Nexus Güvenlik Bülteni—Ocak 2016

04 Ocak 2016'da yayınlandı | 28 Nisan 2016'da güncellendi

Android Güvenlik Bülteni Aylık Sürüm sürecimizin bir parçası olarak kablosuz (OTA) güncelleme aracılığıyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı görüntüleri de Google Geliştirici sitesinde yayınlandı. LMY49F veya üzeri sürümler ve 1 Ocak 2016 veya üzeri Güvenlik Düzeltme Eki Düzeyine sahip Android 6.0 sürümleri bu sorunları giderir. Daha fazla ayrıntı için Sık Sorulan Sorular ve Cevaplar bölümüne bakın.

İş ortakları, bu bültende açıklanan sorunlar hakkında 7 Aralık 2015 veya daha önce bilgilendirildi ve bunlara ilişkin güncellemeler sağlandı. Uygun olduğu durumlarda, bu sorunlara yönelik kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır.

Bu sorunlardan en ciddi olanı, etkilenen bir cihazda medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden fazla yöntemle uzaktan kod yürütülmesine olanak tanıyan Kritik bir güvenlik açığıdır. Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.

Yeni bildirilen bu sorunların aktif müşteri istismarına ilişkin hiçbir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Azaltıcı Önlemler bölümüne bakın. Tüm müşterilerimizi cihazlarına yönelik bu güncellemeleri kabul etmeye teşvik ediyoruz.

Azaltmalar

Bu , Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltımların bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.

  • Android platformunun daha yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorundan yararlanmayı daha da zorlaştırıyor. Tüm kullanıcılarımızı mümkün olduğunca Android'in en son sürümüne güncelleme yapmaya teşvik ediyoruz.
  • Android Güvenlik ekibi, yüklenmek üzere olan potansiyel zararlı uygulamalar hakkında uyarı verecek olan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Cihaz rootlama araçları Google Play'de yasaktır. Google Play dışından uygulama yükleyen kullanıcıları korumak için Uygulamaları Doğrula özelliği varsayılan olarak etkindir ve kullanıcıları bilinen köklendirme uygulamaları konusunda uyarır. Uygulamaları Doğrula, ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaları tanımlamaya ve yüklemesini engellemeye çalışır. Böyle bir uygulama zaten kuruluysa Verify Apps kullanıcıyı bilgilendirecek ve bu tür uygulamaları kaldırmaya çalışacaktır.
  • Uygun olduğu üzere Google Hangouts ve Messenger uygulamaları, medya sunucusu gibi işlemlere otomatik olarak medya aktarmamaktadır.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür ederiz:

  • Google Chrome Güvenlik Ekibi'nden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2015-6636
  • Sen Nie ( @nforest_ ) ve KEEN laboratuvarından jfang, Tencent ( @K33nTeam ): CVE-2015-6637
  • Android Biyonik Ekibinden Yabin Cui: CVE-2015-6640
  • Google X'ten Tom Craig: CVE-2015-6641
  • Jann Horn ( https://thejh.net ): CVE-2015-6642
  • Jouni Malinen PGP kimliği EFC895FA: CVE-2015-5310
  • Google Bilgi Güvenliği Mühendisi Ekibinden Quan Nguyen: CVE-2015-6644
  • Gal Beniamini ( @laginimaineb , http://bits-please.blogspot.com ): CVE-2015-6639

Güvenlik Açığı Ayrıntıları

Aşağıdaki bölümlerde, 2016-01-01 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, ciddiyet gerekçesi ve CVE, ilgili hata, önem derecesi, güncellenmiş sürümler ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren AOSP değişikliğini hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek AOSP referansları hata kimliğini takip eden numaralara bağlanır.

Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açığı

Medya dosyası ve özel hazırlanmış bir dosyanın verilerinin işlenmesi sırasında, medya sunucusundaki güvenlik açıkları, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olmasına olanak verebilir.

Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanmaktadır ve başta MMS ve medyanın tarayıcıda oynatılması olmak üzere, bu işlevselliğe uzak içerikle erişilmesine olanak tanıyan çok sayıda uygulama vardır.

Bu sorun, medya sunucusu hizmeti bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Mediaserver hizmetinin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6636 ANDROID-25070493 Kritik 5.0, 5.1.1, 6.0, 6.0.1 Google Dahili
ANDROID-24686670 Kritik 5.0, 5.1.1, 6.0, 6.0.1 Google Dahili

Çeşitli SD Sürücülerinde Ayrıcalık Yükselişi Güvenlik Açığı

MediaTek'in misc-sd sürücüsündeki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek içinde rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, yerel kalıcı cihaz güvenliği ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir; bu durumda, muhtemelen işletim sisteminin yeniden flaşlanmasıyla cihazın onarılması gerekebilir.

CVE Hata(lar) Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6637 ANDROID-25307013* Kritik 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26 Ekim 2015

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Imagination Technologies Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi

Imagination Technologies'in çekirdek sürücüsündeki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek içinde rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, yerel kalıcı cihaz güvenliği ihlali olasılığı nedeniyle Kritik önem derecesine sahip olarak derecelendirilmiştir; bu durumda cihazın muhtemelen işletim sisteminin yeniden flaşlanmasıyla onarılması gerekebilir.

CVE Hata(lar) Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6638 ANDROID-24673908* Kritik 5.0, 5.1.1, 6.0, 6.0.1 Google Dahili

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Trustzone'da Ayrıcalık Güvenlik Açıklarının Yükselmesi

Widevine QSEE TrustZone uygulamasında ayrıcalık güvenlik açıklarının yükselmesi, QSEECOM'a erişimi olan, güvenliği ihlal edilmiş, ayrıcalıklı bir uygulamanın Trustzone bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, yerel kalıcı cihaz güvenliği ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir; bu durumda, muhtemelen işletim sisteminin yeniden flaşlanmasıyla cihazın onarılması gerekebilir.

CVE Hata(lar) Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6639 ANDROID-24446875* Kritik 5.0, 5.1.1, 6.0, 6.0.1 23 Eylül 2015
CVE-2015-6647 ANDROID-24441554* Kritik 5.0, 5.1.1, 6.0, 6.0.1 27 Eylül 2015

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Çekirdekte Ayrıcalık Güvenlik Açığı Yükselişi

Çekirdekteki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdekte rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, yerel kalıcı cihaz güvenliği ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir; bu durumda, muhtemelen işletim sisteminin yeniden flaşlanmasıyla cihazın onarılması gerekebilir.

CVE AOSP Bağlantısındaki Hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6640 ANDROID-20017123 Kritik 4.4.4, 5.0, 5.1.1, 6.0 Google Dahili

Bluetooth'ta Ayrıcalık Güvenlik Açığı Yükselişi

Bluetooth bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, Bluetooth üzerinden eşlenen uzak bir cihazın kullanıcının özel bilgilerine (Kişiler) erişmesine olanak sağlayabilir. Bu sorun, uzaktan " tehlikeli " yetenekler kazanmak için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir; bu izinlere yalnızca yerel olarak yüklenen üçüncü taraf uygulamalar tarafından erişilebilir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6641 ANDROID-23607427 [ 2 ] Yüksek 6.0, 6.0.1 Google Dahili

Çekirdekte Bilgi İfşası Güvenlik Açığı

Çekirdekteki bir bilginin açığa çıkması güvenlik açığı, saldırganların platformu istismar etmesini zorlaştıracak şekilde güvenlik önlemlerinin atlanmasına izin verebilir. Bu sorunlar, Üçüncü taraf uygulamalar tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için de kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE Hata(lar) Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6642 ANDROID-24157888* Yüksek 4.4.4, 5.0, 5.1.1, 6.0 12 Eylül 2015

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Kurulum Sihirbazı'nda Ayrıcalık Yükselmesi Güvenlik Açığı

Kurulum Sihirbazı'ndaki bir ayrıcalık yükselmesi güvenlik açığı, cihaza fiziksel erişimi olan bir saldırganın cihaz ayarlarına erişmesine ve cihazı manuel olarak sıfırlamasına olanak sağlayabilir. Bu sorun, fabrika ayarlarına sıfırlama korumasının hatalı şekilde aşılması için kullanılabileceğinden Orta önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6643 ANDROID-25290269 [ 2 ] Ilıman 5.1.1, 6.0, 6.0.1 Google Dahili

Wi-Fi'de Ayrıcalık Güvenlik Açığının Yükselmesi

Wi-Fi bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel olarak yakın bir saldırganın Wi-Fi hizmetiyle ilgili bilgilere erişmesine olanak tanıyabilir. Bir cihaz yalnızca yerel yakınlıktayken bu soruna karşı savunmasızdır. Bu sorun, uzaktan " normal " yetenekler kazanmak için kullanılabildiğinden Orta önem derecesi olarak derecelendirilmiştir; bu izinlere yalnızca yerel olarak yüklenen üçüncü taraf uygulamalar tarafından erişilebilir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-5310 ANDROID-25266660 Ilıman 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 Ekim 2015

Bouncy Castle'da Bilgi İfşası Güvenlik Açığı

Bouncy Castle'daki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kullanıcının özel bilgilerine erişmesine olanak sağlayabilir. Bu sorun, " tehlikeli " izinlerin uygunsuz bir şekilde elde edilmesi için kullanılabileceğinden, Orta önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6644 ANDROID-24106146 Ilıman 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 Google Dahili

SyncManager'da Hizmet Reddi Güvenlik Açığı

SyncManager'daki bir hizmet reddi güvenlik açığı, yerel kötü amaçlı bir uygulamanın yeniden başlatma döngüsüne neden olmasına olanak verebilir. Bu sorun, fabrika ayarlarına sıfırlama yoluyla düzeltilmesi gerekebilecek yerel bir geçici hizmet reddine neden olmak için kullanılabileceğinden, Orta önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6645 ANDROID-23591205 Ilıman 4.4.4, 5.0, 5.1.1, 6.0 Google Dahili

Nexus Çekirdekleri için Saldırı Yüzeyinin Azaltılması

SysV IPC hiçbir Android Çekirdeğinde desteklenmez. Kötü amaçlı uygulamaların yararlanabileceği, sisteme işlevsellik eklemeyen ek saldırı yüzeyini açığa çıkardığı için bunu işletim sistemimizden kaldırdık. Ayrıca System V IPC'leri Android'in uygulama yaşam döngüsüyle uyumlu değildir çünkü tahsis edilen kaynaklar bellek yöneticisi tarafından serbest bırakılamaz ve bu da küresel çekirdek kaynağı sızıntısına neden olur. Bu değişiklik, CVE-2015-7613 gibi sorunlara yöneliktir.

CVE Hata(lar) Şiddet Güncellenmiş sürümler Bildirilme tarihi
CVE-2015-6646 ANDROID-22300191* Ilıman 6.0 Google Dahili

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Sık Sorulan Sorular ve Cevaplar

Bu bölümde, bu bülteni okuduktan sonra karşılaşabileceğiniz genel soruların yanıtları gözden geçirilmektedir.

1. Cihazımın bu sorunları çözecek şekilde güncellenip güncellenmediğini nasıl belirleyebilirim?

LMY49F veya üzeri sürümler ve 1 Ocak 2016 veya üzeri Güvenlik Düzeltme Eki Düzeyine sahip Android 6.0 sürümleri bu sorunları giderir. Güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın. Bu güncellemeleri içeren cihaz üreticileri yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-01-01]

Revizyonlar

  • 04 Ocak 2016: Bülten yayınlandı.
  • 06 Ocak 2016: Bülten, AOSP bağlantılarını içerecek şekilde revize edildi.
  • 28 Nisan 2016: CVE-2015-6617 Teşekkürlerden kaldırıldı ve CVE-2015-6647 özet tablosuna eklendi