بولتن امنیتی Nexus - نوامبر 2015

منتشر شده در 02 نوامبر 2015

ما یک به‌روزرسانی امنیتی برای دستگاه‌های Nexus از طریق به‌روزرسانی هوایی (OTA) به عنوان بخشی از فرآیند انتشار ماهانه بولتن امنیتی Android خود منتشر کرده‌ایم. تصاویر سفت‌افزار Nexus نیز در سایت Google Developer منتشر شده است. بیلدهای LMY48X یا جدیدتر و Android Marshmallow با سطح وصله امنیتی 1 نوامبر 2015 یا جدیدتر این مشکلات را برطرف می‌کنند. برای جزئیات بیشتر به بخش پرسش ها و پاسخ های رایج مراجعه کنید.

شرکا در مورد این مسائل در تاریخ 5 اکتبر 2015 یا قبل از آن مطلع شدند. وصله‌های کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) طی 48 ساعت آینده منتشر خواهند شد. ما این بولتن را با پیوندهای AOSP زمانی که در دسترس هستند، تجدید نظر خواهیم کرد.

شدیدترین این مشکلات یک آسیب پذیری امنیتی بحرانی است که می تواند اجرای کد از راه دور را در دستگاه آسیب دیده از طریق چندین روش مانند ایمیل، مرور وب و MMS هنگام پردازش فایل های رسانه ای فعال کند. ارزیابی شدت بر اساس تأثیری است که بهره‌برداری از آسیب‌پذیری احتمالاً روی دستگاه آسیب‌دیده می‌گذارد، با این فرض که پلت‌فرم و کاهش خدمات برای اهداف توسعه غیرفعال شده باشند یا اگر با موفقیت دور زده شوند.

ما هیچ گزارشی مبنی بر بهره برداری فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد محافظت از پلتفرم امنیتی اندروید و محافظت از خدمات مانند SafetyNet، که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش کاهش دهنده ها مراجعه کنید. ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.

کاهش

این خلاصه‌ای از کاهش‌های ارائه‌شده توسط پلتفرم امنیتی Android و محافظت‌های خدماتی مانند SafetyNet است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.

  • بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
  • تیم امنیت Android با Verify Apps و SafetyNet که در مورد برنامه‌های بالقوه مضر در شرف نصب هشدار می‌دهند، به طور فعال در حال نظارت بر سوء استفاده است. ابزارهای روت کردن دستگاه در Google Play ممنوع است. برای محافظت از کاربرانی که برنامه‌های خارج از Google Play را نصب می‌کنند، Verify Apps به طور پیش‌فرض فعال است و به کاربران در مورد برنامه‌های روت‌شده شناخته شده هشدار می‌دهد. Verify Apps تلاش می کند تا نصب برنامه های مخرب شناخته شده ای را که از یک آسیب پذیری افزایش امتیاز سوء استفاده می کنند، شناسایی و مسدود کند. اگر چنین برنامه‌ای قبلاً نصب شده باشد، Verify Apps به کاربر اطلاع می‌دهد و سعی می‌کند چنین برنامه‌هایی را حذف کند.
  • در صورت لزوم، برنامه‌های Google Hangouts و Messenger رسانه‌ها را به‌طور خودکار به فرآیندهایی مانند مدیا سرور منتقل نمی‌کنند.

سپاسگزاریها

مایلیم از این پژوهشگران به خاطر مشارکتشان تشکر کنیم:

  • آبیشک آریا، الیور چانگ و مارتین باربلا، تیم امنیتی گوگل کروم: CVE-2015-6608
  • دانیل میکای (daniel.micay@copperhead.co) در Copperhead Security: CVE-2015-6609
  • Dongkwan Kim از آزمایشگاه امنیت سیستم، KAIST (dkay@kaist.ac.kr): CVE-2015-6614
  • Hongil Kim از آزمایشگاه امنیت سیستم، KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
  • جک تانگ از Trend Micro (@jacktang310): CVE-2015-6611
  • پیتر پای از Trend Micro: CVE-2015-6611
  • ناتالی سیلوانوویچ از Google Project Zero: CVE-2015-6608
  • Qidan He (@flanker_hqd) و Wen Xu (@antlr7) از KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
  • گوانگ گونگ (龚广) ( @oldfresher , higongguang@gmail.com) از Qihoo 360 Technology CC o.Ltd : CVE-2015-6612
  • Seven Shen of Trend Micro: CVE-2015-6610

جزئیات آسیب پذیری امنیتی

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله 01-11-2015 اعمال می‌شود، ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، اشکال مرتبط، شدت، نسخه های آسیب دیده و تاریخ گزارش شده وجود دارد. در صورت وجود، ما تغییر AOSP را که مشکل را حل می‌کند به شناسه اشکال مرتبط کرده‌ایم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی AOSP به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

آسیب پذیری های اجرای کد از راه دور در Mediaserver

در طول فایل رسانه و پردازش داده‌های یک فایل ساخته‌شده خاص، آسیب‌پذیری‌های موجود در مدیاسرور می‌تواند به مهاجم اجازه دهد که باعث خرابی حافظه و اجرای کد از راه دور به عنوان فرآیند سرور رسانه‌ای شود.

عملکرد آسیب‌دیده به‌عنوان بخش اصلی سیستم‌عامل ارائه می‌شود و برنامه‌های متعددی وجود دارد که امکان دسترسی به آن را با محتوای راه دور فراهم می‌کند، به ویژه MMS و مرورگر پخش رسانه.

این موضوع به دلیل امکان اجرای کد از راه دور در زمینه سرویس سرور رسانه، به عنوان یک شدت بحرانی رتبه بندی می شود. سرویس مدیا سرور به جریان های صوتی و تصویری و همچنین به امتیازاتی دسترسی دارد که برنامه های شخص ثالث معمولاً نمی توانند به آنها دسترسی داشته باشند.

CVE اشکال (ها) با پیوندهای AOSP شدت نسخه های تحت تأثیر تاریخ گزارش شده
CVE-2015-6608 ANDROID-19779574 بحرانی 5.0، 5.1، 6.0 گوگل داخلی
ANDROID-23680780
ANDROID-23876444
ANDROID-23881715 بحرانی 4.4، 5.0، 5.1، 6.0 گوگل داخلی
ANDROID-14388161 بحرانی 4.4 و 5.1 گوگل داخلی
ANDROID-23658148 بحرانی 5.0، 5.1، 6.0 گوگل داخلی

آسیب پذیری اجرای کد از راه دور در libutils

یک آسیب پذیری در libutils، یک کتابخانه عمومی، می تواند در طول پردازش فایل صوتی مورد سوء استفاده قرار گیرد. این آسیب‌پذیری می‌تواند به مهاجم اجازه دهد در طول پردازش یک فایل ساخته‌شده خاص، باعث خرابی حافظه و اجرای کد از راه دور شود.

عملکرد آسیب‌دیده به‌عنوان یک API ارائه می‌شود و برنامه‌های متعددی وجود دارد که امکان دسترسی به آن را با محتوای راه دور فراهم می‌کند، به ویژه MMS و پخش رسانه از مرورگر. این مشکل به دلیل امکان اجرای کد از راه دور در یک سرویس ممتاز، به عنوان یک موضوع با شدت بحرانی رتبه بندی می شود. مؤلفه آسیب‌دیده به جریان‌های صوتی و تصویری و همچنین به امتیازاتی دسترسی دارد که برنامه‌های شخص ثالث معمولاً نمی‌توانند به آنها دسترسی داشته باشند.

CVE اشکال (ها) با پیوندهای AOSP شدت نسخه های تحت تأثیر تاریخ گزارش شده
CVE-2015-6609 ANDROID-22953624 [ 2 ] بحرانی 6.0 و پایین تر 3 اوت 2015

آسیب پذیری های افشای اطلاعات در Mediaserver

آسیب‌پذیری‌های افشای اطلاعات در سرور رسانه وجود دارد که می‌تواند امکان دور زدن اقدامات امنیتی را برای افزایش دشواری مهاجمان در بهره‌برداری از پلتفرم فراهم کند.

CVE اشکال (ها) با پیوندهای AOSP شدت نسخه های تحت تأثیر تاریخ گزارش شده
CVE-2015-6611 ANDROID-23905951 [ 2 ] [ 3 ] بالا 6.0 و پایین تر 07 سپتامبر 2015
ANDROID-23912202*
ANDROID-23953967*
ANDROID-23696300 بالا 6.0 و پایین تر 31 اوت 2015
ANDROID-23600291 بالا 6.0 و پایین تر 26 اوت 2015
ANDROID-23756261 [ 2 ] بالا 6.0 و پایین تر 26 اوت 2015
ANDROID-23540907 [ 2 ] بالا 5.1 و پایین تر 25 اوت 2015
ANDROID-23541506 بالا 6.0 و پایین تر 25 اوت 2015
ANDROID-23284974*
ANDROID-23542351*
ANDROID-23542352*
ANDROID-23515142 بالا 5.1 و پایین تر 19 اوت 2015

* پچ این اشکال در سایر پیوندهای AOSP ارائه شده گنجانده شده است.

افزایش آسیب پذیری امتیاز در libstagefright

آسیب پذیری امتیازی در libstagefright افزایش یافته است که می تواند یک برنامه مخرب محلی را قادر سازد تا باعث خرابی حافظه و اجرای کد دلخواه در زمینه سرویس سرور رسانه شود. در حالی که این مشکل معمولاً به عنوان بحرانی رتبه بندی می شود، ما این موضوع را به عنوان شدت بالا ارزیابی کرده ایم زیرا احتمال کمتری وجود دارد که بتوان از راه دور از آن بهره برداری کرد.

CVE اشکال (ها) با پیوندهای AOSP شدت نسخه های تحت تأثیر تاریخ گزارش شده
CVE-2015-6610 ANDROID-23707088 [ 2 ] بالا 6.0 و پایین تر 19 اوت 2015

افزایش آسیب پذیری امتیاز در libmedia

یک آسیب‌پذیری در libmedia وجود دارد که می‌تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه سرویس سرور رسانه اجرا کند. این مشکل به عنوان شدت بالا رتبه بندی می شود زیرا می توان از آن برای دسترسی به امتیازاتی استفاده کرد که مستقیماً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE اشکال (ها) با پیوندهای AOSP شدت نسخه های تحت تأثیر تاریخ گزارش شده
CVE-2015-6612 ANDROID-23540426 بالا 6.0 و پایین تر 23 اوت 2015

افزایش آسیب پذیری امتیاز در بلوتوث

یک آسیب‌پذیری در بلوتوث وجود دارد که می‌تواند یک برنامه محلی را قادر به ارسال دستورات به پورت اشکال‌زدایی گوش دادن در دستگاه کند. این مشکل به‌عنوان شدت بالا رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن قابلیت‌های بالا استفاده کرد، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیستند.

CVE اشکال (ها) با پیوندهای AOSP شدت نسخه های تحت تأثیر تاریخ گزارش شده
CVE-2015-6613 ANDROID-24371736 بالا 6.0 گوگل داخلی

افزایش آسیب پذیری امتیاز در تلفن

یک آسیب‌پذیری در مؤلفه Telephony که می‌تواند یک برنامه مخرب محلی را قادر می‌سازد تا داده‌های غیرمجاز را به واسط‌های شبکه محدود ارسال کند، که احتمالاً بر هزینه‌های داده تأثیر می‌گذارد. همچنین می‌تواند از دریافت تماس توسط دستگاه جلوگیری کند و همچنین به مهاجم اجازه می‌دهد تنظیمات بی‌صدا کردن تماس‌ها را کنترل کند. این مشکل به‌عنوان شدت متوسط ​​رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن نامناسب مجوزهای « خطرناک » استفاده کرد.

CVE اشکال (ها) با پیوندهای AOSP شدت نسخه های تحت تأثیر تاریخ گزارش شده
CVE-2015-6614 ANDROID-21900139 [ 2 ] [ 3 ] در حد متوسط 5.0، 5.1 8 ژوئن 2015

پرسش ها و پاسخ های متداول

این بخش پاسخ به سؤالات رایجی را که ممکن است پس از خواندن این بولتن رخ دهد، بررسی می کند.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

بیلدهای LMY48X یا جدیدتر و Android Marshmallow با سطح وصله امنیتی 1 نوامبر 2015 یا جدیدتر این مشکلات را برطرف می‌کنند. برای دستورالعمل‌های نحوه بررسی سطح وصله امنیتی، به مستندات Nexus مراجعه کنید. سازندگان دستگاه‌هایی که شامل این به‌روزرسانی‌ها هستند، باید سطح رشته وصله را روی: [ro.build.version.security_patch]:[01-11-2015] تنظیم کنند.

تجدید نظرها

  • 02 نوامبر 2015: در ابتدا منتشر شد