פורסם ב-07 במרץ 2016 | עודכן ב-8 במרץ 2016
פרסמנו עדכון אבטחה למכשירי Nexus באמצעות עדכון אויר (OTA) כחלק מתהליך השחרור החודשי של עלון האבטחה של Android. תמונות הקושחה של Nexus שוחררו גם לאתר Google Developer . בונה LMY49H ואילך ו-Android M עם רמת תיקון אבטחה מ-01 במרץ 2016 ואילך מטפלים בבעיות אלה. עיין בתיעוד של Nexus לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה.
שותפים קיבלו הודעה על הבעיות המתוארות בעלון ב-1 בפברואר 2016 או קודם לכן. במידת האפשר, תיקוני קוד מקור עבור בעיות אלה שוחררו למאגר Android Open Source Project (AOSP).
החמורה ביותר מבין הבעיות הללו היא פגיעות אבטחה קריטית שעלולה לאפשר ביצוע קוד מרחוק במכשיר מושפע באמצעות מספר שיטות כגון דואר אלקטרוני, גלישה באינטרנט ו-MMS בעת עיבוד קובצי מדיה. הערכת החומרה מבוססת על ההשפעה שאולי תהיה לניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה וההפחתות השירות מושבתות למטרות פיתוח או אם יעקפו בהצלחה.
לא קיבלנו דיווחים על ניצול פעיל של לקוחות של בעיות אלה שדווחו לאחרונה. עיין בסעיף ההקלות לפרטים על הגנות פלטפורמת האבטחה של אנדרואיד והגנות שירות כגון SafetyNet, המשפרות את האבטחה של פלטפורמת אנדרואיד. אנו מעודדים את כל הלקוחות לקבל עדכונים אלה למכשירים שלהם.
הקלות
זהו סיכום של ההקלות שמספקות פלטפורמת האבטחה אנדרואיד והגנות שירות כגון SafetyNet. יכולות אלו מפחיתות את הסבירות שניתן יהיה לנצל בהצלחה פרצות אבטחה באנדרואיד.
- ניצול בעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
- צוות אבטחת אנדרואיד עוקב באופן פעיל אחר שימוש לרעה עם Verify Apps ו- SafetyNet אשר יזהירו מפני אפליקציות שעלולות להיות מזיקים שעומדים להתקין. כלי השתרשות מכשירים אסורים ב-Google Play. כדי להגן על משתמשים שמתקינים יישומים מחוץ ל-Google Play, Verify Apps מופעל כברירת מחדל והוא יזהיר משתמשים לגבי יישומי השתרשות ידועים. אימות אפליקציות מנסה לזהות ולחסום התקנה של יישומים זדוניים ידועים המנצלים פגיעות של הסלמה של הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע למשתמש וינסה להסיר אפליקציות כאלה.
- בהתאם, יישומי Google Hangouts ו-Messenger אינם מעבירים מדיה אוטומטית לתהליכים כגון שרת מדיה.
תודות
ברצוננו להודות לחוקרים אלו על תרומתם:
- אבישק אריה, אוליבר צ'אנג ומרטין ברבלה מצוות האבטחה של Google Chrome: CVE-2016-0815
- Anestis Bechtsoudis ( @anestisb ) מ-CENSUS SA: CVE-2016-0816, CVE-2016-0824
- Chad Brubaker מאת Android Security: CVE-2016-0818
- Mark Brand של Google Project Zero: CVE-2016-0820
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), ו-Xuxian Jiang מ- C0RE Team מ- Qihoo 360 : CVE-2016-0826
- Peter Pi ( @heisecode ) מ-Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
- סקוט באואר ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
- Wish Wu ( @wish_wu ) של Trend Micro Inc.: CVE-2016-0819
- Yongzheng Wu ו-Tieyan Li מ-Huawei: CVE-2016-0831
- Su Mon Kywe ו-Yingjiu Li מאוניברסיטת סינגפור לניהול: CVE-2016-0831
- זאק ריגל ( @ebeip90 ) מצוות האבטחה של אנדרואיד: CVE-2016-0821
פרטי פגיעות אבטחה
בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2016-03-01. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הבאג המשויך, החומרה, הגרסאות המושפעות ותאריך הדיווח. כאשר יהיה זמין, נקשר את השינוי ב-AOSP שטיפל בבעיה למזהה הבאג. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות של AOSP מקושרות למספרים בעקבות מזהה הבאג.
פגיעות של ביצוע קוד מרחוק ב-Mediaserver
במהלך קבצי מדיה ועיבוד נתונים של קובץ בעל מבנה מיוחד, פגיעויות בשרת המדיה עלולות לאפשר לתוקף לגרום לפגיעה בזיכרון ולביצוע קוד מרחוק כתהליך שרת המדיה.
הפונקציונליות המושפעת מסופקת כחלק מרכזי ממערכת ההפעלה, וישנן מספר יישומים המאפשרים להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת מדיה בדפדפן.
בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של שירות שרת המדיה. לשירות שרת המדיה יש גישה לזרמי אודיו ווידאו וכן גישה להרשאות שאפליקציות צד שלישי לא יכלו לגשת אליהן בדרך כלל.
| CVE | באגים עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0815 | ANDROID-26365349 | קריטי | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google פנימי |
| CVE-2016-0816 | ANDROID-25928803 | קריטי | 6.0, 6.0.1 | Google פנימי |
פגיעויות של ביצוע קוד מרחוק ב-libvpx
במהלך קבצי מדיה ועיבוד נתונים של קובץ בעל מבנה מיוחד, פגיעויות בשרת המדיה עלולות לאפשר לתוקף לגרום לפגיעה בזיכרון ולביצוע קוד מרחוק כתהליך שרת המדיה.
הפונקציונליות המושפעת מסופקת כחלק מרכזי ממערכת ההפעלה וישנן מספר יישומים המאפשרים להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת מדיה בדפדפן.
הבעיות מדורגות כחומרה קריטית מכיוון שניתן להשתמש בהן לביצוע קוד מרחוק בהקשר של שירות שרת המדיה. לשירות שרת המדיה יש גישה לזרמי אודיו ווידאו וכן גישה להרשאות שאפליקציות צד שלישי אינן יכולות לגשת אליהן בדרך כלל.
| CVE | באג עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-1621 | ANDROID-23452792 [2] [3] | קריטי | 4.4.4, 5.0.2, 5.1.1, 6.0 | Google פנימי |
העלאת הרשאות בקונקריפט
פגיעות ב-Conscrypt עלולה לאפשר מתן אמון שגוי בסוג מסוים של תעודה לא חוקית, שהונפקה על ידי רשות אישורים ביניים (CA). זה עשוי לאפשר התקפת איש-באמצע. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של העלאת הרשאות וביצוע קוד שרירותי מרחוק.
| CVE | באג עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0818 | ANDROID-26232830 [2] | קריטי | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google פנימי |
פגיעות העלאת הרשאות ברכיב הביצועים של קוואלקום
הפגיעות של העלאת הרשאות ברכיב הביצועים של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בליבה. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של פגיעה מקומית במכשיר קבוע, וניתן היה לתקן את המכשיר רק על ידי הבזק מחדש של מערכת ההפעלה.
| CVE | חרק | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0819 | ANDROID-25364034* | קריטי | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 באוקטובר 2015 |
* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל ההתקן של MediaTek Wi-Fi Kernel
קיימת פגיעות במנהל ההתקן של ליבת ה-Wi-Fi של MediaTek שעלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של העלאת הרשאות וביצוע קוד שרירותי בהקשר של הליבה.
| CVE | חרק | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0820 | ANDROID-26267358* | קריטי | 6.0.1 | 18 בדצמבר 2015 |
* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות העלאת הרשאות ברכיב מחזיק מפתחות ליבה
הפגיעות של העלאת הרשאות ברכיב מפתחות הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בתוך הליבה. בעיה זו מדורגת כחומרה קריטית עקב האפשרות של פגיעה מקומית קבועה במכשיר ואפשר לתקן את המכשיר רק על ידי הבזק מחדש של מערכת ההפעלה. עם זאת, בגרסאות אנדרואיד 5.0 ומעלה, כללי SELinux מונעים מאפליקציות צד שלישי להגיע לקוד המושפע.
הערה: לעיון, התיקון ב-AOSP זמין עבור גרסאות ליבה ספציפיות: 4.1 , 3.18 , 3.14 ו -3.10 .
| CVE | חרק | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0728 | ANDROID-26636379 | קריטי | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 בינואר 2016 |
פגיעות מעקף מצמצמת בליבה
פגיעות מעקף מפחיתה בליבה עלולה לאפשר עקיפת אמצעי אבטחה כדי להגביר את הקושי של תוקפים לנצל את הפלטפורמה. בעיה זו מדורגת כחומרה גבוהה מכיוון שהיא עלולה לאפשר עקיפת אמצעי אבטחה במקום כדי להגביר את הקושי של תוקפים לנצל את הפלטפורמה.
הערה: העדכון לבעיה זו נמצא ב-Linux במעלה הזרם .
| CVE | חרק | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0821 | ANDROID-26186802 | גָבוֹהַ | 6.0.1 | Google פנימי |
העלאת הרשאות ב-MediaTek Connectivity Kernel Driver
קיימת פגיעות מוגברת של הרשאות במנהל ההתקן של ליבת קישוריות MediaTek שעלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בדרך כלל באג ביצוע קוד ליבה כמו זה ידורג כקריטי, אך מכיוון שהוא מצריך פגיעה תחילה בשירות conn_launcher, הוא מצדיק שדרוג לאחור לדירוג חומרה גבוה.
| CVE | חרק | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0822 | ANDROID-25873324* | גָבוֹהַ | 6.0.1 | 24 בנובמבר 2015 |
* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות של חשיפת מידע בליבה
פגיעות של חשיפת מידע בליבה עלולה לאפשר עקיפת אמצעי אבטחה על מנת להגביר את הקושי של תוקפים לנצל את הפלטפורמה. בעיות אלו מדורגות כחומרה גבוהה מכיוון שהן יכולות לאפשר עקיפת מקומית של טכנולוגיות הפחתת ניצול כגון ASLR בתהליך מיוחס.
הערה: התיקון לבעיה זו נמצא ב-Linux במעלה הזרם .
| CVE | חרק | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0823 | ANDROID-25739721* | גָבוֹהַ | 6.0.1 | Google פנימי |
* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות גילוי מידע ב-libstagefright
פגיעות של חשיפת מידע ב-libstagefright עלולה לאפשר עקיפת אמצעי אבטחה על מנת להגביר את הקושי של תוקפים לנצל את הפלטפורמה. בעיות אלו מדורגות כחומרה גבוהה מכיוון שניתן להשתמש בהן גם כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישומי צד שלישי.
| CVE | באג עם קישור AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0824 | ANDROID-25765591 | גָבוֹהַ | 6.0, 6.0.1 | 18 בנובמבר 2015 |
פגיעות של גילוי מידע ב-Widevine
פגיעות של חשיפת מידע ב-Widevine Trusted Application עלולה לאפשר לקוד הפועל בהקשר הליבה לגשת למידע באחסון מאובטח של TrustZone. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem .
| CVE | באגים) | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0825 | ANDROID-20860039* | גָבוֹהַ | 6.0.1 | Google פנימי |
* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות ב-Mediaserver
פגיעות העלאת הרשאות בשרת מדיה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של יישום מערכת מוגבה. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.
| CVE | באגים עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0826 | ANDROID-26265403 [2] | גָבוֹהַ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 בדצמבר 2015 |
| CVE-2016-0827 | ANDROID-26347509 | גָבוֹהַ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 בדצמבר 2015 |
פגיעות של גילוי מידע ב-Mediaserver
פגיעות של חשיפת מידע בשרת מדיה עלולה לאפשר עקיפת אמצעי אבטחה על מנת להגביר את הקושי של תוקפים לנצל את הפלטפורמה. בעיות אלו מדורגות כחומרה גבוהה מכיוון שניתן להשתמש בהן גם כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישומי צד שלישי.
| CVE | באגים עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0828 | ANDROID-26338113 | גָבוֹהַ | 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 בדצמבר 2015 |
| CVE-2016-0829 | ANDROID-26338109 | גָבוֹהַ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 בדצמבר 2015 |
פגיעות מניעת שירות מרחוק ב-Bluetooth
פגיעות של מניעת שירות מרחוק ברכיב Bluetooth עלולה לאפשר לתוקף פרוקסימלי לחסום גישה למכשיר מושפע. תוקף עלול לגרום לגלישה של התקני Bluetooth מזוהים ברכיב ה-Bluetooth, מה שמוביל לפגיעה בזיכרון ולעצירת שירות. זה מדורג כחומרה גבוהה מכיוון שהוא מוביל למניעת שירות לשירות ה-Bluetooth, שאולי ניתן לתקן רק עם הבזק של המכשיר.
| CVE | באג עם קישור AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0830 | ANDROID-26071376 | גָבוֹהַ | 6.0, 6.0.1 | Google פנימי |
פגיעות של חשיפת מידע בטלפוניה
פגיעות של חשיפת מידע ברכיב הטלפוניה עלולה לאפשר לאפליקציה לגשת למידע רגיש. בעיה זו מדורגת בדרגת חומרה בינונית מכיוון שהיא עשויה לשמש לגישה לא נכונה לנתונים ללא רשות.
| CVE | באג עם קישור AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0831 | ANDROID-25778215 | לְמַתֵן | 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 בנובמבר 2015 |
פגיעות העלאת הרשאות באשף ההתקנה
פגיעות באשף ההתקנה עלולה לאפשר לתוקף שיש לו גישה פיזית למכשיר לקבל גישה להגדרות המכשיר ולבצע איפוס ידני של המכשיר. בעיה זו מדורגת כחומרה בינונית מכיוון שהיא עשויה לשמש כדי לעקוף את ההגנה לאיפוס היצרן באופן שגוי.
| CVE | באגים) | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0832 | ANDROID-25955042* | לְמַתֵן | 5.1.1, 6.0, 6.0.1 | Google פנימי |
* לא מסופק תיקון קוד מקור עבור עדכון זה.
שאלות ותשובות נפוצות
חלק זה סוקר תשובות לשאלות נפוצות שעלולות להתרחש לאחר קריאת עלון זה.
1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלו?
בונה LMY49H ואילך ו-Android 6.0 עם רמת תיקון אבטחה של 1 במרץ 2016 ואילך מטפלים בבעיות אלה. עיין בתיעוד של Nexus לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה. יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל: [ro.build.version.security_patch]:[2016-03-01]
תיקונים
- 7 במרץ 2016: פרסום עלון.
- 8 במרץ 2016: העלון תוקן כך שיכלול קישורי AOSP.