עלון אבטחה של Nexus - מרץ 2016

פורסם ב-07 במרץ 2016 | עודכן ב-8 במרץ 2016

פרסמנו עדכון אבטחה למכשירי Nexus באמצעות עדכון אויר (OTA) כחלק מתהליך השחרור החודשי של עלון האבטחה של Android. תמונות הקושחה של Nexus שוחררו גם לאתר Google Developer . בונה LMY49H ואילך ו-Android M עם רמת תיקון אבטחה מ-01 במרץ 2016 ואילך מטפלים בבעיות אלה. עיין בתיעוד של Nexus לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה.

שותפים קיבלו הודעה על הבעיות המתוארות בעלון ב-1 בפברואר 2016 או קודם לכן. במידת האפשר, תיקוני קוד מקור עבור בעיות אלה שוחררו למאגר Android Open Source Project (AOSP).

החמורה ביותר מבין הבעיות הללו היא פגיעות אבטחה קריטית שעלולה לאפשר ביצוע קוד מרחוק במכשיר מושפע באמצעות מספר שיטות כגון דואר אלקטרוני, גלישה באינטרנט ו-MMS בעת עיבוד קובצי מדיה. הערכת החומרה מבוססת על ההשפעה שאולי תהיה לניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה וההפחתות השירות מושבתות למטרות פיתוח או אם יעקפו בהצלחה.

לא קיבלנו דיווחים על ניצול פעיל של לקוחות של בעיות אלה שדווחו לאחרונה. עיין בסעיף ההקלות לפרטים על הגנות פלטפורמת האבטחה של אנדרואיד והגנות שירות כגון SafetyNet, המשפרות את האבטחה של פלטפורמת אנדרואיד. אנו מעודדים את כל הלקוחות לקבל עדכונים אלה למכשירים שלהם.

הקלות

זהו סיכום של ההקלות שמספקות פלטפורמת האבטחה אנדרואיד והגנות שירות כגון SafetyNet. יכולות אלו מפחיתות את הסבירות שניתן יהיה לנצל בהצלחה פרצות אבטחה באנדרואיד.

  • ניצול בעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
  • צוות אבטחת אנדרואיד עוקב באופן פעיל אחר שימוש לרעה עם Verify Apps ו- SafetyNet אשר יזהירו מפני אפליקציות שעלולות להיות מזיקים שעומדים להתקין. כלי השתרשות מכשירים אסורים ב-Google Play. כדי להגן על משתמשים שמתקינים יישומים מחוץ ל-Google Play, Verify Apps מופעל כברירת מחדל והוא יזהיר משתמשים לגבי יישומי השתרשות ידועים. אימות אפליקציות מנסה לזהות ולחסום התקנה של יישומים זדוניים ידועים המנצלים פגיעות של הסלמה של הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע למשתמש וינסה להסיר אפליקציות כאלה.
  • בהתאם, יישומי Google Hangouts ו-Messenger אינם מעבירים מדיה אוטומטית לתהליכים כגון שרת מדיה.

תודות

ברצוננו להודות לחוקרים אלו על תרומתם:

  • אבישק אריה, אוליבר צ'אנג ומרטין ברבלה מצוות האבטחה של Google Chrome: CVE-2016-0815
  • Anestis Bechtsoudis ( @anestisb ) מ-CENSUS SA: CVE-2016-0816, CVE-2016-0824
  • Chad Brubaker מאת Android Security: CVE-2016-0818
  • Mark Brand של Google Project Zero: CVE-2016-0820
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), ו-Xuxian Jiang מ- C0RE Team מ- Qihoo 360 : CVE-2016-0826
  • Peter Pi ( @heisecode ) מ-Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
  • סקוט באואר ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
  • Wish Wu ( @wish_wu ) של Trend Micro Inc.: CVE-2016-0819
  • Yongzheng Wu ו-Tieyan Li מ-Huawei: CVE-2016-0831
  • Su Mon Kywe ו-Yingjiu Li מאוניברסיטת סינגפור לניהול: CVE-2016-0831
  • זאק ריגל ( @ebeip90 ) מצוות האבטחה של אנדרואיד: CVE-2016-0821

פרטי פגיעות אבטחה

בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2016-03-01. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הבאג המשויך, החומרה, הגרסאות המושפעות ותאריך הדיווח. כאשר יהיה זמין, נקשר את השינוי ב-AOSP שטיפל בבעיה למזהה הבאג. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות של AOSP מקושרות למספרים בעקבות מזהה הבאג.

פגיעות של ביצוע קוד מרחוק ב-Mediaserver

במהלך קבצי מדיה ועיבוד נתונים של קובץ בעל מבנה מיוחד, פגיעויות בשרת המדיה עלולות לאפשר לתוקף לגרום לפגיעה בזיכרון ולביצוע קוד מרחוק כתהליך שרת המדיה.

הפונקציונליות המושפעת מסופקת כחלק מרכזי ממערכת ההפעלה, וישנן מספר יישומים המאפשרים להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת מדיה בדפדפן.

בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של שירות שרת המדיה. לשירות שרת המדיה יש גישה לזרמי אודיו ווידאו וכן גישה להרשאות שאפליקציות צד שלישי לא יכלו לגשת אליהן בדרך כלל.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0815 ANDROID-26365349 קריטי 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google פנימי
CVE-2016-0816 ANDROID-25928803 קריטי 6.0, 6.0.1 Google פנימי

פגיעויות של ביצוע קוד מרחוק ב-libvpx

במהלך קבצי מדיה ועיבוד נתונים של קובץ בעל מבנה מיוחד, פגיעויות בשרת המדיה עלולות לאפשר לתוקף לגרום לפגיעה בזיכרון ולביצוע קוד מרחוק כתהליך שרת המדיה.

הפונקציונליות המושפעת מסופקת כחלק מרכזי ממערכת ההפעלה וישנן מספר יישומים המאפשרים להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת מדיה בדפדפן.

הבעיות מדורגות כחומרה קריטית מכיוון שניתן להשתמש בהן לביצוע קוד מרחוק בהקשר של שירות שרת המדיה. לשירות שרת המדיה יש גישה לזרמי אודיו ווידאו וכן גישה להרשאות שאפליקציות צד שלישי אינן יכולות לגשת אליהן בדרך כלל.

CVE באג עם קישורי AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-1621 ANDROID-23452792 [2] [3] קריטי 4.4.4, 5.0.2, 5.1.1, 6.0 Google פנימי

העלאת הרשאות בקונקריפט

פגיעות ב-Conscrypt עלולה לאפשר מתן אמון שגוי בסוג מסוים של תעודה לא חוקית, שהונפקה על ידי רשות אישורים ביניים (CA). זה עשוי לאפשר התקפת איש-באמצע. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של העלאת הרשאות וביצוע קוד שרירותי מרחוק.

CVE באג עם קישורי AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0818 ANDROID-26232830 [2] קריטי 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google פנימי

פגיעות העלאת הרשאות ברכיב הביצועים של קוואלקום

הפגיעות של העלאת הרשאות ברכיב הביצועים של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בליבה. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של פגיעה מקומית במכשיר קבוע, וניתן היה לתקן את המכשיר רק על ידי הבזק מחדש של מערכת ההפעלה.

CVE חרק חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0819 ANDROID-25364034* קריטי 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 באוקטובר 2015

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל ההתקן של MediaTek Wi-Fi Kernel

קיימת פגיעות במנהל ההתקן של ליבת ה-Wi-Fi של MediaTek שעלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של העלאת הרשאות וביצוע קוד שרירותי בהקשר של הליבה.

CVE חרק חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0820 ANDROID-26267358* קריטי 6.0.1 18 בדצמבר 2015

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות העלאת הרשאות ברכיב מחזיק מפתחות ליבה

הפגיעות של העלאת הרשאות ברכיב מפתחות הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בתוך הליבה. בעיה זו מדורגת כחומרה קריטית עקב האפשרות של פגיעה מקומית קבועה במכשיר ואפשר לתקן את המכשיר רק על ידי הבזק מחדש של מערכת ההפעלה. עם זאת, בגרסאות אנדרואיד 5.0 ומעלה, כללי SELinux מונעים מאפליקציות צד שלישי להגיע לקוד המושפע.

הערה: לעיון, התיקון ב-AOSP זמין עבור גרסאות ליבה ספציפיות: 4.1 , 3.18 , 3.14 ו -3.10 .

CVE חרק חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0728 ANDROID-26636379 קריטי 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 בינואר 2016

פגיעות מעקף מצמצמת בליבה

פגיעות מעקף מפחיתה בליבה עלולה לאפשר עקיפת אמצעי אבטחה כדי להגביר את הקושי של תוקפים לנצל את הפלטפורמה. בעיה זו מדורגת כחומרה גבוהה מכיוון שהיא עלולה לאפשר עקיפת אמצעי אבטחה במקום כדי להגביר את הקושי של תוקפים לנצל את הפלטפורמה.

הערה: העדכון לבעיה זו נמצא ב-Linux במעלה הזרם .

CVE חרק חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0821 ANDROID-26186802 גָבוֹהַ 6.0.1 Google פנימי

העלאת הרשאות ב-MediaTek Connectivity Kernel Driver

קיימת פגיעות מוגברת של הרשאות במנהל ההתקן של ליבת קישוריות MediaTek שעלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בדרך כלל באג ביצוע קוד ליבה כמו זה ידורג כקריטי, אך מכיוון שהוא מצריך פגיעה תחילה בשירות conn_launcher, הוא מצדיק שדרוג לאחור לדירוג חומרה גבוה.

CVE חרק חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0822 ANDROID-25873324* גָבוֹהַ 6.0.1 24 בנובמבר 2015

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות של חשיפת מידע בליבה

פגיעות של חשיפת מידע בליבה עלולה לאפשר עקיפת אמצעי אבטחה על מנת להגביר את הקושי של תוקפים לנצל את הפלטפורמה. בעיות אלו מדורגות כחומרה גבוהה מכיוון שהן יכולות לאפשר עקיפת מקומית של טכנולוגיות הפחתת ניצול כגון ASLR בתהליך מיוחס.

הערה: התיקון לבעיה זו נמצא ב-Linux במעלה הזרם .

CVE חרק חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0823 ANDROID-25739721* גָבוֹהַ 6.0.1 Google פנימי

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות גילוי מידע ב-libstagefright

פגיעות של חשיפת מידע ב-libstagefright עלולה לאפשר עקיפת אמצעי אבטחה על מנת להגביר את הקושי של תוקפים לנצל את הפלטפורמה. בעיות אלו מדורגות כחומרה גבוהה מכיוון שניתן להשתמש בהן גם כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישומי צד שלישי.

CVE באג עם קישור AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0824 ANDROID-25765591 גָבוֹהַ 6.0, 6.0.1 18 בנובמבר 2015

פגיעות של גילוי מידע ב-Widevine

פגיעות של חשיפת מידע ב-Widevine Trusted Application עלולה לאפשר לקוד הפועל בהקשר הליבה לגשת למידע באחסון מאובטח של TrustZone. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem .

CVE באגים) חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0825 ANDROID-20860039* גָבוֹהַ 6.0.1 Google פנימי

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות ב-Mediaserver

פגיעות העלאת הרשאות בשרת מדיה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של יישום מערכת מוגבה. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0826 ANDROID-26265403 [2] גָבוֹהַ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 בדצמבר 2015
CVE-2016-0827 ANDROID-26347509 גָבוֹהַ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 בדצמבר 2015

פגיעות של גילוי מידע ב-Mediaserver

פגיעות של חשיפת מידע בשרת מדיה עלולה לאפשר עקיפת אמצעי אבטחה על מנת להגביר את הקושי של תוקפים לנצל את הפלטפורמה. בעיות אלו מדורגות כחומרה גבוהה מכיוון שניתן להשתמש בהן גם כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישומי צד שלישי.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0828 ANDROID-26338113 גָבוֹהַ 5.0.2, 5.1.1, 6.0, 6.0.1 27 בדצמבר 2015
CVE-2016-0829 ANDROID-26338109 גָבוֹהַ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 בדצמבר 2015

פגיעות מניעת שירות מרחוק ב-Bluetooth

פגיעות של מניעת שירות מרחוק ברכיב Bluetooth עלולה לאפשר לתוקף פרוקסימלי לחסום גישה למכשיר מושפע. תוקף עלול לגרום לגלישה של התקני Bluetooth מזוהים ברכיב ה-Bluetooth, מה שמוביל לפגיעה בזיכרון ולעצירת שירות. זה מדורג כחומרה גבוהה מכיוון שהוא מוביל למניעת שירות לשירות ה-Bluetooth, שאולי ניתן לתקן רק עם הבזק של המכשיר.

CVE באג עם קישור AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0830 ANDROID-26071376 גָבוֹהַ 6.0, 6.0.1 Google פנימי

פגיעות של חשיפת מידע בטלפוניה

פגיעות של חשיפת מידע ברכיב הטלפוניה עלולה לאפשר לאפליקציה לגשת למידע רגיש. בעיה זו מדורגת בדרגת חומרה בינונית מכיוון שהיא עשויה לשמש לגישה לא נכונה לנתונים ללא רשות.

CVE באג עם קישור AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0831 ANDROID-25778215 לְמַתֵן 5.0.2, 5.1.1, 6.0, 6.0.1 16 בנובמבר 2015

פגיעות העלאת הרשאות באשף ההתקנה

פגיעות באשף ההתקנה עלולה לאפשר לתוקף שיש לו גישה פיזית למכשיר לקבל גישה להגדרות המכשיר ולבצע איפוס ידני של המכשיר. בעיה זו מדורגת כחומרה בינונית מכיוון שהיא עשויה לשמש כדי לעקוף את ההגנה לאיפוס היצרן באופן שגוי.

CVE באגים) חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0832 ANDROID-25955042* לְמַתֵן 5.1.1, 6.0, 6.0.1 Google פנימי

* לא מסופק תיקון קוד מקור עבור עדכון זה.

שאלות ותשובות נפוצות

חלק זה סוקר תשובות לשאלות נפוצות שעלולות להתרחש לאחר קריאת עלון זה.

1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלו?

בונה LMY49H ואילך ו-Android 6.0 עם רמת תיקון אבטחה של 1 במרץ 2016 ואילך מטפלים בבעיות אלה. עיין בתיעוד של Nexus לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה. יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל: [ro.build.version.security_patch]:[2016-03-01]

תיקונים

  • 7 במרץ 2016: פרסום עלון.
  • 8 במרץ 2016: העלון תוקן כך שיכלול קישורי AOSP.