Publié le 9 septembre 2015
Nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour en direct (OTA) dans le cadre de notre processus de publication mensuelle du bulletin de sécurité Android (Build LMY48M). Les mises à jour pour les appareils Nexus et les correctifs de code source pour ces problèmes ont également été publiés dans le référentiel source Android Open Source Project (AOSP). Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil affecté.
Les images du micrologiciel Nexus ont également été publiées sur le site Google Developer . Les versions LMY48M ou ultérieures résolvent ces problèmes. Les partenaires ont été informés de ces problèmes le 13 août 2015 ou avant.
Nous n'avons pas détecté d'exploitation par les clients des problèmes nouvellement signalés. L'exception est le problème existant (CVE-2015-3636). Reportez-vous à la section Atténuations pour plus de détails sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet, qui réduisent la probabilité que les vulnérabilités de sécurité puissent être exploitées avec succès sur Android.
Veuillez noter que les deux mises à jour de sécurité critiques (CVE-2015-3864 et CVE-2015-3686) corrigent des vulnérabilités déjà divulguées. Il n'y a pas de vulnérabilités de sécurité critiques nouvellement divulguées dans cette mise à jour. L' évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les atténuations de la plate-forme et du service sont désactivées à des fins de développement ou si elles sont contournées avec succès.
Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.
Atténuations
Il s'agit d'un résumé des mesures d'atténuation fournies par la plate- forme de sécurité Android et les protections de service telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que les vulnérabilités de sécurité puissent être exploitées avec succès sur Android.
- L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux nouvelles versions de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour la dernière version d'Android dans la mesure du possible.
- L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet qui avertiront des applications potentiellement dangereuses sur le point d'être installées. Les outils d'enracinement d'appareils sont interdits dans Google Play. Pour protéger les utilisateurs qui installent des applications en dehors de Google Play, Vérifier les applications est activé par défaut et avertira les utilisateurs des applications d'enracinement connues. Vérifier les applications tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'élévation de privilèges. Si une telle application a déjà été installée, Verify Apps avertira l'utilisateur et tentera de supprimer ces applications.
- Le cas échéant, les applications Google Hangouts et Messenger ne transmettent pas automatiquement les médias aux processus tels que le serveur multimédia.
Remerciements
Nous tenons à remercier ces chercheurs pour leurs contributions :
- Jordan Gruskovnjak d'Exodus Intelligence (@jgrusko): CVE-2015-3864
- Michał Bednarski : CVE-2015-3845
- Guang Gong de Qihoo 360 Technology Co. Ltd (@oldfresher) : CVE-2015-1528, CVE-2015-3849
- Brennan Lautner : CVE-2015-3863
- jgor (@indiecom): CVE-2015-3860
- Wish Wu de Trend Micro Inc. (@wish_wu) : CVE-2015-3861
Détails de la vulnérabilité de sécurité
Dans les sections ci-dessous, nous fournissons des détails sur chacune des vulnérabilités de sécurité de ce bulletin. Il y a une description du problème, une justification de la gravité et un tableau avec le CVE, le bogue associé, la gravité, les versions affectées et la date signalée. Le cas échéant, nous avons lié le changement AOSP qui a résolu le problème à l'ID de bogue. Lorsque plusieurs modifications concernent un seul bogue, des références AOSP supplémentaires sont liées aux numéros suivant l'ID de bogue.
Vulnérabilité d'exécution de code à distance dans Mediaserver
Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, des vulnérabilités dans le serveur multimédia pourraient permettre à un attaquant de provoquer une corruption de la mémoire et l'exécution de code à distance en tant que processus du serveur multimédia.
La fonctionnalité concernée est fournie en tant que partie centrale du système d'exploitation et il existe plusieurs applications qui permettent d'y accéder avec du contenu à distance, notamment la lecture de médias par MMS et navigateur.
Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance dans le contexte du service de serveur multimédia. Le service de serveur multimédia a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.
Ce problème est lié au CVE-2015-3824 (ANDROID-20923261) déjà signalé. La mise à jour de sécurité d'origine n'était pas suffisante pour résoudre une variante de ce problème initialement signalé.
| CVE | Bug avec les liens AOSP | Gravité | Versions concernées |
|---|---|---|---|
| CVE-2015-3864 | ANDROID-23034759 | Critique | 5.1 et inférieur |
Vulnérabilité liée au privilège d'élévation dans le noyau
Une vulnérabilité d'élévation des privilèges dans la gestion des sockets ping par le noyau Linux pourrait permettre à une application malveillante d'exécuter du code arbitraire dans le contexte du noyau.
Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code dans un service privilégié qui peut contourner les protections des appareils, ce qui peut entraîner une compromission permanente (c'est-à-dire, nécessiter un nouveau flashage de la partition système) sur certains appareils.
Ce problème a été identifié publiquement pour la première fois le 1er mai 2015. Un exploit de cette vulnérabilité a été inclus dans un certain nombre d'outils « d'enracinement » qui peuvent être utilisés par le propriétaire de l'appareil pour modifier le micrologiciel sur son appareil.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions concernées |
|---|---|---|---|
| CVE-2015-3636 | ANDROID-20770158 | Critique | 5.1 et inférieur |
Vulnérabilité d'élévation de privilèges dans Binder
Une vulnérabilité d'élévation des privilèges dans Binder pourrait permettre à une application malveillante d'exécuter du code arbitraire dans le contexte du processus d'une autre application.
Ce problème est classé comme étant de gravité élevée car il permet à une application malveillante d'obtenir des privilèges inaccessibles à une application tierce.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions concernées |
|---|---|---|---|
| CVE-2015-3845 | ANDROID-17312693 | Haute | 5.1 et inférieur |
| CVE-2015-1528 | ANDROID-19334482 [ 2 ] | Haute | 5.1 et inférieur |
Vulnérabilité d'élévation de privilèges dans Keystore
Une vulnérabilité d'élévation des privilèges dans Keystore pourrait permettre à une application malveillante d'exécuter du code arbitraire dans le contexte du service keystore. Cela pourrait permettre une utilisation non autorisée des clés stockées par Keystore, y compris des clés sauvegardées sur matériel.
Ce problème est classé comme étant de gravité élevée car il peut être utilisé pour obtenir des privilèges non accessibles à une application tierce.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions concernées |
|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | Haute | 5.1 et inférieur |
Vulnérabilité d'élévation des privilèges dans la région
Une vulnérabilité d'élévation des privilèges dans Region pourrait, par la création d'un message malveillant à destination d'un service, permettre à une application malveillante d'exécuter du code arbitraire dans le contexte du service cible.
Ce problème est classé comme étant de gravité élevée car il peut être utilisé pour obtenir des privilèges non accessibles à une application tierce.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions concernées |
|---|---|---|---|
| CVE-2015-3849 | ANDROID-20883006 [ 2 ] | Haute | 5.1 et inférieur |
La vulnérabilité d'élévation de privilège dans SMS permet de contourner les notifications
Une vulnérabilité d'élévation des privilèges dans la façon dont Android traite les messages SMS pourrait permettre à une application malveillante d'envoyer un message SMS qui contourne la notification d'avertissement SMS surtaxée.
Ce problème est classé comme étant de gravité élevée car il peut être utilisé pour obtenir des privilèges non accessibles à une application tierce.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions concernées |
|---|---|---|---|
| CVE-2015-3858 | ANDROID-22314646 | Haute | 5.1 et inférieur |
Vulnérabilité d'élévation de privilèges dans Lockscreen
Une vulnérabilité d'élévation des privilèges dans Lockscreen pourrait permettre à un utilisateur malveillant de contourner l'écran de verrouillage en le faisant planter. Ce problème est classé comme une vulnérabilité uniquement sur Android 5.0 et 5.1. Bien qu'il soit possible de faire planter l'interface utilisateur système à partir de l'écran de verrouillage de la même manière sur 4.4, l'écran d'accueil n'est pas accessible et l'appareil doit être redémarré pour récupérer.
Ce problème est classé comme étant de gravité modérée, car il permet potentiellement à une personne ayant un accès physique à un appareil d'installer des applications tierces sans que le propriétaire de l'appareil n'approuve les autorisations. Cela peut également permettre à l'attaquant d'afficher les données de contact, les journaux téléphoniques, les messages SMS et d'autres données qui sont normalement protégées par une autorisation de niveau "dangereux".
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions concernées |
|---|---|---|---|
| CVE-2015-3860 | ANDROID-22214934 | Modéré | 5.1 et 5.0 |
Vulnérabilité de déni de service dans Mediaserver
Une vulnérabilité de déni de service dans le serveur multimédia pourrait permettre à un attaquant local de bloquer temporairement l'accès à un appareil affecté.
Ce problème est classé comme étant de gravité faible, car un utilisateur pourrait redémarrer en mode sans échec pour supprimer une application malveillante qui exploite ce problème. Il est également possible de faire en sorte que le serveur multimédia traite le fichier malveillant à distance via le Web ou via MMS, auquel cas le processus du serveur multimédia se bloque et l'appareil reste utilisable.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions concernées |
|---|---|---|---|
| CVE-2015-3861 | ANDROID-21296336 | Bas | 5.1 et inférieur |