| page.title=Android 安全性公告—2016 年 3 月 18 日 |
| @jd:body |
| <!-- |
| Copyright 2016 The Android Open Source Project |
| Licensed under the Apache License, Version 2.0 (the "License"); |
| you may not use this file except in compliance with the License. |
| You may obtain a copy of the License at |
| http://www.apache.org/licenses/LICENSE-2.0 |
| Unless required by applicable law or agreed to in writing, software |
| distributed under the License is distributed on an "AS IS" BASIS, |
| WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. |
| See the License for the specific language governing permissions and |
| limitations under the License. |
| --> |
| |
| <div id="qv-wrapper"> |
| <div id="qv"> |
| <h2>本文內容</h2> |
| <ol id="auto-toc"> |
| </ol> |
| </div> |
| </div> |
| |
| <p><em>發佈日期:2016 年 3 月 18 日</em></p> |
| |
| <p>「Android 安全性公告」為「Nexus 安全性公告」的補充內容。 |
| 想進一步瞭解「安全性公告」,請參閱我們的<a href="index.html">摘要網頁</a>。</p> |
| |
| <h2 id="summary">摘要</h2> |
| |
| <p>Google 發現一個 Root 權限獲取應用程式會惡意 |
| 運用部分 Android 裝置核心中某個未修補的本機權限升級漏洞 |
| (<a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1805">CVE-2015-1805</a>)。 |
| 只有使用者在裝置上安裝這個應用程式時,裝置才會受到影響。針對 |
| 惡意運用這個漏洞的 Root 權限獲取應用程式, |
| Google 已透過<a href="https://support.google.com/accounts/answer/2812853">驗證應用程式</a>封鎖安裝作業 |
| (無論是不是透過 Google Play 進行安裝), |
| 也更新了我們的系統,以便偵測任何利用這個特定漏洞的 |
| 應用程式。</p> |
| |
| <p>為針對這個問題提供最終一層防護,我們已在 2016 年 3 月 16 日 |
| 向合作夥伴提供這個問題專用的修補程式。Nexus 更新目前正在製作中, |
| 近日就會發佈。這個問題的原始碼修補程式已 |
| 發佈到 Android 開放原始碼計劃 (AOSP) 存放區。</p> |
| |
| <h3 id="background">背景</h3> |
| |
| <p>這是 Linux 上游核心中的已知問題,在 2014 年 4 月獲得修正, |
| 但直到 2015 年 2 月 2 日才列為安全性修正並獲派編號 |
| <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1805">CVE-2015-1805</a>。2016 年 2 月 19 日,C0RE 小組向 Google 發出通知, |
| 指出有心人士可能會在 Android 裝置上惡意運用這個問題漏洞, |
| 而他們開發的修補程式會收錄在下一次的每月定期更新中。</p> |
| |
| <p>2016 年 3 月 15 日,Google 收到 |
| Zimperium 回報, |
| 表示有人在 Nexus 5 裝置上濫用這個漏洞。Google 已經確認,有一個公開發行的 Root 權限獲取應用程式 |
| 在 Nexus 5 和 Nexus 6 裝置上濫用這個漏洞, |
| 為裝置使用者提供 Root 權限。</p> |
| |
| <p>由於這個問題可能會 |
| 讓有心人士取得本機進階權限並執行任意程式碼,進而導致 |
| 本機裝置受到永久性破壞,因此<a href="{@docRoot}security/overview/updates-resources.html#severity">嚴重程度被評定為「最高」</a>。</p> |
| |
| <h3 id="scope">範圍</h3> |
| |
| |
| <p>本公告適用於所有搭載核心 3.4、3.10 和 3.14 版本,且未經修補 |
| 的 Android 裝置 (包括所有 Nexus 裝置)。使用 Linux 核心 3.18 以上版本的 Android 裝置則不受影響。</p> |
| |
| <h3 id="mitigations">因應措施</h3> |
| |
| |
| <p>我們已取採下列幾種因應措施,降低使用者受到此問題影響的可能性:</p> |
| |
| <ul> |
| <li> 「驗證應用程式」已完成更新,針對我們已知企圖 |
| 惡意運用此漏洞的應用程式封鎖安裝作業 (無論是不是 |
| 透過 Google Play 進行安裝)。 |
| <li> Google Play 不允許 Root 權限獲取應用程式 (例如會惡意運用這個問題的應用程式) 上架。 |
| <li> 使用 <a href="https://support.google.com/nexus/answer/4457705">Linux 核心 3.18</a> |
| 以上版本的 Android 裝置不會受到影響。 |
| </li></li></li></ul> |
| |
| <h3 id="acknowledgements">特別銘謝</h3> |
| |
| |
| <p>Android 感謝 <a href="http://c0reteam.org/">C0RE 小組</a>和 |
| <a href="https://www.zimperium.com/">Zimperium</a> 對本公告相關問題做出的 |
| 貢獻。</p> |
| |
| <h3 id="suggested_actions">建議採取的動作</h3> |
| |
| |
| <p>Android 建議所有使用者在有裝置更新可用時 |
| 進行更新。</p> |
| |
| <h3 id="fixes">修正</h3> |
| |
| |
| <p>Google 已針對多個核心版本在 AOSP 存放區發佈修正程式。 |
| Android 已向合作夥伴發出相關修正程式的通知, |
| 並建議他們加以套用。如需進一步的更新,Android 將直接發佈至 AOSP。</p> |
| |
| <table> |
| <tr> |
| <th>核心版本</th> |
| <th>修補程式</th> |
| </tr> |
| <tr> |
| <td>3.4</td> |
| <td><a href="https://android.googlesource.com/kernel/common/+/f7ebfe91b806501808413c8473a300dff58ddbb5">AOSP 修補程式</a></td> |
| </tr> |
| <tr> |
| <td>3.10</td> |
| <td><a href="https://android.googlesource.com/kernel/common/+/4a5a45669796c5b4617109182e25b321f9f00beb">AOSP 修補程式</a></td> |
| </tr> |
| <tr> |
| <td>3.14</td> |
| <td><a href="https://android.googlesource.com/kernel/common/+/bf010e99c9bc48002f6bfa1ad801a59bf996270f">AOSP 修補程式</a></td> |
| </tr> |
| <tr> |
| <td>3.18+</td> |
| <td>已在公開的 Linux 核心中修補完成</td> |
| </tr> |
| </table> |
| |
| |
| <h2 id="common_questions_and_answers">常見問題與解答</h2> |
| |
| |
| <p><strong>1. 這個問題會有什麼影響?</strong></p> |
| |
| <p>核心中的權限升級漏洞可讓本機 |
| 惡意應用程式在核心中執行任意程式碼。由於這個問題 |
| 可能會導致本機裝置受到永久性破壞,而只能以 |
| 還原 (Re-flash) 作業系統的方式修復,因此嚴重程度 |
| 被評定為「最高」。</p> |
| |
| <p><strong>2. 攻擊者會如何惡意運用這個問題?</strong></p> |
| |
| <p>如果使用者安裝會惡意運用這個問題的應用程式,就必須承擔 |
| 風險。Google Play 會禁止 Root 權限獲取應用程式 (例如會 |
| 惡意運用這個問題的應用程式) 上架,而且 Google 會透過驗證應用 |
| 程式封鎖這類應用程式在 Google Play 以外的安裝作業。這樣一來,攻擊者 |
| 就必須設法說服使用者手動安裝受影響的 |
| 應用程式。</p> |
| |
| <p><strong>3. 哪些裝置會受到影響?</strong></p> |
| |
| <p>Google 已確認這項惡意攻擊可在 Nexus 5 和 Nexus 6 上運作,不過所有 |
| 未經修補的 Android 版本都含有這項漏洞。</p> |
| |
| <p><strong>4. Google 是否已發現此漏洞遭到濫用的證據?</strong></p> |
| |
| <p>是的,Google 已發現證據,確定有人透過可公開取得的 Root 權限獲取工具 |
| 在 Nexus 5 上濫用此漏洞。不過,Google 尚未發現可歸類為 |
| 「惡意」的運用情形。</p> |
| |
| <p><strong>5. 如何解決這個問題?</strong></p> |
| |
| <p><a href="https://static.googleusercontent.com/media/source.android.com/en//security/reports/Android_WhitePaper_Final_02092016.pdf"> |
| Google Play</a> 已禁止企圖運用 |
| 這個問題的應用程式上架。同樣地,「驗證應用程式」會針對嘗試運用此問題的應用程式, |
| 封鎖在 Google Play 以外的安裝作業。此外,只要 |
| 更新程式準備就緒,Google Nexus 裝置就會立即安裝 |
| 修補程式,我們也已通知 Android 合作夥伴,讓他們能同時發佈類似的更新程式。</p> |
| |
| <p><strong>6. 如何得知我的裝置是否已安裝此問題的修正程式?</strong></p> |
| |
| <p>Android 已向合作夥伴提供兩種方法,方便他們確認自己的裝置 |
| 不會受到此問題影響。安全修補等級日期為 2016 年 3 月 18 日 |
| 的 Android 裝置不受影響。安全修補等級日期 |
| 在 2016 年 4 月 2 日之後的 Android 裝置也不受此問題影響。請參閱 |
| <a href="https://support.google.com/nexus/answer/4457705">這篇文章</a>, |
| 瞭解如何查看安全修補等級。</p> |
| |
| <h2 id="revisions">修訂版本</h2> |
| |
| |
| <ul> |
| <li> 2016 年 3 月 18 日:發佈公告。 |
| </li></ul> |