עלון אבטחה של Nexus—ינואר 2016

פורסם ב-04 בינואר 2016 | עודכן ב-28 באפריל, 2016

פרסמנו עדכון אבטחה למכשירי Nexus באמצעות עדכון אויר (OTA) כחלק מתהליך השחרור החודשי של עלון האבטחה של Android. תמונות הקושחה של Nexus שוחררו גם לאתר Google Developer . בונה LMY49F ואילך ו-Android 6.0 עם רמת תיקון אבטחה של 1 בינואר 2016 ואילך מטפלים בבעיות אלה. עיין בסעיף שאלות ותשובות נפוצות לפרטים נוספים.

שותפים קיבלו הודעה על הבעיות המתוארות בעלון זה וסיפקו עדכונים ב-7 בדצמבר 2015 או קודם לכן. במידת האפשר, תיקוני קוד מקור עבור בעיות אלה שוחררו למאגר Android Open Source Project (AOSP).

החמורה ביותר מבין הבעיות הללו היא פגיעות אבטחה קריטית שעלולה לאפשר ביצוע קוד מרחוק במכשיר מושפע באמצעות מספר שיטות כגון דואר אלקטרוני, גלישה באינטרנט ו-MMS בעת עיבוד קובצי מדיה. הערכת החומרה מבוססת על ההשפעה שאולי תהיה לניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה וההפחתות השירות מושבתות למטרות פיתוח או אם יעקפו בהצלחה.

לא קיבלנו דיווחים על ניצול פעיל של לקוחות של בעיות אלה שדווחו לאחרונה. עיין בסעיף ההקלות לפרטים על הגנות פלטפורמת האבטחה של אנדרואיד והגנות שירות כגון SafetyNet, המשפרות את האבטחה של פלטפורמת אנדרואיד. אנו מעודדים את כל הלקוחות לקבל עדכונים אלה למכשירים שלהם.

הקלות

זהו סיכום של ההקלות שמספקות פלטפורמת האבטחה אנדרואיד והגנות שירות כגון SafetyNet. יכולות אלו מפחיתות את הסבירות שניתן יהיה לנצל בהצלחה פרצות אבטחה באנדרואיד.

  • ניצול בעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
  • צוות אבטחת אנדרואיד עוקב באופן פעיל אחר שימוש לרעה עם Verify Apps ו- SafetyNet אשר יזהירו מפני אפליקציות שעלולות להיות מזיקים שעומדים להתקין. כלי השתרשות מכשירים אסורים ב-Google Play. כדי להגן על משתמשים שמתקינים יישומים מחוץ ל-Google Play, Verify Apps מופעל כברירת מחדל והוא יזהיר משתמשים לגבי יישומי השתרשות ידועים. אימות אפליקציות מנסה לזהות ולחסום התקנה של יישומים זדוניים ידועים המנצלים פגיעות של הסלמה של הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע למשתמש וינסה להסיר אפליקציות כאלה.
  • בהתאם, יישומי Google Hangouts ו-Messenger אינם מעבירים מדיה אוטומטית לתהליכים כגון שרת מדיה.

תודות

ברצוננו להודות לחוקרים אלו על תרומתם:

  • אבישק אריה, אוליבר צ'אנג ומרטין ברבלה מצוות האבטחה של Google Chrome: CVE-2015-6636
  • Sen Nie ( @nforest_ ) ו-jfang ממעבדת KEEN, Tencent ( @K33nTeam ): CVE-2015-6637
  • Yabin Cui מצוות Android Bionic: CVE-2015-6640
  • טום קרייג מגוגל X: CVE-2015-6641
  • Jann Horn ( https://thejh.net ): CVE-2015-6642
  • Jouni Malinen PGP מזהה EFC895FA: CVE-2015-5310
  • Quan Nguyen מצוות מהנדס אבטחת מידע של Google: CVE-2015-6644
  • גל בנימיני ( @laginimaineb , http://bits-please.blogspot.com ): CVE-2015-6639

פרטי פגיעות אבטחה

בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2016-01-01. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הבאג המשויך, החומרה, הגרסאות המעודכנות ותאריך הדיווח. כאשר יהיה זמין, נקשר את השינוי ב-AOSP שטיפל בבעיה למזהה הבאג. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות של AOSP מקושרות למספרים בעקבות מזהה הבאג.

פגיעות של ביצוע קוד מרחוק ב-Mediaserver

במהלך קבצי מדיה ועיבוד נתונים של קובץ בעל מבנה מיוחד, פגיעויות בשרת המדיה עלולות לאפשר לתוקף לגרום לפגיעה בזיכרון ולביצוע קוד מרחוק כתהליך שרת המדיה.

הפונקציונליות המושפעת מסופקת כחלק מרכזי ממערכת ההפעלה וישנן מספר יישומים המאפשרים להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת מדיה בדפדפן.

בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של שירות שרת המדיה. לשירות שרת המדיה יש גישה לזרמי אודיו ווידאו וכן גישה להרשאות שאפליקציות צד שלישי אינן יכולות לגשת אליהן בדרך כלל.

CVE באג(ים) עם קישורי AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2015-6636 ANDROID-25070493 קריטי 5.0, 5.1.1, 6.0, 6.0.1 Google פנימי
ANDROID-24686670 קריטי 5.0, 5.1.1, 6.0, 6.0.1 Google פנימי

פגיעות העלאת הרשאות במנהל התקן שונה-SD

הפגיעות של העלאת הרשאות במנהל ההתקן misc-sd מ- MediaTek עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בתוך הליבה. בעיה זו מדורגת כחומרה קריטית עקב האפשרות של פגיעה מקומית קבועה במכשיר, ובמקרה זה ייתכן שיהיה צורך לתקן את המכשיר על ידי הבזק מחדש של מערכת ההפעלה.

CVE באגים) חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2015-6637 ANDROID-25307013* קריטי 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26 באוקטובר 2015

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות העלאת הרשאות במנהל ההתקן של Imagination Technologies

הפגיעות של העלאת הרשאות במנהל התקן ליבה מ-Imagination Technologies עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בתוך הליבה. בעיה זו מדורגת כחומרה קריטית עקב האפשרות של פגיעה מקומית במכשיר קבוע, ובמקרה זה ייתכן שיהיה צורך לתקן את המכשיר על ידי הבזק מחדש של מערכת ההפעלה.

CVE באגים) חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2015-6638 ANDROID-24673908* קריטי 5.0, 5.1.1, 6.0, 6.0.1 Google פנימי

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

העלאת נקודות תורפה ב-Trustzone

העלאת פגיעויות הרשאות באפליקציית Widevine QSEE TrustZone עלולה לאפשר ליישום פשרה, בעל גישה ל-QSEECOM, לבצע קוד שרירותי בהקשר של Trustzone. בעיה זו מדורגת כחומרה קריטית עקב האפשרות של פגיעה מקומית קבועה במכשיר, ובמקרה זה ייתכן שיהיה צורך לתקן את המכשיר על ידי הבזק מחדש של מערכת ההפעלה.

CVE באגים) חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2015-6639 ANDROID-24446875* קריטי 5.0, 5.1.1, 6.0, 6.0.1 23 בספטמבר 2015
CVE-2015-6647 ANDROID-24441554* קריטי 5.0, 5.1.1, 6.0, 6.0.1 27 בספטמבר 2015

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות העלאת הרשאות בליבה

הפגיעות של העלאת הרשאות בקרנל עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בליבה. בעיה זו מדורגת כחומרה קריטית עקב האפשרות של פגיעה מקומית קבועה במכשיר, ובמקרה זה ייתכן שיהיה צורך לתקן את המכשיר על ידי הבזק מחדש של מערכת ההפעלה.

CVE באג(ים) עם קישור AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2015-6640 ANDROID-20017123 קריטי 4.4.4, 5.0, 5.1.1, 6.0 Google פנימי

פגיעות העלאת הרשאות ב-Bluetooth

פגיעות העלאת הרשאות ברכיב ה-Bluetooth עלולה לאפשר למכשיר מרוחק המותאם באמצעות Bluetooth לקבל גישה למידע הפרטי של המשתמש (אנשי קשר). בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות " מסוכנות " מרחוק, ההרשאות הללו נגישות רק ליישומי צד שלישי המותקנות באופן מקומי.

CVE באג(ים) עם קישורי AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2015-6641 ANDROID-23607427 [ 2 ] גָבוֹהַ 6.0, 6.0.1 Google פנימי

פגיעות של חשיפת מידע בליבה

פגיעות של חשיפת מידע בליבה עלולה לאפשר עקיפת אמצעי אבטחה על מנת להגביר את הקושי של תוקפים לנצל את הפלטפורמה. בעיות אלו מדורגות כחומרה גבוהה מכיוון שניתן להשתמש בהן גם כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישומי צד שלישי.

CVE באגים) חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2015-6642 ANDROID-24157888* גָבוֹהַ 4.4.4, 5.0, 5.1.1, 6.0 12 בספטמבר 2015

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות העלאת הרשאות באשף ההתקנה

פגיעות העלאת הרשאות באשף ההתקנה עלולה לאפשר לתוקף עם גישה פיזית למכשיר לקבל גישה להגדרות המכשיר ולבצע איפוס ידני של המכשיר. בעיה זו מדורגת כחומרה בינונית מכיוון שהיא עשויה לשמש כדי לעקוף את ההגנה לאיפוס היצרן באופן שגוי.

CVE באג(ים) עם קישורי AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2015-6643 ANDROID-25290269 [ 2 ] לְמַתֵן 5.1.1, 6.0, 6.0.1 Google פנימי

פגיעות העלאת הרשאות ב-Wi-Fi

הפגיעות של העלאת הרשאות ברכיב ה-Wi-Fi עלולה לאפשר לתוקף קרוב מקומי לקבל גישה למידע הקשור לשירותי Wi-Fi. מכשיר חשוף לבעיה זו רק כאשר הוא נמצא בקרבה מקומית. בעיה זו מדורגת כחומרה בינונית מכיוון שניתן להשתמש בה כדי להשיג יכולות " רגילות " מרחוק, ההרשאות הללו נגישות רק ליישומי צד שלישי המותקנות באופן מקומי.

CVE באג(ים) עם קישורי AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2015-5310 ANDROID-25266660 לְמַתֵן 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 באוקטובר 2015

פגיעות של חשיפת מידע בטירה קופצנית

פגיעות של חשיפת מידע ב-Bouncy Castle עלולה לאפשר לאפליקציה זדונית מקומית לקבל גישה למידע הפרטי של המשתמש. בעיה זו מדורגת כחומרה בינונית מכיוון שהיא עשויה לשמש כדי לקבל הרשאות " מסוכנות " באופן שגוי.

CVE באג(ים) עם קישורי AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2015-6644 ANDROID-24106146 לְמַתֵן 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 Google פנימי

פגיעות מניעת שירות ב-SyncManager

פגיעות של מניעת שירות ב-SyncManager עלולה לאפשר ליישום זדוני מקומי לגרום ללולאת אתחול מחדש. בעיה זו מדורגת כחומרה בינונית מכיוון שהיא עשויה לשמש כדי לגרום למניעת שירות זמנית מקומית, שאולי יהיה צורך לתקן אותה באמצעות איפוס להגדרות היצרן.

CVE באג(ים) עם קישורי AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2015-6645 ANDROID-23591205 לְמַתֵן 4.4.4, 5.0, 5.1.1, 6.0 Google פנימי

הפחתת שטח תקיפה עבור ליבות Nexus

SysV IPC אינו נתמך בשום ליבת אנדרואיד. הסרנו את זה ממערכת ההפעלה מכיוון שהוא חושף משטח התקפה נוסף שאינו מוסיף פונקציונליות למערכת שעלולה להיות מנוצלת על ידי יישומים זדוניים. כמו כן, מחשבי IPC של System V אינם תואמים למחזור החיים של האפליקציה של אנדרואיד מכיוון שהמשאבים שהוקצו אינם פנויים על ידי מנהל הזיכרון, מה שמוביל לדליפת משאבי ליבה גלובלית. שינוי זה מטפל בבעיה כגון CVE-2015-7613.

CVE באגים) חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2015-6646 ANDROID-22300191* לְמַתֵן 6.0 Google פנימי

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

שאלות ותשובות נפוצות

חלק זה סוקר תשובות לשאלות נפוצות שעלולות להתרחש לאחר קריאת עלון זה.

1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלו?

בונה LMY49F ואילך ו-Android 6.0 עם רמת תיקון אבטחה של 1 בינואר 2016 ואילך מטפלים בבעיות אלה. עיין בתיעוד של Nexus לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה. יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל: [ro.build.version.security_patch]:[2016-01-01]

תיקונים

  • 4 בינואר 2016: פרסום עלון.
  • 6 בינואר 2016: העלון תוקן כך שיכלול קישורי AOSP.
  • 28 באפריל, 2016: הוסר CVE-2015-6617 מהתודות והוספת CVE-2015-6647 לטבלת הסיכום