Publié le 07 décembre 2015 | Mis à jour le 7 mars 2016
Nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour en direct (OTA) dans le cadre de notre processus de publication mensuelle du bulletin de sécurité Android. Les images du micrologiciel Nexus ont également été publiées sur le site Google Developer . Les versions LMY48Z ou ultérieures et Android 6.0 avec le niveau de correctif de sécurité du 1er décembre 2015 ou ultérieur résolvent ces problèmes. Reportez-vous à la section Questions et réponses courantes pour plus de détails.
Les partenaires ont été informés de ces problèmes et ont fourni des mises à jour pour ces problèmes le 2 novembre 2015 ou avant. Le cas échéant, des correctifs de code source pour ces problèmes ont été publiés dans le référentiel Android Open Source Project (AOSP).
Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil affecté via plusieurs méthodes telles que la messagerie électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias. L' évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les atténuations de la plate-forme et du service sont désactivées à des fins de développement ou si elles sont contournées avec succès.
Nous n'avons eu aucun rapport d'exploitation active par les clients de ces problèmes nouvellement signalés. Reportez-vous à la section Atténuations pour plus de détails sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet, qui améliorent la sécurité de la plate-forme Android. Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.
Atténuations
Il s'agit d'un résumé des mesures d'atténuation fournies par la plate- forme de sécurité Android et les protections de service telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que les vulnérabilités de sécurité puissent être exploitées avec succès sur Android.
- L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux nouvelles versions de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour la dernière version d'Android dans la mesure du possible.
- L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet qui avertiront des applications potentiellement dangereuses sur le point d'être installées. Les outils d'enracinement d'appareils sont interdits dans Google Play. Pour protéger les utilisateurs qui installent des applications en dehors de Google Play, Vérifier les applications est activé par défaut et avertira les utilisateurs des applications d'enracinement connues. Vérifier les applications tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'élévation de privilèges. Si une telle application a déjà été installée, Verify Apps avertira l'utilisateur et tentera de supprimer ces applications.
- Le cas échéant, les applications Google Hangouts et Messenger ne transmettent pas automatiquement les médias aux processus tels que le serveur multimédia.
Remerciements
Nous tenons à remercier ces chercheurs pour leurs contributions :
- Abhishek Arya, Oliver Chang et Martin Barbella de l'équipe de sécurité de Google Chrome : CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , CVE-2015-6634
- Dériveur ( @flanker_hqd ) de KeenTeam ( @K33nTeam ): CVE-2015-6620
- Guang Gong (龚广) ( @oldfresher , higongguang@gmail.com) de Qihoo 360 Technology Co.Ltd : CVE-2015-6626
- Mark Carter ( @hanpingchinese ) de EmberMitre Ltd : CVE-2015-6630
- Michał Bednarski ( https://github.com/michalbednarski ): CVE-2015-6621
- Natalie Silvanovitch de Google Project Zero : CVE-2015-6616
- Peter Pi de Trend Micro : CVE-2015-6616, CVE-2015-6628
- Qidan He ( @flanker_hqd ) et Marco Grassi ( @marcograss ) de KeenTeam ( @K33nTeam ): CVE-2015-6622
- Tzu-Yin (Nina) Tai : CVE-2015-6627
- Joaquín Rinaudo ( @xeroxnir ) de Programa STIC à la Fundación Dr. Manuel Sadosky, Buenos Aires, Argentine : CVE-2015-6631
- Wangtao (néooctet) de Baidu X-Team : CVE-2015-6626
Détails de la vulnérabilité de sécurité
Dans les sections ci-dessous, nous fournissons des détails pour chacune des vulnérabilités de sécurité qui s'appliquent au niveau de correctif 2015-12-01. Il y a une description du problème, une justification de la gravité et un tableau avec le CVE, le bogue associé, la gravité, les versions mises à jour et la date signalée. Lorsqu'il sera disponible, nous lierons le changement AOSP qui a résolu le problème à l'ID de bogue. Lorsque plusieurs modifications concernent un seul bogue, des références AOSP supplémentaires sont liées aux numéros suivant l'ID de bogue.
Vulnérabilités d'exécution de code à distance dans Mediaserver
Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, des vulnérabilités dans le serveur multimédia pourraient permettre à un attaquant de provoquer une corruption de la mémoire et l'exécution de code à distance en tant que processus du serveur multimédia.
La fonctionnalité concernée est fournie en tant que partie centrale du système d'exploitation et il existe plusieurs applications qui permettent d'y accéder avec du contenu à distance, notamment la lecture de médias par MMS et navigateur.
Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance dans le contexte du service de serveur multimédia. Le service de serveur multimédia a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2015-6616 | ANDROID-24630158 | Critique | 6.0 et inférieur | Interne Google |
| ANDROID-23882800 | Critique | 6.0 et inférieur | Interne Google | |
| ANDROID-17769851 | Critique | 5.1 et inférieur | Interne Google | |
| ANDROID-24441553 | Critique | 6.0 et inférieur | 22 septembre 2015 | |
| ANDROID-24157524 | Critique | 6.0 | 08 septembre 2015 |
Vulnérabilité d'exécution de code à distance dans Skia
Une vulnérabilité dans le composant Skia peut être exploitée lors du traitement d'un fichier multimédia spécialement conçu, ce qui pourrait entraîner une corruption de la mémoire et l'exécution de code à distance dans un processus privilégié. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance via plusieurs méthodes d'attaque telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2015-6617 | ANDROID-23648740 | Critique | 6.0 et inférieur | Google interne |
Élévation de privilège dans le noyau
Une vulnérabilité d'élévation des privilèges dans le noyau du système pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte racine de l'appareil. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission permanente de l'appareil local et l'appareil ne peut être réparé qu'en reflashant le système d'exploitation.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2015-6619 | ANDROID-23520714 | Critique | 6.0 et inférieur | 7 juin 2015 |
Vulnérabilités d'exécution de code à distance dans le pilote d'affichage
Il existe des vulnérabilités dans les pilotes d'affichage qui, lors du traitement d'un fichier multimédia, pourraient entraîner une corruption de la mémoire et une éventuelle exécution de code arbitraire dans le contexte du pilote en mode utilisateur chargé par le serveur multimédia. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance via plusieurs méthodes d'attaque telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2015-6633 | ANDROID-23987307* | Critique | 6.0 et inférieur | Interne Google |
| CVE-2015-6634 | ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] | Critique | 5.1 et inférieur | Interne Google |
*Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .
Vulnérabilité d'exécution de code à distance dans Bluetooth
Une vulnérabilité dans le composant Bluetooth d'Android pourrait permettre l'exécution de code à distance. Cependant, plusieurs étapes manuelles sont nécessaires avant que cela ne se produise. Pour ce faire, il faudrait un appareil jumelé avec succès, après que le profil de réseau personnel (PAN) est activé (par exemple en utilisant Bluetooth Tethering) et que l'appareil est jumelé. L'exécution du code à distance serait au privilège du service Bluetooth. Un appareil n'est vulnérable à ce problème qu'à partir d'un appareil jumelé avec succès lorsqu'il se trouve à proximité locale.
Ce problème est classé comme étant de gravité élevée, car un attaquant ne peut exécuter à distance du code arbitraire qu'après plusieurs étapes manuelles et à partir d'un attaquant local proche qui avait précédemment été autorisé à coupler un appareil.
| CVE | Insectes) | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2015-6618 | ANDROID-24595992* | Haute | 4.4, 5.0 et 5.1 | 28 septembre 2015 |
*Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .
Élévation des vulnérabilités de privilège dans libstagefright
Il existe plusieurs vulnérabilités dans libstagefright qui pourraient permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du service mediaserver. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2015-6620 | ANDROID-24123723 | Haute | 6.0 et inférieur | 10 septembre 2015 |
| ANDROID-24445127 | Haute | 6.0 et inférieur | 2 septembre 2015 |
Vulnérabilité d'élévation de privilèges dans SystemUI
Lors de la définition d'une alarme à l'aide de l'application d'horloge, une vulnérabilité dans le composant SystemUI pourrait permettre à une application d'exécuter une tâche à un niveau de privilège élevé. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2015-6621 | ANDROID-23909438 | Haute | 5.0, 5.1 et 6.0 | 7 septembre 2015 |
Vulnérabilité de divulgation d'informations dans la bibliothèque de frameworks natifs
Une vulnérabilité de divulgation d'informations dans Android Native Frameworks Library pourrait permettre de contourner les mesures de sécurité en place pour augmenter la difficulté des attaquants à exploiter la plate-forme. Ces problèmes sont classés comme étant de gravité élevée, car ils peuvent également être utilisés pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2015-6622 | ANDROID-23905002 | Haute | 6.0 et inférieur | 7 septembre 2015 |
Vulnérabilité d'élévation de privilèges dans le Wi-Fi
Une vulnérabilité d'élévation des privilèges dans le Wi-Fi pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'un service système élevé. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2015-6623 | ANDROID-24872703 | Haute | 6.0 | Interne Google |
Vulnérabilité d'élévation de privilèges dans System Server
Une vulnérabilité d'élévation des privilèges dans le composant System Server pourrait permettre à une application malveillante locale d'accéder aux informations liées au service. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2015-6624 | ANDROID-23999740 | Haute | 6.0 | Google interne |
Vulnérabilités de divulgation d'informations dans libstagefright
Il existe des vulnérabilités de divulgation d'informations dans libstagefright qui, lors de la communication avec le serveur multimédia, pourraient permettre de contourner les mesures de sécurité en place pour augmenter la difficulté des attaquants à exploiter la plate-forme. Ces problèmes sont classés comme étant de gravité élevée, car ils peuvent également être utilisés pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2015-6632 | ANDROID-24346430 | Haute | 6.0 et inférieur | Interne Google |
| CVE-2015-6626 | ANDROID-24310423 | Haute | 6.0 et inférieur | 2 septembre 2015 |
| CVE-2015-6631 | ANDROID-24623447 | Haute | 6.0 et inférieur | 21 août 2015 |
Vulnérabilité de divulgation d'informations dans l'audio
Une vulnérabilité dans le composant Audio pourrait être exploitée lors du traitement du fichier audio. Cette vulnérabilité pourrait permettre à une application malveillante locale, lors du traitement d'un fichier spécialement conçu, de provoquer la divulgation d'informations. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2015-6627 | ANDROID-24211743 | Haute | 6.0 et inférieur | Interne Google |
Vulnérabilité de divulgation d'informations dans le cadre des médias
Il existe une vulnérabilité de divulgation d'informations dans Media Framework qui, lors de la communication avec le serveur multimédia, pourrait permettre de contourner les mesures de sécurité en place pour augmenter la difficulté des attaquants à exploiter la plate-forme. Ce problème est classé comme étant de gravité élevée, car il peut également être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2015-6628 | ANDROID-24074485 | Haute | 6.0 et inférieur | 8 septembre 2015 |
Vulnérabilité de divulgation d'informations dans le Wi-Fi
Une vulnérabilité dans le composant Wi-Fi pourrait permettre à un attaquant d'amener le service Wi-Fi à divulguer des informations. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2015-6629 | ANDROID-22667667 | Haute | 5.1 et 5.0 | Interne Google |
Vulnérabilité d'élévation de privilèges dans System Server
Une vulnérabilité d'élévation des privilèges dans le serveur système pourrait permettre à une application malveillante locale d'accéder aux informations liées au service Wi-Fi. Ce problème est classé comme étant de gravité modérée, car il pourrait être utilisé pour obtenir de manière inappropriée des autorisations « dangereuses ».
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2015-6625 | ANDROID-23936840 | Modéré | 6.0 | Interne Google |
Vulnérabilité de divulgation d'informations dans SystemUI
Une vulnérabilité de divulgation d'informations dans l'interface utilisateur système pourrait permettre à une application malveillante locale d'accéder à des captures d'écran. Ce problème est classé comme étant de gravité modérée, car il pourrait être utilisé pour obtenir de manière inappropriée des autorisations « dangereuses ».
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2015-6630 | ANDROID-19121797 | Modéré | 5.0, 5.1 et 6.0 | 22 janvier 2015 |
Questions et réponses courantes
Cette section passera en revue les réponses aux questions courantes qui peuvent survenir après la lecture de ce bulletin.
1. Comment puis-je déterminer si mon appareil est mis à jour pour résoudre ces problèmes ?
Les versions LMY48Z ou ultérieures et Android 6.0 avec le niveau de correctif de sécurité du 1er décembre 2015 ou ultérieur résolvent ces problèmes. Reportez-vous à la documentation Nexus pour savoir comment vérifier le niveau du correctif de sécurité. Les fabricants d'appareils qui incluent ces mises à jour doivent définir le niveau de chaîne de correctif sur : [ro.build.version.security_patch] : [2015-12-01]
Révisions
- 07 décembre 2015 : Publié à l'origine
- 09 décembre 2015 : Bulletin révisé pour inclure les liens AOSP.
- 22 décembre 2015 : Ajout du crédit manquant à la section Remerciements.
- 07 mars 2016 : Ajout du crédit manquant à la section Remerciements.