Publié le 7 décembre 2015 | Mis à jour le 7 mars 2016
Nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour Over-the-Air (OTA) dans le cadre de notre processus de publication mensuelle des bulletins de sécurité Android. Les images du micrologiciel Nexus ont également été publiées sur le site des développeurs Google. Les builds LMY48Z ou versions ultérieures et Android 6.0 avec le niveau de correctif de sécurité du 1er décembre 2015 ou version ultérieure résolvent ces problèmes. Pour en savoir plus, consultez la section Questions fréquentes et réponses.
Les partenaires ont été informés de ces problèmes et ont reçu des informations à leur sujet le 2 novembre 2015 ou avant. Le cas échéant, des correctifs de code source pour ces problèmes ont été publiés dans le dépôt du projet Android Open Source (AOSP).
Le plus grave de ces problèmes est une faille de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil affecté via plusieurs méthodes, telles que la messagerie, la navigation sur le Web et les MMS lors du traitement de fichiers multimédias. L'évaluation de la gravité est basée sur l'impact potentiel de l'exploitation de la faille sur un appareil concerné, en supposant que les mesures d'atténuation de la plate-forme et du service soient désactivées à des fins de développement ou qu'elles soient contournées.
Nous n'avons reçu aucun signalement d'exploitation active de ces nouveaux problèmes par les clients. Pour en savoir plus sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet, qui améliorent la sécurité de la plate-forme Android, consultez la section Mitigations. Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.
Stratégies d'atténuation
Voici un résumé des mesures d'atténuation fournies par la plate-forme de sécurité Android et les protections de service telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que des failles de sécurité puissent être exploitées sur Android.
- L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux versions plus récentes de la plate-forme Android. Nous encourageons tous les utilisateurs à passer à la dernière version d'Android dans la mesure du possible.
- L'équipe de sécurité Android surveille activement les utilisations abusives avec Verify Apps et SafetyNet, qui avertissent des applications potentiellement dangereuses sur le point d'être installées. Les outils de rootage d'appareils sont interdits sur Google Play. Pour protéger les utilisateurs qui installent des applications en dehors de Google Play, l'option "Vérifier les applications" est activée par défaut et avertit les utilisateurs des applications de root connues. Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une faille d'escalade de privilèges. Si une telle application a déjà été installée, Vérifier les applications en informe l'utilisateur et tente de la supprimer.
- Le cas échéant, les applications Google Hangouts et Messenger ne transfèrent pas automatiquement les contenus multimédias à des processus tels que mediaserver.
Remerciements
Nous tenons à remercier ces chercheurs pour leur contribution:
- Abhishek Arya, Oliver Chang et Martin Barbella de l'équipe de sécurité Google Chrome: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633, CVE-2015-6634
- Flanker (@flanker_hqd) de la KeenTeam (@K33nTeam): CVE-2015-6620
- Guang Gong (龚广) (@oldfresher, higongguang@gmail.com) de Qihoo 360 Technology Co.Ltd: CVE-2015-6626
- Mark Carter (@hanpingchinese) d'EmberMitre Ltd: CVE-2015-6630
- Michał Bednarski (https://github.com/michalbednarski): CVE-2015-6621
- Natalie Silvanovich de Google Project Zero: CVE-2015-6616
- Peter Pi de Trend Micro: CVE-2015-6616, CVE-2015-6628
- Qidan He (@flanker_hqd) et Marco Grassi (@marcograss) de KeenTeam (@K33nTeam): CVE-2015-6622
- Tzu-Yin (Nina) Tai: CVE-2015-6627
- Joaquín Rinaudo (@xeroxnir) du Programa STIC de la Fundación Dr. Manuel Sadosky, Buenos Aires, Argentine: CVE-2015-6631
- Wangtao (neobyte) de l'équipe X de Baidu: CVE-2015-6626
Détails de la faille de sécurité
Dans les sections ci-dessous, nous fournissons des informations sur chacune des failles de sécurité qui s'appliquent au niveau de correctif 2015-12-01. Vous trouverez une description du problème, une justification de la gravité et un tableau contenant l'ID de la faille CVE, le bug associé, la gravité, les versions mises à jour et la date de signalement. Lorsque disponible, nous associerons la modification AOSP qui a résolu le problème à l'ID de bug. Lorsque plusieurs modifications concernent un même bug, des références AOSP supplémentaires sont associées à des numéros qui suivent l'ID du bug.
Vulnérabilités d'exécution de code à distance dans Mediaserver
Lors du traitement des fichiers multimédias et des données d'un fichier spécialement conçu, des failles dans mediaserver peuvent permettre à un pirate informatique de corrompre la mémoire et d'exécuter du code à distance en tant que processus mediaserver.
La fonctionnalité concernée est fournie en tant que composante de base du système d'exploitation. Plusieurs applications permettent d'y accéder avec du contenu à distance, en particulier les MMS et la lecture multimédia dans le navigateur.
Ce problème est classé comme critique en raison de la possibilité d'exécution de code à distance dans le contexte du service mediaserver. Le service mediaserver a accès aux flux audio et vidéo, ainsi qu'aux droits auxquels les applications tierces ne peuvent normalement pas accéder.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6616 | ANDROID-24630158 | Critical (Critique) | 6.0 et versions antérieures | Interne Google |
| ANDROID-23882800 | Critical (Critique) | 6.0 et versions antérieures | Interne Google | |
| ANDROID-17769851 | Critical (Critique) | 5.1 et versions antérieures | Interne Google | |
| ANDROID-24441553 | Critical (Critique) | 6.0 et versions antérieures | Sep 22, 2015 | |
| ANDROID-24157524 | Critical (Critique) | 6.0 | Sep 08, 2015 |
Faille d'exécution de code à distance dans Skia
Une faille dans le composant Skia peut être exploitée lors du traitement d'un fichier multimédia spécialement conçu, ce qui peut entraîner une corruption de la mémoire et une exécution de code à distance dans un processus privilégié. Ce problème est classé comme critique en raison de la possibilité d'exécution de code à distance via plusieurs méthodes d'attaque telles que la messagerie, la navigation Web et les MMS lors du traitement de fichiers multimédias.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6617 | ANDROID-23648740 | Critical (Critique) | 6.0 et versions antérieures | Réservé à Google |
Élévation des droits dans le noyau
Une faille d'escalade de privilèges dans le noyau du système peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte racine de l'appareil. Ce problème est classé comme critique en raison de la possibilité d'une compromission locale permanente de l'appareil. L'appareil ne peut être réparé qu'en reflashant le système d'exploitation.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6619 | ANDROID-23520714 | Critical (Critique) | 6.0 et versions antérieures | 7 juin 2015 |
Vulnérabilités d'exécution de code à distance dans le pilote d'affichage
Des failles dans les pilotes d'affichage peuvent entraîner, lors du traitement d'un fichier multimédia, une corruption de la mémoire et une exécution de code arbitraire potentielle dans le contexte du pilote en mode utilisateur chargé par mediaserver. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance via plusieurs méthodes d'attaque telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6633 | ANDROID-23987307* | Critical (Critique) | 6.0 et versions antérieures | Interne Google |
| CVE-2015-6634 | ANDROID-24163261 [2] [3] [4] | Critical (Critique) | 5.1 et versions antérieures | Interne Google |
*Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Vulnérabilité d'exécution de code à distance dans le Bluetooth
Une faille dans le composant Bluetooth d'Android pouvait permettre l'exécution de code à distance. Toutefois, plusieurs étapes manuelles sont nécessaires pour que cela se produise. Pour ce faire, vous devez disposer d'un appareil associé, après l'activation du profil de réseau personnel (PAN) (par exemple, à l'aide du partage de connexion Bluetooth) et l'association de l'appareil. L'exécution de code à distance serait réservée au service Bluetooth. Un appareil n'est vulnérable à ce problème que par un appareil associé à proximité.
La gravité de ce problème est évaluée comme élevée, car un pirate informatique ne peut exécuter du code arbitraire à distance qu'après plusieurs étapes manuelles et à partir d'un pirate informatique à proximité qui était auparavant autorisé à associer un appareil.
| CVE | Bug(s) | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6618 | ANDROID-24595992* | Élevée | 4.4, 5.0 et 5.1 | 28 septembre 2015 |
*Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Failles d'élévation des droits dans libstagefright
Libstagefright comporte plusieurs failles qui pourraient permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du service mediaserver. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles aux applications tierces.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6620 | ANDROID-24123723 | Élevée | 6.0 et versions antérieures | Sep 10, 2015 |
| ANDROID-24445127 | Élevée | 6.0 et versions antérieures | Sep 2, 2015 |
Faille d'élévation des droits dans SystemUI
Lorsque vous définissez une alarme à l'aide de l'application Horloge, une faille dans le composant SystemUI peut permettre à une application d'exécuter une tâche à un niveau d'autorisation élevé. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles aux applications tierces.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6621 | ANDROID-23909438 | Élevée | 5.0, 5.1 et 6.0 | Sep 7, 2015 |
Faille de divulgation d'informations dans la bibliothèque de frameworks natifs
Une faille de divulgation d'informations dans la bibliothèque Android Native Frameworks pourrait permettre de contourner les mesures de sécurité en place pour rendre plus difficile l'exploitation de la plate-forme par des pirates informatiques. Ces problèmes sont classés comme étant de gravité élevée, car ils peuvent également être utilisés pour obtenir des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles aux applications tierces.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6622 | ANDROID-23905002 | Élevée | 6.0 et versions antérieures | Sep 7, 2015 |
Faille d'élévation des droits dans le Wi-Fi
Une faille d'élévation des privilèges dans le Wi-Fi peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'un service système élevé. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des fonctionnalités étendues, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles à une application tierce.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6623 | ANDROID-24872703 | Élevée | 6.0 | Interne Google |
Vulnérabilité d'élévation des droits dans le serveur système
Une faille d'élévation des privilèges dans le composant System Server peut permettre à une application malveillante locale d'accéder aux informations liées au service. Ce problème est classé comme étant de gravité élevée, car il peut être utilisé pour obtenir des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles aux applications tierces.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6624 | ANDROID-23999740 | Élevée | 6.0 | Réservé à Google |
Failles de divulgation d'informations dans libstagefright
Des failles de divulgation d'informations sont présentes dans libstagefright. Lors de la communication avec mediaserver, elles peuvent permettre de contourner les mesures de sécurité en place pour rendre plus difficile l'exploitation de la plate-forme par des pirates informatiques. Ces problèmes sont classés comme étant de gravité élevée, car ils peuvent également être utilisés pour obtenir des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles aux applications tierces.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6632 | ANDROID-24346430 | Élevée | 6.0 et versions antérieures | Interne Google |
| CVE-2015-6626 | ANDROID-24310423 | Élevée | 6.0 et versions antérieures | Sep 2, 2015 |
| CVE-2015-6631 | ANDROID-24623447 | Élevée | 6.0 et versions antérieures | 21 août 2015 |
Vulnérabilité de divulgation d'informations dans l'audio
Une faille dans le composant Audio peut être exploitée lors du traitement des fichiers audio. Cette faille pourrait permettre à une application malveillante locale, lors du traitement d'un fichier spécialement conçu, de divulguer des informations. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles aux applications tierces.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6627 | ANDROID-24211743 | Élevée | 6.0 et versions antérieures | Interne Google |
Faille de divulgation d'informations dans le framework Media
Une faille de divulgation d'informations est présente dans Media Framework. Lors de la communication avec mediaserver, elle peut permettre de contourner les mesures de sécurité en place pour rendre l'exploitation de la plate-forme par des pirates informatiques plus difficile. Ce problème est classé comme étant de gravité élevée, car il peut également être utilisé pour obtenir des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles aux applications tierces.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6628 | ANDROID-24074485 | Élevée | 6.0 et versions antérieures | 8 septembre 2015 |
Faille de divulgation d'informations sur le Wi-Fi
Une faille dans le composant Wi-Fi peut permettre à un pirate informatique de provoquer la divulgation d'informations par le service Wi-Fi. Ce problème est classé comme étant de gravité élevée, car il peut être utilisé pour obtenir des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles aux applications tierces.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6629 | ANDROID-22667667 | Élevée | 5.1 et 5.0 | Interne Google |
Vulnérabilité d'élévation des droits dans le serveur système
Une faille d'élévation des privilèges sur le serveur système peut permettre à une application malveillante locale d'accéder aux informations liées au service Wi-Fi. La gravité de ce problème est évaluée comme modérée, car il pourrait être utilisé pour obtenir de manière inappropriée des autorisations dangereuses.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6625 | ANDROID-23936840 | Modérée | 6.0 | Interne Google |
Faille de divulgation d'informations dans SystemUI
Une faille de divulgation d'informations dans SystemUI peut permettre à une application malveillante locale d'accéder aux captures d'écran. Ce problème est classé comme étant de gravité modérée, car il pourrait être utilisé pour obtenir de manière inappropriée des autorisations dangereuses.
| CVE | Bug(s) liés aux liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2015-6630 | ANDROID-19121797 | Modérée | 5.0, 5.1 et 6.0 | 22 janvier 2015 |
Questions fréquentes et réponses
Cette section répond aux questions fréquentes qui peuvent se poser après la lecture de ce bulletin.
1. Comment savoir si mon appareil a été mis à jour pour résoudre ces problèmes ?
Les builds LMY48Z ou versions ultérieures et Android 6.0 avec le niveau de correctif de sécurité du 1er décembre 2015 ou version ultérieure résolvent ces problèmes. Pour savoir comment vérifier le niveau du correctif de sécurité, consultez la documentation Nexus. Les fabricants d'appareils qui incluent ces mises à jour doivent définir le niveau de la chaîne de correctif sur : [ro.build.version.security_patch]:[2015-12-01]
Révisions
- 7 décembre 2015: publication initiale
- 9 décembre 2015: le bulletin a été révisé pour inclure des liens vers AOSP.
- 22 décembre 2015: ajout du crédit manquant dans la section "Remerciements".
- 7 mars 2016: ajout du crédit manquant dans la section "Remerciements".