüye kullanılması olasılığını azaltır.
- Android platformunun yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorunun istismar edilmesini zorlaştırmaktadır. Tüm kullanıcıları mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ederiz.
- Android Güvenlik Ekibi, Uygulamaları Doğrula ve SafetyNet ile kötüye kullanım olup olmadığını etkin bir şekilde izler. Bu sayede, yüklenmek üzere olan potansiyel olarak zararlı uygulamalar hakkında uyarı alırsınız. Cihaz köklendirme araçları Google Play'de yasaktır. Google Play dışından uygulama yükleyen kullanıcıları korumak için Uygulamaları Doğrula özelliği varsayılan olarak etkindir ve kullanıcıları bilinen köklendirme uygulamaları konusunda uyarır. Doğrula Uygulamalar, ayrıcalık yükseltme güvenlik açıklarından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini tespit edip engellemeye çalışır. Bu tür bir uygulama zaten yüklüyse Uygulamaları Doğrula, kullanıcıyı bilgilendirir ve bu tür uygulamaları kaldırmaya çalışır.
- Google Hangouts ve Messenger uygulamaları, uygun olduğunda medyayı mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür ederiz
Katkılarından dolayı aşağıdaki araştırmacılara teşekkür ederiz:
- Google Chrome Güvenlik Ekibi'nden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2015-6636
- Sen Nie (@nforest_) ve Tencent'in KEEN lab'den jfang (@K33nTeam): CVE-2015-6637
- Android Bionic Ekibi'nden Yabin Cui: CVE-2015-6640
- Google X'ten Tom Craig: CVE-2015-6641
- Jann Horn (https://thejh.net): CVE-2015-6642
- Jouni Malinen PGP kimliği EFC895FA: CVE-2015-5310
- Google Bilgi Güvenliği Mühendisi Ekibi'nden Quan Nguyen: CVE-2015-6644
- Gal Beniamini (@laginimaineb, http://bits-please.blogspot.com): CVE-2015-6639
Güvenlik Açığı Ayrıntıları
Aşağıdaki bölümlerde, 01.01.2016 yaması düzeyi için geçerli olan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Sorunun açıklaması, önem düzeyi gerekçesi ve CVE, ilişkili hata, önem düzeyi, güncellenen sürümler ve bildirilme tarihi içeren bir tablo bulunur. Mümkün olduğunda, sorunu gideren AOSP değişikliğini hata kimliğine bağlayacağız. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, ek AOSP referansları hata kimliğinin ardından gelen sayılara bağlanır.
Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açığı
Özel olarak hazırlanmış bir medya dosyasının ve verilerinin işlenmesi sırasında mediaserver'daki güvenlik açıkları, saldırganın mediaserver işlemi olarak bellek bozulmasına ve uzaktan kod yürütmeye neden olmasına izin verebilir.
Etkilenen işlev, işletim sisteminin temel bir parçası olarak sağlanır ve uzaktan içerikle erişilmesine olanak tanıyan birden fazla uygulama vardır. Bunlardan en önemlileri MMS ve tarayıcıda medya oynatmadır.
Bu sorun, mediaserver hizmeti bağlamında uzaktan kod çalıştırma olasılığı nedeniyle Kritik önem düzeyinde olarak derecelendirilmiştir. mediaserver hizmeti, ses ve video akışlarına ve üçüncü taraf uygulamalarının normalde erişemeyeceği ayrıcalıklara erişebilir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6636 | ANDROID-25070493 | Kritik (Critical) | 5.0, 5.1.1, 6.0, 6.0.1 | Google Dahili |
| ANDROID-24686670 | Kritik (Critical) | 5.0, 5.1.1, 6.0, 6.0.1 | Google Dahili |
misc-sd sürücüsünde ayrıcalık yükseltme güvenlik açığı
MediaTek'in misc-sd sürücüsünde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdekte keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik önem derecesine sahiptir. Bu durumda, cihazın işletim sistemini yeniden flaşlayarak onarılması gerekebilir.
| CVE | Hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6637 | ANDROID-25307013* | Kritik (Critical) | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 26 Ekim 2015 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden edinilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Imagination Technologies sürücüsünde ayrıcalık yükseltme güvenlik açığı
Imagination Technologies'e ait bir çekirdek sürücüsünde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdekte keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik önem düzeyinde olarak değerlendirilir. Bu durumda, cihazın işletim sistemini yeniden flaşlayarak onarılması gerekebilir.
| CVE | Hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6638 | ANDROID-24673908* | Kritik (Critical) | 5.0, 5.1.1, 6.0, 6.0.1 | Google Dahili |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden edinilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Trustzone'da ayrıcalık yükseltme güvenlik açıkları
Widevine QSEE TrustZone uygulamasındaki ayrıcalık yükseltme güvenlik açıkları, QSEECOM'a erişimi olan ayrıcalıklı bir uygulamanın Trustzone bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın işletim sistemini yeniden flaşlayarak onarılması gerekebilir.
| CVE | Hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6639 | ANDROID-24446875* | Kritik (Critical) | 5.0, 5.1.1, 6.0, 6.0.1 | 23 Eylül 2015 |
| CVE-2015-6647 | ANDROID-24441554* | Kritik (Critical) | 5.0, 5.1.1, 6.0, 6.0.1 | 27 Eylül 2015 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden edinilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Çekirdekte ayrıcalık yükseltme güvenlik açığı
Çekirdekteki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdekte keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın işletim sistemini yeniden flaşlayarak onarılması gerekebilir.
| CVE | AOSP Bağlantısı ile ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6640 | ANDROID-20017123 | Kritik (Critical) | 4.4.4, 5.0, 5.1.1, 6.0 | Google Dahili |
Bluetooth'da ayrıcalık yükseltme güvenlik açığı
Bluetooth bileşeninde ayrıcalık yükseltme güvenlik açığı, Bluetooth üzerinden eşlenen uzak bir cihazın kullanıcının özel bilgilerine (Kişiler) erişmesine olanak tanıyabilir. Bu sorun, uzaktan "tehlikeli" özellikler elde etmek için kullanılabileceğinden yüksek önem düzeyinde olarak derecelendirilmiştir. Bu izinlere yalnızca yerel olarak yüklü üçüncü taraf uygulamaları erişebilir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6641 | ANDROID-23607427 [2] | Yüksek | 6.0, 6.0.1 | Google Dahili |
Çekirdekte Bilgi Açıklama Güvenlik Açığı
Çekirdekteki bir bilgi ifşa etme güvenlik açığı, platformdan yararlanan saldırganların zorluğunu artırmak için mevcut güvenlik önlemlerinin atlanmasına izin verebilir. Bu sorunlar, üçüncü taraf uygulamaların erişemediği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yüksek düzeyli özellikler elde etmek için de kullanılabileceğinden yüksek önem düzeyinde olarak değerlendirilir.
| CVE | Hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6642 | ANDROID-24157888* | Yüksek | 4.4.4, 5.0, 5.1.1, 6.0 | 12 Eylül 2015 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden edinilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Kurulum Sihirbazı'nda Yetki Yükseltme Güvenlik Açığı
Kurulum Sihirbazı'nda ayrıcalık yükseltme güvenlik açığı, cihaza fiziksel erişimi olan bir saldırganın cihaz ayarlarına erişmesine ve cihazı manuel olarak sıfırlamasına olanak tanıyabilir. Fabrika ayarlarına sıfırlama korumasını atlatmak için kötüye kullanılabileceğinden bu sorun orta önem düzeyinde olarak derecelendirilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6643 | ANDROID-25290269 [2] | Orta seviye | 5.1.1, 6.0, 6.0.1 | Google Dahili |
Kablosuz Ağda Ayrıcalık Yükseltme Güvenlik Açığı
Kablosuz ağ bileşeninde ayrıcalık yükseltme güvenlik açığı, yerel olarak yakın bir saldırganın kablosuz ağ hizmetiyle ilgili bilgilere erişmesine olanak tanıyabilir. Cihazlar yalnızca yakın mesafedeyken bu soruna karşı savunmasızdır. Bu sorun, uzaktan "normal" özellikler elde etmek için kullanılabileceğinden orta önem derecesine sahiptir. Bu izinlere yalnızca yerel olarak yüklenen üçüncü taraf uygulamaları erişebilir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-5310 | ANDROID-25266660 | Orta seviye | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 25 Ekim 2015 |
Bouncy Castle'da Bilgi Açıklama Güvenlik Açığı
Bouncy Castle'daki bir bilgi ifşa güvenlik açığı, yerel bir zararlı uygulamanın kullanıcının özel bilgilerine erişmesine olanak tanıyabilir. Bu sorun, "tehlikeli" izinleri uygunsuz bir şekilde elde etmek için kullanılabileceğinden Orta önem düzeyinde olarak derecelendirilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6644 | ANDROID-24106146 | Orta seviye | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | Google Dahili |
SyncManager'da Hizmet Reddi Güvenlik Açığı
SyncManager'da hizmet reddi güvenlik açığı, yerel bir kötü amaçlı uygulamanın yeniden başlatma döngüsüne neden olmasına neden olabilir. Bu sorun, yerel olarak geçici bir hizmet kesintisi oluşturmak için kullanılabileceği ve bunun fabrika ayarlarına sıfırlamayla düzeltilmesi gerekebileceği için orta önem derecesine sahiptir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6645 | ANDROID-23591205 | Orta seviye | 4.4.4, 5.0, 5.1.1, 6.0 | Google Dahili |
Nexus Çekirdeklerinde Saldırı Yüzeyi Azaltma
SysV IPC, hiçbir Android çekirdeğinde desteklenmez. Sisteme kötü amaçlı uygulamalar tarafından kötüye kullanılabilecek işlevler eklemeyen ek bir saldırı yüzeyi oluşturduğundan bu özelliği işletim sisteminden kaldırdık. Ayrıca, ayrılan kaynaklar bellek yöneticisi tarafından serbest bırakılamadığından ve bu da küresel çekirdek kaynağı sızıntısına yol açtığından System V IPC'ler Android'in uygulama yaşam döngüsü ile uyumlu değildir. Bu değişiklik, CVE-2015-7613 gibi sorunları giderir.
| CVE | Hatalar | Önem derecesi | Güncellenmiş sürümler | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-6646 | ANDROID-22300191* | Orta seviye | 6.0 | Google Dahili |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden edinilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Sık Sorulan Sorular ve Yanıtları
Bu bölümde, bu bülteni okuduktan sonra aklınıza gelebilecek sık sorulan soruların yanıtları ele alınmaktadır.
1. Cihazımın bu sorunları giderecek şekilde güncellenip güncellenmediğini nasıl öğrenebilirim?
LMY49F veya sonraki sürümler ve 1 Ocak 2016 veya sonraki bir güvenlik yaması düzeyine sahip Android 6.0 bu sorunları giderir. Güvenlik yaması düzeyini kontrol etmeyle ilgili talimatlar için Nexus dokümanlarına bakın. Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-01-01]
Düzeltmeler
- 4 Ocak 2016: Bülten yayınlandı.
- 6 Ocak 2016: Bülten, AOSP bağlantılarını içerecek şekilde düzeltildi.
- 28 Nisan 2016: CVE-2015-6617, Teşekkürler bölümünden kaldırıldı ve CVE-2015-6647 özet tablosuna eklendi