Publié le 2 novembre 2015
Nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour Over-the-Air (OTA) dans le cadre de notre processus de publication mensuelle des bulletins de sécurité Android. Les images du micrologiciel Nexus ont également été publiées sur le site des développeurs Google. Les builds LMY48X ou versions ultérieures et Android Marshmallow avec un niveau de correctif de sécurité du 1er novembre 2015 ou version ultérieure résolvent ces problèmes. Pour en savoir plus, consultez la section Questions fréquentes et réponses.
Les partenaires ont été informés de ces problèmes le 5 octobre 2015 ou avant. Les correctifs de code source pour ces problèmes seront publiés dans le dépôt du projet Android Open Source (AOSP) dans les 48 prochaines heures. Nous réviserons ce bulletin avec les liens vers l'AOSP lorsqu'ils seront disponibles.
Le plus grave de ces problèmes est une faille de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil affecté via plusieurs méthodes, telles que la messagerie, la navigation sur le Web et les MMS lors du traitement de fichiers multimédias. L'évaluation de la gravité est basée sur l'impact potentiel de l'exploitation de la faille sur un appareil concerné, en supposant que les mesures d'atténuation de la plate-forme et du service soient désactivées à des fins de développement ou qu'elles soient contournées.
Nous n'avons reçu aucun signalement d'exploitation active de ces nouveaux problèmes par les clients. Pour en savoir plus sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet, qui améliorent la sécurité de la plate-forme Android, consultez la section Mitigations. Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.
Stratégies d'atténuation
Voici un résumé des mesures d'atténuation fournies par la plate-forme de sécurité Android et les protections de service telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que des failles de sécurité puissent être exploitées sur Android.
- L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux versions plus récentes de la plate-forme Android. Nous encourageons tous les utilisateurs à passer à la dernière version d'Android dans la mesure du possible.
- L'équipe de sécurité Android surveille activement les utilisations abusives avec Verify Apps et SafetyNet, qui avertissent des applications potentiellement dangereuses sur le point d'être installées. Les outils de rootage d'appareils sont interdits sur Google Play. Pour protéger les utilisateurs qui installent des applications en dehors de Google Play, l'option "Vérifier les applications" est activée par défaut et avertit les utilisateurs des applications de root connues. Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une faille d'escalade de privilèges. Si une telle application a déjà été installée, Vérifier les applications en informe l'utilisateur et tente de la supprimer.
- Le cas échéant, les applications Google Hangouts et Messenger ne transfèrent pas automatiquement les contenus multimédias à des processus tels que mediaserver.
Remerciements
Nous tenons à remercier ces chercheurs pour leur contribution:
- Abhishek Arya, Oliver Chang et Martin Barbella, équipe de sécurité Google Chrome : CVE-2015-6608
- Daniel Micay (daniel.micay@copperhead.co) de Copperhead Security: CVE-2015-6609
- Dongkwan Kim du System Security Lab, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
- Hongil Kim du System Security Lab, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
- Jack Tang de Trend Micro (@jacktang310): CVE-2015-6611
- Peter Pi de Trend Micro: CVE-2015-6611
- Natalie Silvanovich de Google Project Zero: CVE-2015-6608
- Qidan He (@flanker_hqd) et Wen Xu (@antlr7) de KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
- Guang Gong (龚广) (@oldfresher, higongguang@gmail.com) de Qihoo 360 Technology Co., Ltd.: CVE-2015-6612
- Seven Shen de Trend Micro: CVE-2015-6610
Détails de la faille de sécurité
Dans les sections ci-dessous, nous fournissons des informations sur chacune des failles de sécurité qui s'appliquent au niveau de correctif 2015-11-01. Vous trouverez une description du problème, une justification de la gravité et un tableau contenant l'ID de la faille CVE, le bug associé, la gravité, les versions concernées et la date de signalement. Le cas échéant, nous avons associé la modification AOSP qui a résolu le problème à l'ID du bug. Lorsque plusieurs modifications concernent un même bug, des références AOSP supplémentaires sont associées à des numéros qui suivent l'ID du bug.
Vulnérabilités d'exécution de code à distance dans Mediaserver
Lors du traitement des fichiers multimédias et des données d'un fichier spécialement conçu, des failles dans mediaserver peuvent permettre à un pirate informatique de corrompre la mémoire et d'exécuter du code à distance en tant que processus mediaserver.
La fonctionnalité concernée est fournie en tant que composante de base du système d'exploitation. Plusieurs applications permettent d'y accéder avec du contenu à distance, en particulier les MMS et la lecture multimédia dans le navigateur.
Ce problème est classé comme critique en raison de la possibilité d'exécution de code à distance dans le contexte du service mediaserver. Le service mediaserver a accès aux flux audio et vidéo, ainsi qu'aux droits auxquels les applications tierces ne peuvent normalement pas accéder.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions affectées | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6608 | ANDROID-19779574 | Critical (Critique) | 5.0, 5.1, 6.0 | Interne Google |
| ANDROID-23680780 | ||||
| ANDROID-23876444 | ||||
| ANDROID-23881715 | Critical (Critique) | 4.4, 5.0, 5.1, 6.0 | Interne Google | |
| ANDROID-14388161 | Critical (Critique) | 4.4 et 5.1 | Interne Google | |
| ANDROID-23658148 | Critical (Critique) | 5.0, 5.1, 6.0 | Interne Google |
Vulnérabilité d'exécution de code à distance dans libutils
Une faille dans libutils, une bibliothèque générique, peut être exploitée lors du traitement des fichiers audio. Cette faille pourrait permettre à un pirate informatique, lors du traitement d'un fichier spécialement conçu, de corrompre la mémoire et d'exécuter du code à distance.
La fonctionnalité concernée est fournie en tant qu'API. Plusieurs applications permettent d'y accéder avec du contenu à distance, en particulier les MMS et la lecture de contenus multimédias dans le navigateur. Ce problème est classé comme critique en raison de la possibilité d'exécution de code à distance dans un service privilégié. Le composant concerné a accès aux flux audio et vidéo, ainsi qu'aux droits d'accès auxquels les applications tierces ne peuvent normalement pas accéder.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions affectées | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6609 | ANDROID-22953624 [2] | Critical (Critique) | 6.0 et versions antérieures | Aug 3, 2015 |
Failles de divulgation d'informations dans Mediaserver
Des failles de divulgation d'informations dans mediaserver peuvent permettre de contourner les mesures de sécurité en place pour rendre l'exploitation de la plate-forme par les pirates informatiques plus difficile.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions affectées | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6611 | ANDROID-23905951 [2] [3] | Élevée | 6.0 et versions antérieures | Sep 07, 2015 |
| ANDROID-23912202* | ||||
| ANDROID-23953967* | ||||
| ANDROID-23696300 | Élevée | 6.0 et versions antérieures | 31 août 2015 | |
| ANDROID-23600291 | Élevée | 6.0 et versions antérieures | 26 août 2015 | |
| ANDROID-23756261 [2] | Élevée | 6.0 et versions antérieures | 26 août 2015 | |
| ANDROID-23540907 [2] | Élevée | 5.1 et versions antérieures | 25 août 2015 | |
| ANDROID-23541506 | Élevée | 6.0 et versions antérieures | 25 août 2015 | |
| ANDROID-23284974* | ||||
| ANDROID-23542351* | ||||
| ANDROID-23542352* | ||||
| ANDROID-23515142 | Élevée | 5.1 et versions antérieures | Aug 19, 2015 |
* Le correctif de ce bug est inclus dans d'autres liens AOSP fournis.
Faille d'élévation des droits dans libstagefright
Une faille d'élévation des privilèges dans libstagefright peut permettre à une application malveillante locale de provoquer une corruption de mémoire et une exécution de code arbitraire dans le contexte du service mediaserver. Bien que ce problème soit normalement classé comme critique, nous l'avons évalué comme étant de gravité élevée, car il est moins susceptible d'être exploité à distance.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions affectées | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6610 | ANDROID-23707088 [2] | Élevée | 6.0 et versions antérieures | Aug 19, 2015 |
Faille d'élévation des droits dans libmedia
Une faille dans libmedia peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du service mediaserver. La gravité de ce problème est élevée, car il peut être utilisé pour accéder à des droits d'accès qui ne sont pas directement accessibles à une application tierce.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions affectées | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6612 | ANDROID-23540426 | Élevée | 6.0 et versions antérieures | 23 août 2015 |
Faille d'élévation des droits dans le Bluetooth
Une faille dans le Bluetooth peut permettre à une application locale d'envoyer des commandes à un port de débogage en écoute sur l'appareil. Ce problème est classé comme étant de gravité élevée, car il peut être utilisé pour obtenir des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles à une application tierce.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions affectées | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6613 | ANDROID-24371736 | Élevée | 6.0 | Interne Google |
Faille d'élévation des droits dans la téléphonie
Une faille dans le composant Telephony peut permettre à une application malveillante locale de transmettre des données non autorisées aux interfaces réseau limitées, ce qui peut avoir un impact sur les frais de données. Il peut également empêcher l'appareil de recevoir des appels et permettre à un pirate informatique de contrôler les paramètres de mise en sourdine des appels. La gravité de ce problème est évaluée comme modérée, car il peut être utilisé pour obtenir de manière incorrecte des autorisations dangereuses.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions affectées | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6614 | ANDROID-21900139 [2] [3] | Modérée | 5.0, 5.1 | 8 juin 2015 |
Questions fréquentes et réponses
Cette section répond aux questions fréquentes qui peuvent se poser après la lecture de ce bulletin.
1. Comment savoir si mon appareil a été mis à jour pour résoudre ces problèmes ?
Les builds LMY48X ou versions ultérieures et Android Marshmallow avec un niveau de correctif de sécurité du 1er novembre 2015 ou version ultérieure résolvent ces problèmes. Pour savoir comment vérifier le niveau du correctif de sécurité, consultez la documentation Nexus. Les fabricants d'appareils qui incluent ces mises à jour doivent définir le niveau de la chaîne de correctif sur : [ro.build.version.security_patch]:[2015-11-01]
Révisions
- 2 novembre 2015: date de publication initiale