Nexus Güvenlik Bülteni - Ekim 2015

Yayınlanma Tarihi 05 Ekim 2015 | 28 Nisan 2016'da güncellendi

Android Güvenlik Bülteni Aylık Sürüm sürecimizin bir parçası olarak kablosuz (OTA) güncelleme aracılığıyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı görüntüleri de Google Geliştirici sitesinde yayınlandı. LMY48T veya sonraki sürümler (LMY48W gibi) ve 1 Ekim 2015 veya sonraki Güvenlik Düzeltme Eki Düzeyine sahip Android M sürümleri bu sorunları giderir. Güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın.

İş ortakları bu sorunlarla ilgili olarak 10 Eylül 2015'te veya daha önce bilgilendirildi. Bu sorunlara yönelik kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlandı.

Bu sorunlardan en ciddi olanı, etkilenen bir cihazda medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden fazla yöntemle uzaktan kod yürütülmesine olanak tanıyan Kritik bir güvenlik açığıdır. Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.

Yeni bildirilen bu sorunların aktif müşteri istismarına ilişkin hiçbir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Azaltıcı Önlemler bölümüne bakın. Tüm müşterilerimizi cihazlarına yönelik bu güncellemeleri kabul etmeye teşvik ediyoruz.

Azaltmalar

Bu , Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltımların bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.

  • Android platformunun daha yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorundan yararlanmayı daha da zorlaştırıyor. Tüm kullanıcılarımızı mümkün olduğunca Android'in en son sürümüne güncelleme yapmaya teşvik ediyoruz.
  • Android Güvenlik ekibi, yüklenmek üzere olan potansiyel zararlı uygulamalar hakkında uyarı verecek olan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Cihaz rootlama araçları Google Play'de yasaktır. Google Play dışından uygulama yükleyen kullanıcıları korumak için Uygulamaları Doğrula özelliği varsayılan olarak etkindir ve kullanıcıları bilinen köklendirme uygulamaları konusunda uyarır. Uygulamaları Doğrula, ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaları tanımlamaya ve yüklemesini engellemeye çalışır. Böyle bir uygulama zaten kuruluysa Verify Apps kullanıcıyı bilgilendirecek ve bu tür uygulamaları kaldırmaya çalışacaktır.
  • Google, medyanın savunmasız süreçlere (medya sunucusu gibi) otomatik olarak aktarılmaması için Hangouts ve Messenger uygulamalarını uygun şekilde güncelledi.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür ederiz:

  • Brennan Lautner: CVE-2015-3863
  • Qihoo 360'tan C0RE Ekibinden Chiachih Wu ve Xuxian Jiang: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
  • Qihoo 360'tan C0RE Ekibinden Yajin Zhou, Lei Wu ve Xuxian Jiang: CVE-2015-3865
  • Copperhead Güvenlik'ten Daniel Micay (daniel.micay@copperhead.co): CVE-2015-3875
  • Alibaba Mobil Güvenlik Ekibinin dragonltx'i: CVE-2015-6599
  • Google Project Zero'dan Ian Beer ve Steven Vittitoe: CVE-2015-6604
  • Programa STIC'ten Joaquín Rinaudo (@xeroxnir) ve Iván Arce (@4Dgifts), Fundación Dr. Manuel Sadosky, Buenos Aires Arjantin: CVE-2015-3870
  • Zimperium'dan Josh Drake: CVE-2015-3876, CVE-2015-6602
  • Exodus Intelligence'tan Jordan Gruskovnjak (@jgrusko): CVE-2015-3867
  • Trend Micro'dan Peter Pi: ​​CVE-2015-3872, CVE-2015-3871
  • Qihoo 360 Technology Co. Ltd'den Ping Li: CVE-2015-3878
  • Yedi Shen: CVE-2015-6600, CVE-2015-3847
  • Baidu X-Team'den Wangtao(neobyte): CVE-2015-6598
  • Trend Micro Inc.'den Wish Wu (@wish_wu): CVE-2015-3823
  • JR-Center u'smile'dan Michael Roland, Uygulamalı Bilimler Üniversitesi, Yukarı Avusturya/ Hagenberg: CVE-2015-6606

Bu bültende düzeltilen çeşitli sorunları bildirdikleri için Chrome Güvenlik Ekibi'ne, Google Güvenlik Ekibi'ne, Project Zero'ya ve Google'daki diğer kişilere de katkılarından dolayı teşekkür etmek isteriz.

Güvenlik Açığı Ayrıntıları

Aşağıdaki bölümlerde, 2015-10-01 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, ciddiyet gerekçesi ve CVE, ilgili hata, önem derecesi, etkilenen sürümler ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren AOSP değişikliğini hata kimliğine bağladık. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek AOSP referansları hata kimliğini takip eden numaralara bağlanır.

Libstagefright'ta Uzaktan Kod Yürütme Güvenlik Açıkları

Libstagefright'ta, bir saldırganın medya dosyası ve özel hazırlanmış bir dosyanın verilerinin işlenmesi sırasında bellek bozulmasına ve medya sunucusu hizmetinde uzaktan kod yürütülmesine neden olmasına olanak verebilecek güvenlik açıkları mevcuttur.

Bu sorunlar, ayrıcalıklı bir hizmet olarak uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Etkilenen bileşenler, ses ve video akışlarının yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara da erişebilir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen sürümler Bildirilme tarihi
CVE-2015-3873 ANDROID-20674086 [ 2 , 3 , 4 ] Kritik 5.1 ve altı Google Dahili
ANDROID-20674674 [ 2 , 3 , 4 ]
ANDROID-20718524
ANDROID-21048776
ANDROID-21443020
ANDROID-21814993
ANDROID-22008959
ANDROID-22077698
ANDROID-22388975
ANDROID-22845824
ANDROID-23016072
ANDROID-23247055
ANDROID-23248776
ANDROID-20721050 Kritik 5.0 ve 5.1 Google Dahili
CVE-2015-3823 ANDROID-21335999 Kritik 5.1 ve altı 20 Mayıs 2015
CVE-2015-6600 ANDROID-22882938 Kritik 5.1 ve altı 31 Temmuz 2015
CVE-2015-6601 ANDROID-22935234 Kritik 5.1 ve altı 3 Ağu 2015
CVE-2015-3869 ANDROID-23036083 Kritik 5.1 ve altı 4 Ağu 2015
CVE-2015-3870 ANDROID-22771132 Kritik 5.1 ve altı 5 Ağu 2015
CVE-2015-3871 ANDROID-23031033 Kritik 5.1 ve altı 6 Ağu 2015
CVE-2015-3868 ANDROID-23270724 Kritik 5.1 ve altı 6 Ağu 2015
CVE-2015-6604 ANDROID-23129786 Kritik 5.1 ve altı 11 Ağu 2015
CVE-2015-3867 ANDROID-23213430 Kritik 5.1 ve altı 14 Ağustos 2015
CVE-2015-6603 ANDROID-23227354 Kritik 5.1 ve altı 15 Ağustos 2015
CVE-2015-3876 ANDROID-23285192 Kritik 5.1 ve altı 15 Ağustos 2015
CVE-2015-6598 ANDROID-23306638 Kritik 5.1 ve altı 18 Ağustos 2015
CVE-2015-3872 ANDROID-23346388 Kritik 5.1 ve altı 19 Ağustos 2015
CVE-2015-6599 ANDROID-23416608 Kritik 5.1 ve altı 21 Ağustos 2015

Sonivox'ta Uzaktan Kod Yürütme Güvenlik Açıkları

Sonivox'ta, bir saldırganın özel hazırlanmış bir dosyanın medya dosyası işlenmesi sırasında bellek bozulmasına ve medya sunucusu hizmetinde uzaktan kod yürütülmesine neden olabilecek güvenlik açıkları mevcuttur. Bu sorun, ayrıcalıklı bir hizmet olarak uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Etkilenen bileşenin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemeyeceği ayrıcalıklara erişimi vardır.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen sürümler Bildirilme tarihi
CVE-2015-3874 ANDROID-23335715 Kritik 5.1 ve altı Çoklu
ANDROID-23307276 [ 2 ]
ANDROID-23286323

Libutils'te Uzaktan Kod Yürütme Güvenlik Açıkları

Ses dosyası işlemede genel bir kitaplık olan libutils'teki güvenlik açıkları mevcuttur. Bu güvenlik açıkları, bir saldırganın özel hazırlanmış bir dosyayı işlerken bellek bozulmasına ve mediaserver gibi bu kitaplığı kullanan bir hizmette uzaktan kod yürütülmesine neden olmasına olanak verebilir.

Etkilenen işlevsellik, bir uygulama API'si olarak sağlanır ve en önemlisi, MMS ve medyanın tarayıcıda oynatılması gibi, uzaktan içerikle erişilmesine izin veren birden fazla uygulama vardır. Bu sorun, ayrıcalıklı bir hizmette uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Etkilenen bileşenin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi var.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen sürümler Bildirilme tarihi
CVE-2015-3875 ANDROID-22952485 Kritik 5.1 ve altı 15 Ağustos 2015
CVE-2015-6602 ANDROID-23290056 [ 2 ] Kritik 5.1 ve altı 15 Ağustos 2015

Skia'da Uzaktan Kod Yürütme Güvenlik Açığı

Özel hazırlanmış bir medya dosyası işlenirken Skia bileşenindeki bir güvenlik açığından yararlanılabilir ve bu, ayrıcalıklı bir işlemde belleğin bozulmasına ve uzaktan kod yürütülmesine neden olabilir. Bu sorun, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden fazla saldırı yöntemi aracılığıyla uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen sürümler Bildirilme tarihi
CVE-2015-3877 ANDROID-20723696 Kritik 5.1 ve altı 30 Temmuz 2015

LibFLAC'ta Uzaktan Kod Yürütme Güvenlik Açıkları

LibFLAC'ta medya dosyası işlemede bir güvenlik açığı bulunmaktadır. Bu güvenlik açıkları, bir saldırganın özel hazırlanmış bir dosyayı işlerken bellek bozulmasına ve uzaktan kod yürütülmesine neden olmasına olanak verebilir.

Etkilenen işlevsellik bir uygulama API'si olarak sağlanır ve medyanın tarayıcıda oynatılması gibi uzak içerikle bu işlevselliğe erişilmesine olanak tanıyan birden fazla uygulama vardır. Bu sorun, ayrıcalıklı bir hizmette uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Etkilenen bileşenin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi var.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen sürümler Bildirilme tarihi
CVE-2014-9028 ANDROID-18872897 [ 2 ] Kritik 5.1 ve altı 14 Kasım 2014

KeyStore'da Ayrıcalık Güvenlik Açığı Yükselişi

KeyStore bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, KeyStore API'lerine çağrı yapılırken kötü amaçlı bir uygulama tarafından kullanılabilir. Bu uygulama, KeyStore bağlamında belleğin bozulmasına ve rastgele kod yürütülmesine neden olabilir. Bu sorun, üçüncü taraf bir uygulamanın doğrudan erişemediği ayrıcalıklara erişmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen sürümler Bildirilme tarihi
CVE-2015-3863 ANDROID-22802399 Yüksek 5.1 ve altı 28 Temmuz 2015

Medya Oynatıcı Çerçevesinde Ayrıcalık Güvenlik Açığı Yükselişi

Medya oynatıcı çerçeve bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, kötü amaçlı bir uygulamanın medya sunucusu bağlamında rastgele kod yürütmesine izin verebilir. Bu sorun, kötü amaçlı bir uygulamanın üçüncü taraf bir uygulamanın erişemediği ayrıcalıklara erişmesine izin verdiği için Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen sürümler Bildirilme tarihi
CVE-2015-3879 ANDROID-23223325 [2]* Yüksek 5.1 ve altı 14 Ağustos 2015

* Bu konuya ilişkin ikinci bir değişiklik AOSP'de bulunmamaktadır. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Android Çalışma Zamanında Ayrıcalık Güvenlik Açığı Yükselişi

Android Çalışma Zamanı'ndaki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, Üçüncü taraf bir uygulama tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen sürümler Bildirilme tarihi
CVE-2015-3865 ANDROID-23050463 [ 2 ] Yüksek 5.1 ve altı 8 Ağu 2015

Mediaserver'da Ayrıcalık Güvenlik Açıklarının Yükselmesi

Mediaserver'da, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir yerel hizmet bağlamında rastgele kod yürütmesine olanak tanıyan çok sayıda güvenlik açığı vardır. Bu sorun, üçüncü taraf bir uygulamanın doğrudan erişemediği ayrıcalıklara erişmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen sürümler Bildirilme tarihi
CVE-2015-6596 ANDROID-20731946 Yüksek 5.1 ve altı Çoklu
ANDROID-20719651*
ANDROID-19573085 Yüksek 5.0 - 6.0 Google Dahili

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Güvenli Öğe Değerlendirme Kitinde Ayrıcalık Güvenlik Açığı Yükselişi

SEEK (Secure Element Evaluation Kit, diğer adıyla SmartCard API) eklentisindeki bir güvenlik açığı, bir uygulamanın talep etmeden yüksek izinler almasına izin verebilir. Bu sorun, Üçüncü taraf uygulamalar tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen sürümler Bildirilme tarihi
CVE-2015-6606 ANDROID-22301786* Yüksek 5.1 ve altı 30 Haziran 2015

* Bu sorunu gideren yükseltme Android için SEEK sitesinde bulunmaktadır.

Medya Projeksiyonunda Ayrıcalık Zafiyetinin Yükselmesi

Medya Projeksiyonu bileşenindeki bir güvenlik açığı, kullanıcı verilerinin ekran anlık görüntüleri biçiminde ifşa edilmesine izin verebilir. Sorun, işletim sisteminin aşırı uzun uygulama adlarına izin vermesinin bir sonucudur. Bu uzun adların yerel kötü amaçlı bir uygulama tarafından kullanılması, ekran kaydına ilişkin bir uyarının kullanıcı tarafından görülmesini engelleyebilir. Bu sorun, uygunsuz şekilde yükseltilmiş izinler almak için kullanılabildiğinden Orta önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen sürümler Bildirilme tarihi
CVE-2015-3878 ANDROID-23345192 Ilıman 5.0 - 6.0 18 Ağustos 2015

Bluetooth'ta Ayrıcalık Güvenlik Açığı Yükselişi

Android'in Bluetooth bileşenindeki bir güvenlik açığı, bir uygulamanın depolanan SMS mesajlarını silmesine izin verebilir. Bu sorun, uygunsuz şekilde yükseltilmiş izinler almak için kullanılabildiğinden Orta önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen sürümler Bildirilme tarihi
CVE-2015-3847 ANDROID-22343270 Ilıman 5.1 ve altı 8 Temmuz 2015

SQLite'ta Ayrıcalık Açıklarının Yükselmesi

SQLite ayrıştırma motorunda birden fazla güvenlik açığı keşfedildi. Bu güvenlik açıkları, başka bir uygulamanın veya hizmetin rastgele SQL sorguları yürütmesine neden olabilecek yerel bir uygulama tarafından kullanılabilir. Başarılı bir şekilde kullanılması, hedef uygulama bağlamında rastgele kod yürütülmesine neden olabilir.

8 Nisan 2015'te AOSP main'e SQLite sürümünü 3.8.9'a yükselten bir düzeltme yüklendi: https://android-review.googlesource.com/#/c/145961/

Bu bülten, Android 4.4 (SQLite 3.7.11) ve Android 5.0 ve 5.1 (SQLite 3.8.6) SQLite sürümleri için yamalar içerir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen sürümler Bildirilme tarihi
CVE-2015-6607 ANDROID-20099586 Ilıman 5.1 ve altı 7 Nisan 2015
Kamuya Açıkça Bilinen

Mediaserver'daki Hizmet Reddi Güvenlik Açıkları

Mediaserver'da, mediaserver işlemini çökerterek Hizmet Reddine neden olabilecek birden fazla güvenlik açığı vardır. Bu sorunlar, etkinin medya sunucusunun çökmesi ve bunun sonucunda yerel geçici hizmet reddine yol açması nedeniyle Düşük önem derecesine sahip olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen sürümler Bildirilme tarihi
CVE-2015-6605 ANDROID-20915134 Düşük 5.1 ve altı Google Dahili
ANDROID-23142203
ANDROID-22278703 Düşük 5.0 - 6.0 Google Dahili
CVE-2015-3862 ANDROID-22954006 Düşük 5.1 ve altı 2 Ağu 2015

Revizyonlar

  • 05 Ekim 2015: Bülten yayınlandı.
  • 07 Ekim 2015: Bülten AOSP referanslarıyla güncellendi. CVE-2014-9028 için hata referansları açıklandı.
  • 12 Ekim 2015: CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862 için bildirimler güncellendi.
  • 22 Ocak 2016: CVE-2015-6606 için bildirimler güncellendi.
  • 28 Nisan 2016: CVE-2015-6603 eklendi ve CVE-2014-9028 ile yazım hatası düzeltildi.