Bulletin de sécurité Nexus - Octobre 2015

Publié le 05 octobre 2015 | Mis à jour le 28 avril 2016

Nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour en direct (OTA) dans le cadre de notre processus de publication mensuelle du Bulletin de sécurité Android. Les images du micrologiciel Nexus ont également été publiées sur le site des développeurs Google . Les builds LMY48T ou version ultérieure (telles que LMY48W) et Android M avec le niveau de correctif de sécurité du 1er octobre 2015 ou version ultérieure résolvent ces problèmes. Reportez-vous à la documentation Nexus pour savoir comment vérifier le niveau du correctif de sécurité.

Les partenaires ont été informés de ces problèmes le 10 septembre 2015 ou avant. Les correctifs de code source pour ces problèmes ont été publiés dans le référentiel Android Open Source Project (AOSP).

Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil concerné via plusieurs méthodes telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias. L' évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les atténuations de la plate-forme et du service soient désactivées à des fins de développement ou si elles sont contournées avec succès.

Nous n'avons reçu aucun rapport faisant état d'une exploitation active par nos clients de ces problèmes nouvellement signalés. Reportez-vous à la section Atténuations pour plus de détails sur les protections de la plateforme de sécurité Android et les protections de services telles que SafetyNet, qui améliorent la sécurité de la plateforme Android. Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.

Atténuations

Ceci est un résumé des atténuations fournies par la plate-forme de sécurité Android et les protections de services telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que les failles de sécurité puissent être exploitées avec succès sur Android.

  • L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux versions les plus récentes de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour vers la dernière version d'Android lorsque cela est possible.
  • L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet, qui avertiront des applications potentiellement dangereuses sur le point d'être installées. Les outils de rootage d'appareil sont interdits sur Google Play. Pour protéger les utilisateurs qui installent des applications en dehors de Google Play, Verify Apps est activé par défaut et avertira les utilisateurs des applications de root connues. Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'élévation de privilèges. Si une telle application a déjà été installée, Verify Apps en informera l'utilisateur et tentera de supprimer ces applications.
  • Le cas échéant, Google a mis à jour les applications Hangouts et Messenger afin que les médias ne soient pas automatiquement transmis aux processus vulnérables (tels que le serveur multimédia).

Remerciements

Nous tenons à remercier ces chercheurs pour leurs contributions :

  • Brennan Lautner : CVE-2015-3863
  • Chiachih Wu et Xuxian Jiang de l'équipe C0RE de Qihoo 360 : CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
  • Yajin Zhou, Lei Wu et Xuxian Jiang de l'équipe C0RE de Qihoo 360 : CVE-2015-3865
  • Daniel Micay (daniel.micay@copperhead.co) chez Copperhead Security : CVE-2015-3875
  • dragonltx de l'équipe de sécurité mobile d'Alibaba : CVE-2015-6599
  • Ian Beer et Steven Vittitoe de Google Project Zero : CVE-2015-6604
  • Joaquín Rinaudo (@xeroxnir) et Iván Arce (@4Dgifts) du Programa STIC de la Fundación Dr. Manuel Sadosky, Buenos Aires Argentine : CVE-2015-3870
  • Josh Drake de Zimperium : CVE-2015-3876, CVE-2015-6602
  • Jordan Gruskovnjak d'Exodus Intelligence (@jgrusko) : CVE-2015-3867
  • Peter Pi de Trend Micro : CVE-2015-3872, CVE-2015-3871
  • Ping Li de Qihoo 360 Technology Co. Ltd : CVE-2015-3878
  • Sept Shen : CVE-2015-6600, CVE-2015-3847
  • Wangtao (néooctet) de Baidu X-Team : CVE-2015-6598
  • Wish Wu de Trend Micro Inc. (@wish_wu) : CVE-2015-3823
  • Michael Roland du JR-Center u'smile de l'Université des sciences appliquées de Haute-Autriche/Hagenberg : CVE-2015-6606

Nous souhaitons également remercier les contributions de l'équipe de sécurité Chrome, de l'équipe de sécurité Google, de Project Zero et d'autres personnes au sein de Google pour avoir signalé plusieurs problèmes résolus dans ce bulletin.

Détails de la vulnérabilité de sécurité

Dans les sections ci-dessous, nous fournissons des détails sur chacune des vulnérabilités de sécurité qui s'appliquent au niveau de correctif 2015-10-01. Il existe une description du problème, une justification de la gravité et un tableau avec le CVE, le bogue associé, la gravité, les versions concernées et la date signalée. Le cas échéant, nous avons lié la modification AOSP qui résout le problème à l'ID de bogue. Lorsque plusieurs modifications concernent un seul bogue, des références AOSP supplémentaires sont liées aux numéros suivant l'ID du bogue.

Vulnérabilités d'exécution de code à distance dans libstagefright

Il existe des vulnérabilités dans libstagefright qui pourraient permettre à un attaquant, lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, de provoquer une corruption de la mémoire et l'exécution de code à distance dans le service mediaserver.

Ces problèmes sont classés comme étant de gravité critique en raison de la possibilité d'exécution de code à distance en tant que service privilégié. Les composants concernés ont accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.

CVE Bug(s) avec les liens AOSP Gravité Versions concernées Date de rapport
CVE-2015-3873 ANDROID-20674086 [ 2 , 3 , 4 ] Critique 5.1 et inférieur Google interne
ANDROID-20674674 [ 2 , 3 , 4 ]
ANDROID-20718524
ANDROID-21048776
ANDROID-21443020
ANDROID-21814993
ANDROID-22008959
ANDROID-22077698
ANDROID-22388975
ANDROID-22845824
ANDROID-23016072
ANDROID-23247055
ANDROID-23248776
ANDROID-20721050 Critique 5.0 et 5.1 Google interne
CVE-2015-3823 ANDROID-21335999 Critique 5.1 et inférieur 20 mai 2015
CVE-2015-6600 ANDROID-22882938 Critique 5.1 et inférieur 31 juillet 2015
CVE-2015-6601 ANDROID-22935234 Critique 5.1 et inférieur 3 août 2015
CVE-2015-3869 ANDROID-23036083 Critique 5.1 et inférieur 4 août 2015
CVE-2015-3870 ANDROID-22771132 Critique 5.1 et inférieur 5 août 2015
CVE-2015-3871 ANDROID-23031033 Critique 5.1 et inférieur 6 août 2015
CVE-2015-3868 ANDROID-23270724 Critique 5.1 et inférieur 6 août 2015
CVE-2015-6604 ANDROID-23129786 Critique 5.1 et inférieur 11 août 2015
CVE-2015-3867 ANDROID-23213430 Critique 5.1 et inférieur 14 août 2015
CVE-2015-6603 ANDROID-23227354 Critique 5.1 et inférieur 15 août 2015
CVE-2015-3876 ANDROID-23285192 Critique 5.1 et inférieur 15 août 2015
CVE-2015-6598 ANDROID-23306638 Critique 5.1 et inférieur 18 août 2015
CVE-2015-3872 ANDROID-23346388 Critique 5.1 et inférieur 19 août 2015
CVE-2015-6599 ANDROID-23416608 Critique 5.1 et inférieur 21 août 2015

Vulnérabilités d’exécution de code à distance dans Sonivox

Il existe des vulnérabilités dans Sonivox qui pourraient permettre à un attaquant, lors du traitement d'un fichier multimédia spécialement conçu, de provoquer une corruption de la mémoire et l'exécution de code à distance dans le service du serveur multimédia. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance en tant que service privilégié. Le composant concerné a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.

CVE Bug(s) avec les liens AOSP Gravité Versions concernées Date de rapport
CVE-2015-3874 ANDROID-23335715 Critique 5.1 et inférieur Plusieurs
ANDROID-23307276 [ 2 ]
ANDROID-23286323

Vulnérabilités d'exécution de code à distance dans libutils

Des vulnérabilités dans libutils, une bibliothèque générique, existent dans le traitement des fichiers audio. Ces vulnérabilités pourraient permettre à un attaquant, lors du traitement d'un fichier spécialement conçu, de provoquer une corruption de mémoire et l'exécution de code à distance dans un service utilisant cette bibliothèque tel que mediaserver.

La fonctionnalité concernée est fournie sous la forme d'une API d'application et il existe plusieurs applications qui permettent d'y accéder avec du contenu à distance, notamment la lecture de médias par MMS et par navigateur. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance dans un service privilégié. Le composant concerné a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.

CVE Bug(s) avec les liens AOSP Gravité Versions concernées Date de rapport
CVE-2015-3875 ANDROID-22952485 Critique 5.1 et inférieur 15 août 2015
CVE-2015-6602 ANDROID-23290056 [ 2 ] Critique 5.1 et inférieur 15 août 2015

Vulnérabilité d’exécution de code à distance dans Skia

Une vulnérabilité dans le composant Skia peut être exploitée lors du traitement d'un fichier multimédia spécialement conçu, ce qui pourrait entraîner une corruption de la mémoire et l'exécution de code à distance dans un processus privilégié. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance via plusieurs méthodes d'attaque telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias.

CVE Bug(s) avec les liens AOSP Gravité Versions concernées Date de rapport
CVE-2015-3877 ANDROID-20723696 Critique 5.1 et inférieur 30 juillet 2015

Vulnérabilités d'exécution de code à distance dans libFLAC

Il existe une vulnérabilité dans libFLAC dans le traitement des fichiers multimédias. Ces vulnérabilités pourraient permettre à un attaquant, lors du traitement d'un fichier spécialement conçu, de provoquer une corruption de mémoire et l'exécution de code à distance.

La fonctionnalité concernée est fournie sous la forme d'une API d'application et il existe plusieurs applications qui permettent d'y accéder avec du contenu distant, tel que la lecture multimédia par un navigateur. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance dans un service privilégié. Le composant concerné a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.

CVE Bug(s) avec les liens AOSP Gravité Versions concernées Date de rapport
CVE-2014-9028 ANDROID-18872897 [ 2 ] Critique 5.1 et inférieur 14 novembre 2014

Vulnérabilité d’élévation de privilèges dans KeyStore

Une vulnérabilité d'élévation de privilèges dans le composant KeyStore peut être exploitée par une application malveillante lors de l'appel aux API KeyStore. Cette application pourrait provoquer une corruption de la mémoire et l'exécution de code arbitraire dans le contexte de KeyStore. Ce problème est classé comme étant de gravité élevée car il peut être utilisé pour accéder à des privilèges qui ne sont pas directement accessibles à une application tierce.

CVE Bug(s) avec les liens AOSP Gravité Versions concernées Date de rapport
CVE-2015-3863 ANDROID-22802399 Haut 5.1 et inférieur 28 juillet 2015

Vulnérabilité d’élévation de privilèges dans le framework Media Player

Une vulnérabilité d'élévation de privilèges dans le composant d'infrastructure du lecteur multimédia pourrait permettre à une application malveillante d'exécuter du code arbitraire dans le contexte du serveur multimédia. Ce problème est classé comme étant de gravité élevée car il permet à une application malveillante d'accéder à des privilèges non accessibles à une application tierce.

CVE Bug(s) avec les liens AOSP Gravité Versions concernées Date de rapport
CVE-2015-3879 ANDROID-23223325 [2]* Haut 5.1 et inférieur 14 août 2015

* Un deuxième changement pour ce problème ne concerne pas l'AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d’élévation de privilèges dans le runtime Android

Une vulnérabilité d’élévation de privilèges dans Android Runtime peut permettre à une application malveillante locale d’exécuter du code arbitraire dans le contexte d’une application système élevée. Ce problème est classé comme étant de gravité élevée, car il peut être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.

CVE Bug(s) avec les liens AOSP Gravité Versions concernées Date de rapport
CVE-2015-3865 ANDROID-23050463 [ 2 ] Haut 5.1 et inférieur 8 août 2015

Vulnérabilités d’élévation de privilèges dans Mediaserver

Il existe plusieurs vulnérabilités dans Mediaserver qui peuvent permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'un service natif privilégié. Ce problème est classé comme étant de gravité élevée, car il peut être utilisé pour accéder à des privilèges qui ne sont pas directement accessibles à une application tierce.

CVE Bug(s) avec les liens AOSP Gravité Versions concernées Date de rapport
CVE-2015-6596 ANDROID-20731946 Haut 5.1 et inférieur Plusieurs
ANDROID-20719651*
ANDROID-19573085 Haut 5,0 - 6,0 Google interne

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d’élévation de privilèges dans le kit d’évaluation d’éléments sécurisés

Une vulnérabilité dans le plugin SEEK (Secure Element Evaluation Kit, alias SmartCard API) pourrait permettre à une application d'obtenir des autorisations élevées sans les demander. Ce problème est classé comme étant de gravité élevée, car il peut être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.

CVE Bug(s) avec les liens AOSP Gravité Versions concernées Date de rapport
CVE-2015-6606 ANDROID-22301786* Haut 5.1 et inférieur 30 juin 2015

* La mise à niveau qui résout ce problème se trouve sur le site SEEK pour Android .

Vulnérabilité d’élévation des privilèges dans la projection multimédia

Une vulnérabilité dans le composant Media Projection peut permettre la divulgation des données des utilisateurs sous forme de captures d'écran. Le problème est dû au fait que le système d'exploitation autorise des noms d'application trop longs. L'utilisation de ces noms longs par une application malveillante locale peut empêcher l'utilisateur de voir un avertissement concernant l'enregistrement d'écran. Ce problème est classé comme étant de gravité modérée, car il peut être utilisé pour obtenir des autorisations élevées de manière inappropriée.

CVE Bug(s) avec les liens AOSP Gravité Versions concernées Date de rapport
CVE-2015-3878 ANDROID-23345192 Modéré 5,0 - 6,0 18 août 2015

Vulnérabilité d’élévation de privilèges dans Bluetooth

Une vulnérabilité dans le composant Bluetooth d'Android pourrait permettre à une application de supprimer les messages SMS stockés. Ce problème est classé comme étant de gravité modérée, car il peut être utilisé pour obtenir des autorisations élevées de manière inappropriée.

CVE Bug(s) avec les liens AOSP Gravité Versions concernées Date de rapport
CVE-2015-3847 ANDROID-22343270 Modéré 5.1 et inférieur 8 juillet 2015

Vulnérabilités d'élévation de privilèges dans SQLite

Plusieurs vulnérabilités ont été découvertes dans le moteur d'analyse SQLite. Ces vulnérabilités peuvent être exploitables par une application locale, ce qui pourrait amener une autre application ou un autre service à exécuter des requêtes SQL arbitraires. Une exploitation réussie pourrait entraîner l’exécution de code arbitraire dans le contexte de l’application cible.

Un correctif a été téléchargé sur AOSP main le 8 avril 2015, mettant à niveau la version SQLite vers 3.8.9 : https://android-review.googlesource.com/#/c/145961/

Ce bulletin contient des correctifs pour les versions SQLite dans Android 4.4 (SQLite 3.7.11) et Android 5.0 et 5.1 (SQLite 3.8.6).

CVE Bug(s) avec les liens AOSP Gravité Versions concernées Date de rapport
CVE-2015-6607 ANDROID-20099586 Modéré 5.1 et inférieur 7 avril 2015
Connu publiquement

Vulnérabilités de déni de service dans Mediaserver

Il existe plusieurs vulnérabilités dans le serveur multimédia qui peuvent provoquer un déni de service en faisant planter le processus du serveur multimédia. Ces problèmes sont classés comme étant de faible gravité, car l'effet se traduit par une panne du serveur multimédia entraînant un déni de service temporaire local.

CVE Bug(s) avec les liens AOSP Gravité Versions concernées Date de rapport
CVE-2015-6605 ANDROID-20915134 Faible 5.1 et inférieur Google interne
ANDROID-23142203
ANDROID-22278703 Faible 5,0 - 6,0 Google interne
CVE-2015-3862 ANDROID-22954006 Faible 5.1 et inférieur 2 août 2015

Révisions

  • 05 octobre 2015 : Bulletin publié.
  • 7 octobre 2015 : Bulletin mis à jour avec les références AOSP. Clarification des références de bogues pour CVE-2014-9028.
  • 12 octobre 2015 : Remerciements mis à jour pour CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
  • 22 janvier 2016 : Remerciements mis à jour pour CVE-2015-6606.
  • 28 avril 2016 : ajout de CVE-2015-6603 et correction d'une faute de frappe avec CVE-2014-9028.