Bulletin de sécurité Nexus - Septembre 2015

Publié le 9 septembre 2015

Nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour en direct (OTA) dans le cadre de notre processus de publication mensuelle du Bulletin de sécurité Android (Build LMY48M). Les mises à jour pour les appareils Nexus et les correctifs de code source pour ces problèmes ont également été publiés dans le référentiel source du projet Android Open Source (AOSP). Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l’exécution de code à distance sur un appareil concerné.

Les images du micrologiciel Nexus ont également été publiées sur le site des développeurs Google . Les versions LMY48M ou ultérieures résolvent ces problèmes. Les partenaires ont été informés de ces problèmes le 13 août 2015 ou avant.

Nous n'avons pas détecté d'exploitation par les clients des problèmes récemment signalés. L'exception est le problème existant (CVE-2015-3636). Reportez-vous à la section Atténuations pour plus de détails sur les protections de la plate-forme de sécurité Android et les protections des services telles que SafetyNet, qui réduisent la probabilité que les vulnérabilités de sécurité puissent être exploitées avec succès sur Android.

Veuillez noter que les deux mises à jour de sécurité critiques (CVE-2015-3864 et CVE-2015-3686) corrigent des vulnérabilités déjà divulguées. Aucune vulnérabilité de sécurité critique n’a été récemment révélée dans cette mise à jour. L' évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les atténuations de la plate-forme et du service soient désactivées à des fins de développement ou si elles sont contournées avec succès.

Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.

Atténuations

Ceci est un résumé des atténuations fournies par la plate-forme de sécurité Android et les protections de services telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que les failles de sécurité puissent être exploitées avec succès sur Android.

  • L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux versions les plus récentes de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour vers la dernière version d'Android lorsque cela est possible.
  • L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet, qui avertiront des applications potentiellement dangereuses sur le point d'être installées. Les outils de rootage d'appareil sont interdits sur Google Play. Pour protéger les utilisateurs qui installent des applications en dehors de Google Play, Verify Apps est activé par défaut et avertira les utilisateurs des applications de root connues. Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'élévation de privilèges. Si une telle application a déjà été installée, Verify Apps en informera l'utilisateur et tentera de supprimer ces applications.
  • Le cas échéant, les applications Google Hangouts et Messenger ne transmettent pas automatiquement les médias aux processus tels que le serveur multimédia.

Remerciements

Nous tenons à remercier ces chercheurs pour leurs contributions :

  • Jordan Gruskovnjak d'Exodus Intelligence (@jgrusko) : CVE-2015-3864
  • Michał Bednarski : CVE-2015-3845
  • Guang Gong de Qihoo 360 Technology Co. Ltd (@oldfresher) : CVE-2015-1528, CVE-2015-3849
  • Brennan Lautner : CVE-2015-3863
  • jgor (@indiecom): CVE-2015-3860
  • Wish Wu de Trend Micro Inc. (@wish_wu) : CVE-2015-3861

Détails de la vulnérabilité de sécurité

Dans les sections ci-dessous, nous fournissons des détails sur chacune des vulnérabilités de sécurité de ce bulletin. Il existe une description du problème, une justification de la gravité et un tableau avec le CVE, le bogue associé, la gravité, les versions concernées et la date signalée. Le cas échéant, nous avons lié la modification AOSP qui résout le problème à l'ID de bogue. Lorsque plusieurs modifications concernent un seul bogue, des références AOSP supplémentaires sont liées aux numéros suivant l'ID du bogue.

Vulnérabilité d'exécution de code à distance dans Mediaserver

Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, des vulnérabilités dans le serveur multimédia pourraient permettre à un attaquant de provoquer une corruption de la mémoire et l'exécution de code à distance pendant le processus du serveur multimédia.

La fonctionnalité concernée est fournie en tant qu'élément central du système d'exploitation et il existe plusieurs applications qui permettent d'y accéder avec du contenu à distance, notamment la lecture de médias par MMS et par navigateur.

Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance dans le contexte du service mediaserver. Le service Mediaserver a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.

Ce problème est lié au CVE-2015-3824 (ANDROID-20923261) déjà signalé. La mise à jour de sécurité d'origine n'était pas suffisante pour résoudre une variante de ce problème initialement signalé.

CVE Bug avec les liens AOSP Gravité Versions concernées
CVE-2015-3864 ANDROID-23034759 Critique 5.1 et inférieur

Vulnérabilité de privilège d’élévation dans le noyau

Une vulnérabilité d'élévation de privilèges dans la gestion des sockets ping par le noyau Linux pourrait permettre à une application malveillante d'exécuter du code arbitraire dans le contexte du noyau.

Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code dans un service privilégié qui peut contourner les protections des appareils, conduisant potentiellement à une compromission permanente (c'est-à-dire nécessitant un nouveau flashage de la partition système) sur certains appareils.

Ce problème a été identifié publiquement pour la première fois le 1er mai 2015. Un exploit de cette vulnérabilité a été inclus dans un certain nombre d'outils de « root » qui peuvent être utilisés par le propriétaire de l'appareil pour modifier le micrologiciel de son appareil.

CVE Bug(s) avec les liens AOSP Gravité Versions concernées
CVE-2015-3636 ANDROID-20770158 Critique 5.1 et inférieur

Vulnérabilité d’élévation de privilèges dans Binder

Une vulnérabilité d'élévation de privilèges dans Binder pourrait permettre à une application malveillante d'exécuter du code arbitraire dans le contexte du processus d'une autre application.

Ce problème est classé comme étant de gravité élevée car il permet à une application malveillante d'obtenir des privilèges non accessibles à une application tierce.

CVE Bug(s) avec les liens AOSP Gravité Versions concernées
CVE-2015-3845 ANDROID-17312693 Haut 5.1 et inférieur
CVE-2015-1528 ANDROID-19334482 [ 2 ] Haut 5.1 et inférieur

Vulnérabilité d’élévation de privilèges dans le magasin de clés

Une vulnérabilité d'élévation de privilèges dans Keystore pourrait permettre à une application malveillante d'exécuter du code arbitraire dans le contexte du service keystore. Cela pourrait permettre une utilisation non autorisée des clés stockées par Keystore, y compris les clés matérielles.

Ce problème est classé comme étant de gravité élevée car il peut être utilisé pour obtenir des privilèges non accessibles à une application tierce.

CVE Bug(s) avec les liens AOSP Gravité Versions concernées
CVE-2015-3863 ANDROID-22802399 Haut 5.1 et inférieur

Élévation des privilèges et vulnérabilité dans la région

Une vulnérabilité d'élévation de privilèges dans la région pourrait, via la création d'un message malveillant adressé à un service, permettre à une application malveillante d'exécuter du code arbitraire dans le contexte du service cible.

Ce problème est classé comme étant de gravité élevée car il peut être utilisé pour obtenir des privilèges non accessibles à une application tierce.

CVE Bug(s) avec les liens AOSP Gravité Versions concernées
CVE-2015-3849 ANDROID-20883006 [ 2 ] Haut 5.1 et inférieur

La vulnérabilité d'élévation de privilèges dans SMS permet de contourner les notifications

Une vulnérabilité d'élévation de privilèges dans la manière dont Android traite les messages SMS pourrait permettre à une application malveillante d'envoyer un message SMS qui contourne la notification d'avertissement SMS à tarif majoré.

Ce problème est classé comme étant de gravité élevée car il peut être utilisé pour obtenir des privilèges non accessibles à une application tierce.

CVE Bug(s) avec les liens AOSP Gravité Versions concernées
CVE-2015-3858 ANDROID-22314646 Haut 5.1 et inférieur

Vulnérabilité d’élévation de privilèges dans Lockscreen

Une vulnérabilité d'élévation de privilèges dans Lockscreen pourrait permettre à un utilisateur malveillant de contourner le lockscreen en provoquant son crash. Ce problème est classé comme vulnérabilité uniquement sur Android 5.0 et 5.1. Bien qu'il soit possible de provoquer un crash de l'interface utilisateur du système à partir de l'écran de verrouillage de la même manière dans la version 4.4, l'écran d'accueil n'est pas accessible et l'appareil doit être redémarré pour récupérer.

Ce problème est classé comme étant de gravité modérée, car il permet potentiellement à une personne ayant un accès physique à un appareil d'installer des applications tierces sans que le propriétaire de l'appareil n'approuve les autorisations. Il peut également permettre à l'attaquant d'afficher les données de contact, les journaux téléphoniques, les messages SMS et d'autres données normalement protégées par une autorisation de niveau « dangereux ».

CVE Bug(s) avec les liens AOSP Gravité Versions concernées
CVE-2015-3860 ANDROID-22214934 Modéré 5.1 et 5.0

Vulnérabilité de déni de service dans Mediaserver

Une vulnérabilité de déni de service dans MediaServer pourrait permettre à un attaquant local de bloquer temporairement l'accès à un appareil affecté.

Ce problème est classé comme étant de faible gravité, car un utilisateur pourrait redémarrer en mode sans échec pour supprimer une application malveillante qui exploite ce problème. Il est également possible que le serveur multimédia traite le fichier malveillant à distance via le Web ou via MMS, auquel cas le processus du serveur multimédia se bloque et l'appareil reste utilisable.

CVE Bug(s) avec les liens AOSP Gravité Versions concernées
CVE-2015-3861 ANDROID-21296336 Faible 5.1 et inférieur