Publié le 5 octobre 2015 | Mis à jour le 28 avril 2016
Nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour Over-the-Air (OTA) dans le cadre de notre processus de publication mensuelle des bulletins de sécurité Android. Les images du micrologiciel Nexus ont également été publiées sur le site des développeurs Google. Les builds LMY48T ou version ultérieure (par exemple, LMY48W) et Android M avec le niveau de correctif de sécurité du 1er octobre 2015 ou version ultérieure résolvent ces problèmes. Pour savoir comment vérifier le niveau du correctif de sécurité, consultez la documentation Nexus.
Les partenaires ont été informés de ces problèmes le 10 septembre 2015 ou avant. Des correctifs de code source pour ces problèmes ont été publiés dans le dépôt du projet Android Open Source (AOSP).
Le plus grave de ces problèmes est une faille de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil affecté via plusieurs méthodes, telles que la messagerie, la navigation sur le Web et les MMS lors du traitement de fichiers multimédias. L'évaluation de la gravité est basée sur l'impact potentiel de l'exploitation de la faille sur un appareil concerné, en supposant que les mesures d'atténuation de la plate-forme et du service soient désactivées à des fins de développement ou qu'elles soient contournées.
Nous n'avons reçu aucun signalement d'exploitation active de ces nouveaux problèmes par les clients. Pour en savoir plus sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet, qui améliorent la sécurité de la plate-forme Android, consultez la section Mitigations. Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.
Stratégies d'atténuation
Voici un résumé des mesures d'atténuation fournies par la plate-forme de sécurité Android et les protections de service telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que des failles de sécurité puissent être exploitées sur Android.
- L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux versions plus récentes de la plate-forme Android. Nous encourageons tous les utilisateurs à passer à la dernière version d'Android dans la mesure du possible.
- L'équipe de sécurité Android surveille activement les utilisations abusives avec Verify Apps et SafetyNet, qui avertissent des applications potentiellement dangereuses sur le point d'être installées. Les outils de rootage d'appareils sont interdits sur Google Play. Pour protéger les utilisateurs qui installent des applications en dehors de Google Play, l'option "Vérifier les applications" est activée par défaut et avertit les utilisateurs des applications de root connues. Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une faille d'escalade de privilèges. Si une telle application a déjà été installée, Vérifier les applications en informe l'utilisateur et tente de la supprimer.
- Google a mis à jour les applications Hangouts et Messenger afin que les contenus multimédias ne soient pas automatiquement transmis à des processus vulnérables (tels que mediaserver).
Remerciements
Nous tenons à remercier ces chercheurs pour leur contribution:
- Brennan Lautner: CVE-2015-3863
- Chiachih Wu et Xuxian Jiang de l'équipe C0RE de Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
- Yajin Zhou, Lei Wu et Xuxian Jiang de l'équipe C0RE de Qihoo 360: CVE-2015-3865
- Daniel Micay (daniel.micay@copperhead.co) de Copperhead Security: CVE-2015-3875
- dragonltx de l'équipe de sécurité mobile d'Alibaba: CVE-2015-6599
- Ian Beer et Steven Vittitoe de Google Project Zero: CVE-2015-6604
- Joaquín Rinaudo (@xeroxnir) et Iván Arce (@4Dgifts) du Programa STIC de la Fundación Dr. Manuel Sadosky, Buenos Aires (Argentine) : CVE-2015-3870
- Josh Drake de Zimperium: CVE-2015-3876, CVE-2015-6602
- Jordan Gruskovnjak d'Exodus Intelligence (@jgrusko): CVE-2015-3867
- Peter Pi de Trend Micro: CVE-2015-3872, CVE-2015-3871
- Ping Li de Qihoo 360 Technology Co. Ltd: CVE-2015-3878
- Seven Shen: CVE-2015-6600, CVE-2015-3847
- Wangtao(neobyte) de l'équipe X de Baidu: CVE-2015-6598
- Wish Wu de Trend Micro Inc. (@wish_wu): CVE-2015-3823
- Michael Roland de JR-Center u'smile à l'Université des sciences appliquées de Haute-Autriche/ Hagenberg: CVE-2015-6606
Nous tenons également à remercier l'équipe de sécurité Chrome, l'équipe de sécurité Google, Project Zero et d'autres personnes de Google pour avoir signalé plusieurs problèmes résolus dans ce bulletin.
Détails de la faille de sécurité
Dans les sections ci-dessous, nous fournissons des informations sur chacune des failles de sécurité qui s'appliquent au niveau de correctif 2015-10-01. Vous trouverez une description du problème, une justification de la gravité et un tableau contenant l'ID de la faille CVE, le bug associé, la gravité, les versions concernées et la date de signalement. Le cas échéant, nous avons associé la modification AOSP qui a résolu le problème à l'ID du bug. Lorsque plusieurs modifications concernent un même bug, des références AOSP supplémentaires sont associées à des numéros qui suivent l'ID du bug.
Failles d'exécution de code à distance dans libstagefright
Des failles dans libstagefright peuvent permettre à un pirate informatique, lors du traitement de données et de fichiers multimédias d'un fichier spécialement conçu, de corrompre la mémoire et d'exécuter du code à distance dans le service mediaserver.
Ces problèmes sont classés comme critiques en raison de la possibilité d'exécution de code à distance en tant que service privilégié. Les composants concernés ont accès aux flux audio et vidéo, ainsi qu'aux droits auxquels les applications tierces ne peuvent normalement pas accéder.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions affectées | Date de signalement |
|---|---|---|---|---|
| CVE-2015-3873 | ANDROID-20674086 [2,3,4] | Critical (Critique) | 5.1 et versions antérieures | Interne Google |
| ANDROID-20674674 [2,3,4] | ||||
| ANDROID-20718524 | ||||
| ANDROID-21048776 | ||||
| ANDROID-21443020 | ||||
| ANDROID-21814993 | ||||
| ANDROID-22008959 | ||||
| ANDROID-22077698 | ||||
| ANDROID-22388975 | ||||
| ANDROID-22845824 | ||||
| ANDROID-23016072 | ||||
| ANDROID-23247055 | ||||
| ANDROID-23248776 | ||||
| ANDROID-20721050 | Critical (Critique) | 5.0 et 5.1 | Interne Google | |
| CVE-2015-3823 | ANDROID-21335999 | Critical (Critique) | 5.1 et versions antérieures | 20 mai 2015 |
| CVE-2015-6600 | ANDROID-22882938 | Critical (Critique) | 5.1 et versions antérieures | 31 juillet 2015 |
| CVE-2015-6601 | ANDROID-22935234 | Critical (Critique) | 5.1 et versions antérieures | Aug 3, 2015 |
| CVE-2015-3869 | ANDROID-23036083 | Critical (Critique) | 5.1 et versions antérieures | Aug 4, 2015 |
| CVE-2015-3870 | ANDROID-22771132 | Critical (Critique) | 5.1 et versions antérieures | Aug 5, 2015 |
| CVE-2015-3871 | ANDROID-23031033 | Critical (Critique) | 5.1 et versions antérieures | Aug 6, 2015 |
| CVE-2015-3868 | ANDROID-23270724 | Critical (Critique) | 5.1 et versions antérieures | Aug 6, 2015 |
| CVE-2015-6604 | ANDROID-23129786 | Critical (Critique) | 5.1 et versions antérieures | 11 août 2015 |
| CVE-2015-3867 | ANDROID-23213430 | Critical (Critique) | 5.1 et versions antérieures | Aug 14, 2015 |
| CVE-2015-6603 | ANDROID-23227354 | Critical (Critique) | 5.1 et versions antérieures | 15 août 2015 |
| CVE-2015-3876 | ANDROID-23285192 | Critical (Critique) | 5.1 et versions antérieures | 15 août 2015 |
| CVE-2015-6598 | ANDROID-23306638 | Critical (Critique) | 5.1 et versions antérieures | 18 août 2015 |
| CVE-2015-3872 | ANDROID-23346388 | Critical (Critique) | 5.1 et versions antérieures | Aug 19, 2015 |
| CVE-2015-6599 | ANDROID-23416608 | Critical (Critique) | 5.1 et versions antérieures | 21 août 2015 |
Failles d'exécution de code à distance dans Sonivox
Des failles dans Sonivox peuvent permettre à un pirate informatique, lors du traitement d'un fichier multimédia spécialement conçu, de corrompre la mémoire et d'exécuter du code à distance dans le service mediaserver. La gravité de ce problème est évaluée comme critique en raison de la possibilité d'exécuter du code à distance en tant que service privilégié. Le composant concerné a accès aux flux audio et vidéo, ainsi qu'aux droits d'accès que les applications tierces ne peuvent normalement pas obtenir.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions affectées | Date de signalement |
|---|---|---|---|---|
| CVE-2015-3874 | ANDROID-23335715 | Critical (Critique) | 5.1 et versions antérieures | Plusieurs |
| ANDROID-23307276 [2] | ||||
| ANDROID-23286323 |
Failles d'exécution de code à distance dans libutils
Des failles existent dans libutils, une bibliothèque générique, lors du traitement des fichiers audio. Ces failles pourraient permettre à un pirate informatique, lors du traitement d'un fichier spécialement conçu, de corrompre la mémoire et d'exécuter du code à distance dans un service qui utilise cette bibliothèque, comme mediaserver.
La fonctionnalité concernée est fournie en tant qu'API d'application. Plusieurs applications permettent d'y accéder avec du contenu distant, en particulier les MMS et la lecture de contenus multimédias dans le navigateur. Ce problème est classé comme critique en raison de la possibilité d'exécution de code à distance dans un service privilégié. Le composant concerné a accès aux flux audio et vidéo, ainsi qu'aux droits auxquels les applications tierces n'ont normalement pas accès.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions affectées | Date de signalement |
|---|---|---|---|---|
| CVE-2015-3875 | ANDROID-22952485 | Critical (Critique) | 5.1 et versions antérieures | 15 août 2015 |
| CVE-2015-6602 | ANDROID-23290056 [2] | Critical (Critique) | 5.1 et versions antérieures | 15 août 2015 |
Faille d'exécution de code à distance dans Skia
Une faille dans le composant Skia peut être exploitée lors du traitement d'un fichier multimédia spécialement conçu, ce qui peut entraîner une corruption de la mémoire et une exécution de code à distance dans un processus privilégié. Ce problème est classé comme critique en raison de la possibilité d'exécution de code à distance via plusieurs méthodes d'attaque telles que la messagerie, la navigation Web et les MMS lors du traitement de fichiers multimédias.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions affectées | Date de signalement |
|---|---|---|---|---|
| CVE-2015-3877 | ANDROID-20723696 | Critical (Critique) | 5.1 et versions antérieures | 30 juillet 2015 |
Failles d'exécution de code à distance dans libFLAC
Une faille dans libFLAC existe dans le traitement des fichiers multimédias. Ces failles peuvent permettre à un pirate informatique, lors du traitement d'un fichier spécialement conçu, de corrompre la mémoire et d'exécuter du code à distance.
La fonctionnalité concernée est fournie en tant qu'API d'application. Plusieurs applications permettent d'y accéder avec du contenu distant, comme la lecture de contenus multimédias dans le navigateur. La gravité de ce problème est évaluée comme critique en raison de la possibilité d'exécution de code à distance dans un service privilégié. Le composant concerné a accès aux flux audio et vidéo, ainsi qu'aux droits auxquels les applications tierces n'ont normalement pas accès.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions affectées | Date de signalement |
|---|---|---|---|---|
| CVE-2014-9028 | ANDROID-18872897 [2] | Critical (Critique) | 5.1 et versions antérieures | 14 novembre 2014 |
Faille d'élévation des droits dans KeyStore
Une faille d'élévation des privilèges dans le composant KeyStore peut être exploitée par une application malveillante lors de l'appel des API KeyStore. Cette application peut entraîner la corruption de la mémoire et l'exécution de code arbitraire dans le contexte de KeyStore. Ce problème est classé comme étant de gravité élevée, car il peut être utilisé pour accéder à des privilèges qui ne sont pas directement accessibles à une application tierce.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions affectées | Date de signalement |
|---|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | Élevée | 5.1 et versions antérieures | 28 juillet 2015 |
Faille d'élévation des droits dans le framework Media Player
Une faille d'escalade de privilèges dans le composant du framework du lecteur multimédia pourrait permettre à une application malveillante d'exécuter du code arbitraire dans le contexte de mediaserver. Ce problème est classé comme étant de gravité élevée, car il permet à une application malveillante d'accéder à des droits d'accès non accessibles à une application tierce.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions affectées | Date de signalement |
|---|---|---|---|---|
| CVE-2015-3879 | ANDROID-23223325 [2]* | Élevée | 5.1 et versions antérieures | Aug 14, 2015 |
* Un deuxième changement pour ce problème n'est pas présent dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Faille d'élévation des droits dans Android Runtime
Une faille d'escalade de privilèges dans Android Runtime peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité élevée, car il peut être utilisé pour obtenir des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles à une application tierce.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions affectées | Date de signalement |
|---|---|---|---|---|
| CVE-2015-3865 | ANDROID-23050463 [2] | Élevée | 5.1 et versions antérieures | Aug 8, 2015 |
Failles d'élévation des droits dans Mediaserver
Mediaserver comporte plusieurs failles pouvant permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'un service natif privilégié. La gravité de ce problème est évaluée comme élevée, car il peut être utilisé pour accéder à des droits d'accès qui ne sont pas directement accessibles à une application tierce.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions affectées | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6596 | ANDROID-20731946 | Élevée | 5.1 et versions antérieures | Plusieurs |
| ANDROID-20719651* | ||||
| ANDROID-19573085 | Élevée | 5.0 à 6.0 | Interne Google |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Faille d'élévation de privilège dans le kit d'évaluation de l'élément sécurisé
Une faille dans le plug-in SEEK (Secure Element Evaluation Kit, également appelé API SmartCard) peut permettre à une application d'obtenir des autorisations élevées sans les demander. Ce problème est classé comme étant de gravité élevée, car il peut être utilisé pour obtenir des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles aux applications tierces.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions affectées | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6606 | ANDROID-22301786* | Élevée | 5.1 et versions antérieures | 30 juin 2015 |
* La mise à niveau qui résout ce problème est disponible sur le site SEEK pour Android.
Faille d'élévation des droits dans la projection multimédia
Une faille dans le composant Media Projection peut permettre la divulgation de données utilisateur sous la forme d'instantanés d'écran. Le problème est dû au fait que le système d'exploitation autorise des noms d'application trop longs. L'utilisation de ces noms longs par une application malveillante locale peut empêcher l'utilisateur de voir un avertissement concernant l'enregistrement d'écran. La gravité de ce problème est évaluée comme modérée, car il peut être utilisé pour obtenir de manière inappropriée des autorisations élevées.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions affectées | Date de signalement |
|---|---|---|---|---|
| CVE-2015-3878 | ANDROID-23345192 | Modérée | 5.0 à 6.0 | 18 août 2015 |
Faille d'élévation des droits dans le Bluetooth
Une faille dans le composant Bluetooth d'Android peut permettre à une application de supprimer les messages SMS stockés. La gravité de ce problème est évaluée comme modérée, car il peut être utilisé pour obtenir de manière inappropriée des autorisations élevées.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions affectées | Date de signalement |
|---|---|---|---|---|
| CVE-2015-3847 | ANDROID-22343270 | Modérée | 5.1 et versions antérieures | 8 juillet 2015 |
Failles d'élévation de privilège dans SQLite
Plusieurs failles ont été découvertes dans le moteur d'analyse SQLite. Ces failles peuvent être exploitées par une application locale qui peut entraîner l'exécution d'autres requêtes SQL arbitraires par une autre application ou un autre service. Une exploitation réussie peut entraîner l'exécution de code arbitraire dans le contexte de l'application cible.
Un correctif a été mis en ligne sur le canal principal d'AOSP le 8 avril 2015, qui a mis à niveau la version de SQLite vers la version 3.8.9: https://android-review.googlesource.com/#/c/145961/
Ce bulletin contient des correctifs pour les versions SQLite d'Android 4.4 (SQLite 3.7.11), d'Android 5.0 et d'Android 5.1 (SQLite 3.8.6).
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions affectées | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6607 | ANDROID-20099586 | Modérée | 5.1 et versions antérieures | 7 avril 2015 Connu du public |
Vulnérabilités de déni de service dans Mediaserver
Plusieurs failles dans mediaserver peuvent entraîner un déni de service en plantant le processus mediaserver. Ces problèmes sont classés comme étant de faible gravité, car ils se produisent en cas de plantage du serveur multimédia, ce qui entraîne un déni de service temporaire local.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions affectées | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6605 | ANDROID-20915134 | Faible | 5.1 et versions antérieures | Interne Google |
| ANDROID-23142203 | ||||
| ANDROID-22278703 | Faible | 5.0 à 6.0 | Interne Google | |
| CVE-2015-3862 | ANDROID-22954006 | Faible | 5.1 et versions antérieures | Aug 2, 2015 |
Révisions
- 5 octobre 2015: publication du bulletin.
- 7 octobre 2015: bulletin mis à jour avec des références AOSP. Clarification des références de bug pour CVE-2014-9028.
- 12 octobre 2015: mises à jour des accusés de réception pour CVE-2015-3868, CVE-2015-3869, CVE-2015-3865 et CVE-2015-3862.
- 22 janvier 2016: mise à jour des accusés de réception pour CVE-2015-6606.
- 28 avril 2016: ajout de CVE-2015-6603 et correction d'une faute de frappe dans CVE-2014-9028.