Bulletin de sécurité Nexus—Janvier 2016,Bulletin de sécurité Nexus—Janvier 2016

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Publié le 04 janvier 2016 | Mis à jour le 28 avril 2016

Nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour en direct (OTA) dans le cadre de notre processus de publication mensuelle du bulletin de sécurité Android. Les images du micrologiciel Nexus ont également été publiées sur le site Google Developer . Les versions LMY49F ou ultérieures et Android 6.0 avec le niveau de correctif de sécurité du 1er janvier 2016 ou ultérieur résolvent ces problèmes. Reportez-vous à la section Questions et réponses courantes pour plus de détails.

Les partenaires ont été informés et ont fourni des mises à jour pour les problèmes décrits dans ce bulletin le 7 décembre 2015 ou avant. Le cas échéant, des correctifs de code source pour ces problèmes ont été publiés dans le référentiel Android Open Source Project (AOSP).

Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil affecté via plusieurs méthodes telles que la messagerie électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias. L' évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les atténuations de la plate-forme et du service sont désactivées à des fins de développement ou si elles sont contournées avec succès.

Nous n'avons eu aucun rapport d'exploitation active par les clients de ces problèmes nouvellement signalés. Reportez-vous à la section Atténuations pour plus de détails sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet, qui améliorent la sécurité de la plate-forme Android. Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.

Atténuations

Il s'agit d'un résumé des mesures d'atténuation fournies par la plate- forme de sécurité Android et les protections de service telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que les vulnérabilités de sécurité puissent être exploitées avec succès sur Android.

  • L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux nouvelles versions de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour la dernière version d'Android dans la mesure du possible.
  • L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet qui avertiront des applications potentiellement dangereuses sur le point d'être installées. Les outils d'enracinement d'appareils sont interdits dans Google Play. Pour protéger les utilisateurs qui installent des applications en dehors de Google Play, Vérifier les applications est activé par défaut et avertira les utilisateurs des applications d'enracinement connues. Vérifier les applications tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'élévation de privilèges. Si une telle application a déjà été installée, Verify Apps avertira l'utilisateur et tentera de supprimer ces applications.
  • Le cas échéant, les applications Google Hangouts et Messenger ne transmettent pas automatiquement les médias aux processus tels que le serveur multimédia.

Remerciements

Nous tenons à remercier ces chercheurs pour leurs contributions :

  • Abhishek Arya, Oliver Chang et Martin Barbella de l'équipe de sécurité de Google Chrome : CVE-2015-6636
  • Sen Nie ( @nforest_ ) et jfang du laboratoire KEEN, Tencent ( @K33nTeam ): CVE-2015-6637
  • Yabin Cui de l'équipe Android Bionic : CVE-2015-6640
  • Tom Craig de Google X : CVE-2015-6641
  • Jann Horn ( https://thejh.net ): CVE-2015-6642
  • Jouni Malinen PGP id EFC895FA : CVE-2015-5310
  • Quan Nguyen de l'équipe d'ingénieurs en sécurité de l'information de Google : CVE-2015-6644
  • Gal Beniamini ( @laginimaineb , http://bits-Please.blogspot.com ): CVE-2015-6639

Détails de la vulnérabilité de sécurité

Dans les sections ci-dessous, nous fournissons des détails pour chacune des vulnérabilités de sécurité qui s'appliquent au niveau de correctif 2016-01-01. Il y a une description du problème, une justification de la gravité et un tableau avec le CVE, le bogue associé, la gravité, les versions mises à jour et la date signalée. Lorsqu'il sera disponible, nous lierons le changement AOSP qui a résolu le problème à l'ID de bogue. Lorsque plusieurs modifications concernent un seul bogue, des références AOSP supplémentaires sont liées aux numéros suivant l'ID de bogue.

Vulnérabilité d'exécution de code à distance dans Mediaserver

Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, des vulnérabilités dans le serveur multimédia pourraient permettre à un attaquant de provoquer une corruption de la mémoire et l'exécution de code à distance en tant que processus du serveur multimédia.

La fonctionnalité concernée est fournie en tant que partie centrale du système d'exploitation et il existe plusieurs applications qui permettent d'y accéder avec du contenu à distance, notamment la lecture de médias par MMS et navigateur.

Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance dans le contexte du service de serveur multimédia. Le service de serveur multimédia a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.

CVE Bug(s) avec les liens AOSP Gravité Versions mises à jour Date du rapport
CVE-2015-6636 ANDROID-25070493 Critique 5.0, 5.1.1, 6.0, 6.0.1 Interne Google
ANDROID-24686670 Critique 5.0, 5.1.1, 6.0, 6.0.1 Interne Google

Vulnérabilité d'élévation de privilèges dans le pilote misc-sd

Une vulnérabilité d'élévation de privilèges dans le pilote misc-sd de MediaTek pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission permanente de l'appareil local, auquel cas l'appareil devra peut-être être réparé en reflashant le système d'exploitation.

CVE Insectes) Gravité Versions mises à jour Date du rapport
CVE-2015-6637 ANDROID-25307013* Critique 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26 octobre 2015

* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilèges dans le pilote Imagination Technologies

Une vulnérabilité d'élévation de privilèges dans un pilote de noyau d'Imagination Technologies pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission permanente de l'appareil local, auquel cas l'appareil devra peut-être être réparé en reflashant le système d'exploitation.

CVE Insectes) Gravité Versions mises à jour Date du rapport
CVE-2015-6638 ANDROID-24673908* Critique 5.0, 5.1.1, 6.0, 6.0.1 Interne Google

* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilités d'élévation des privilèges dans Trustzone

L'élévation des vulnérabilités de privilège dans l'application Widevine QSEE TrustZone pourrait permettre à une application privilégiée de compromis ayant accès à QSEECOM d'exécuter du code arbitraire dans le contexte Trustzone. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission permanente de l'appareil local, auquel cas l'appareil devra peut-être être réparé en reflashant le système d'exploitation.

CVE Insectes) Gravité Versions mises à jour Date du rapport
CVE-2015-6639 ANDROID-24446875* Critique 5.0, 5.1.1, 6.0, 6.0.1 23 septembre 2015
CVE-2015-6647 ANDROID-24441554* Critique 5.0, 5.1.1, 6.0, 6.0.1 27 septembre 2015

* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilèges dans le noyau

Une vulnérabilité d'élévation des privilèges dans le noyau pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission permanente de l'appareil local, auquel cas l'appareil devra peut-être être réparé en reflashant le système d'exploitation.

CVE Bug(s) avec le lien AOSP Gravité Versions mises à jour Date du rapport
CVE-2015-6640 ANDROID-20017123 Critique 4.4.4, 5.0, 5.1.1, 6.0 Interne Google

Vulnérabilité d'élévation de privilèges dans Bluetooth

Une vulnérabilité d'élévation des privilèges dans le composant Bluetooth pourrait permettre à un appareil distant couplé via Bluetooth d'accéder aux informations privées de l'utilisateur (contacts). Ce problème est classé comme étant de gravité élevée car il pourrait être utilisé pour obtenir des fonctionnalités « dangereuses » à distance, ces autorisations ne sont accessibles qu'aux applications tierces installées localement.

CVE Bug(s) avec les liens AOSP Gravité Versions mises à jour Date du rapport
CVE-2015-6641 ANDROID-23607427 [ 2 ] Haute 6.0, 6.0.1 Interne Google

Vulnérabilité de divulgation d'informations dans le noyau

Une vulnérabilité de divulgation d'informations dans le noyau pourrait permettre de contourner les mesures de sécurité en place pour augmenter la difficulté des attaquants à exploiter la plate-forme. Ces problèmes sont classés comme étant de gravité élevée, car ils peuvent également être utilisés pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.

CVE Insectes) Gravité Versions mises à jour Date du rapport
CVE-2015-6642 ANDROID-24157888* Haute 4.4.4, 5.0, 5.1.1, 6.0 12 septembre 2015

* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilèges dans l'assistant de configuration

Une vulnérabilité d'élévation des privilèges dans l'assistant de configuration pourrait permettre à un attaquant disposant d'un accès physique à l'appareil d'accéder aux paramètres de l'appareil et d'effectuer une réinitialisation manuelle de l'appareil. Ce problème est classé comme étant de gravité modérée, car il pourrait être utilisé pour contourner de manière incorrecte la protection contre la réinitialisation d'usine.

CVE Bug(s) avec les liens AOSP Gravité Versions mises à jour Date du rapport
CVE-2015-6643 ANDROID-25290269 [ 2 ] Modéré 5.1.1, 6.0, 6.0.1 Interne Google

Vulnérabilité d'élévation de privilèges dans le Wi-Fi

Une vulnérabilité d'élévation des privilèges dans le composant Wi-Fi pourrait permettre à un attaquant local proche d'accéder aux informations liées au service Wi-Fi. Un appareil n'est vulnérable à ce problème que lorsqu'il se trouve à proximité. Ce problème est classé comme étant de gravité modérée car il pourrait être utilisé pour obtenir des fonctionnalités « normales » à distance, ces autorisations ne sont accessibles qu'aux applications tierces installées localement.

CVE Bug(s) avec les liens AOSP Gravité Versions mises à jour Date du rapport
CVE-2015-5310 ANDROID-25266660 Modéré 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 octobre 2015

Vulnérabilité de divulgation d'informations dans le château gonflable

Une vulnérabilité de divulgation d'informations dans Bouncy Castle pourrait permettre à une application malveillante locale d'accéder aux informations privées de l'utilisateur. Ce problème est classé comme étant de gravité modérée, car il pourrait être utilisé pour obtenir de manière inappropriée des autorisations « dangereuses ».

CVE Bug(s) avec les liens AOSP Gravité Versions mises à jour Date du rapport
CVE-2015-6644 ANDROID-24106146 Modéré 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 Interne Google

Vulnérabilité de déni de service dans SyncManager

Une vulnérabilité de déni de service dans le SyncManager pourrait permettre à une application malveillante locale de provoquer une boucle de redémarrage. Ce problème est classé comme étant de gravité modérée car il pourrait être utilisé pour provoquer un déni de service temporaire local qui devrait éventuellement être résolu via une réinitialisation d'usine.

CVE Bug(s) avec les liens AOSP Gravité Versions mises à jour Date du rapport
CVE-2015-6645 ANDROID-23591205 Modéré 4.4.4, 5.0, 5.1.1, 6.0 Interne Google

Réduction de la surface d'attaque pour les noyaux Nexus

SysV IPC n'est pris en charge dans aucun noyau Android. Nous l'avons supprimé du système d'exploitation car il expose une surface d'attaque supplémentaire qui n'ajoute pas de fonctionnalité au système qui pourrait être exploitée par des applications malveillantes. De plus, les IPC System V ne sont pas conformes au cycle de vie des applications d'Android car les ressources allouées ne peuvent pas être libérées par le gestionnaire de mémoire, ce qui entraîne une fuite globale des ressources du noyau. Cette modification résout un problème tel que CVE-2015-7613.

CVE Insectes) Gravité Versions mises à jour Date du rapport
CVE-2015-6646 ANDROID-22300191* Modéré 6.0 Interne Google

* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Questions et réponses courantes

Cette section passe en revue les réponses aux questions courantes qui peuvent survenir après la lecture de ce bulletin.

1. Comment puis-je déterminer si mon appareil est mis à jour pour résoudre ces problèmes ?

Les versions LMY49F ou ultérieures et Android 6.0 avec le niveau de correctif de sécurité du 1er janvier 2016 ou ultérieur résolvent ces problèmes. Reportez-vous à la documentation Nexus pour savoir comment vérifier le niveau du correctif de sécurité. Les fabricants d'appareils qui incluent ces mises à jour doivent définir le niveau de chaîne de correctif sur : [ro.build.version.security_patch] : [2016-01-01]

Révisions

  • 04 janvier 2016 : Bulletin publié.
  • 6 janvier 2016 : Bulletin révisé pour inclure les liens AOSP.
  • 28 avril 2016 : suppression de CVE-2015-6617 des remerciements et ajout de CVE-2015-6647 au tableau récapitulatif ,

    Publié le 04 janvier 2016 | Mis à jour le 28 avril 2016

    Nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour en direct (OTA) dans le cadre de notre processus de publication mensuelle du bulletin de sécurité Android. Les images du micrologiciel Nexus ont également été publiées sur le site Google Developer . Les versions LMY49F ou ultérieures et Android 6.0 avec le niveau de correctif de sécurité du 1er janvier 2016 ou ultérieur résolvent ces problèmes. Reportez-vous à la section Questions et réponses courantes pour plus de détails.

    Les partenaires ont été informés et ont fourni des mises à jour pour les problèmes décrits dans ce bulletin le 7 décembre 2015 ou avant. Le cas échéant, des correctifs de code source pour ces problèmes ont été publiés dans le référentiel Android Open Source Project (AOSP).

    Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil affecté via plusieurs méthodes telles que la messagerie électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias. L' évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les atténuations de la plate-forme et du service sont désactivées à des fins de développement ou si elles sont contournées avec succès.

    Nous n'avons eu aucun rapport d'exploitation active par les clients de ces problèmes nouvellement signalés. Reportez-vous à la section Atténuations pour plus de détails sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet, qui améliorent la sécurité de la plate-forme Android. Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.

    Atténuations

    Il s'agit d'un résumé des mesures d'atténuation fournies par la plate- forme de sécurité Android et les protections de service telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que les vulnérabilités de sécurité puissent être exploitées avec succès sur Android.

    • L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux nouvelles versions de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour la dernière version d'Android dans la mesure du possible.
    • L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet qui avertiront des applications potentiellement dangereuses sur le point d'être installées. Les outils d'enracinement d'appareils sont interdits dans Google Play. Pour protéger les utilisateurs qui installent des applications en dehors de Google Play, Vérifier les applications est activé par défaut et avertira les utilisateurs des applications d'enracinement connues. Vérifier les applications tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'élévation de privilèges. Si une telle application a déjà été installée, Verify Apps avertira l'utilisateur et tentera de supprimer ces applications.
    • Le cas échéant, les applications Google Hangouts et Messenger ne transmettent pas automatiquement les médias aux processus tels que le serveur multimédia.

    Remerciements

    Nous tenons à remercier ces chercheurs pour leurs contributions :

    • Abhishek Arya, Oliver Chang et Martin Barbella de l'équipe de sécurité de Google Chrome : CVE-2015-6636
    • Sen Nie ( @nforest_ ) et jfang du laboratoire KEEN, Tencent ( @K33nTeam ): CVE-2015-6637
    • Yabin Cui de l'équipe Android Bionic : CVE-2015-6640
    • Tom Craig de Google X : CVE-2015-6641
    • Jann Horn ( https://thejh.net ): CVE-2015-6642
    • Jouni Malinen PGP id EFC895FA : CVE-2015-5310
    • Quan Nguyen de l'équipe d'ingénieurs en sécurité de l'information de Google : CVE-2015-6644
    • Gal Beniamini ( @laginimaineb , http://bits-Please.blogspot.com ): CVE-2015-6639

    Détails de la vulnérabilité de sécurité

    Dans les sections ci-dessous, nous fournissons des détails pour chacune des vulnérabilités de sécurité qui s'appliquent au niveau de correctif 2016-01-01. Il y a une description du problème, une justification de la gravité et un tableau avec le CVE, le bogue associé, la gravité, les versions mises à jour et la date signalée. Lorsqu'il sera disponible, nous lierons le changement AOSP qui a résolu le problème à l'ID de bogue. Lorsque plusieurs modifications concernent un seul bogue, des références AOSP supplémentaires sont liées aux numéros suivant l'ID de bogue.

    Vulnérabilité d'exécution de code à distance dans Mediaserver

    Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, des vulnérabilités dans le serveur multimédia pourraient permettre à un attaquant de provoquer une corruption de la mémoire et l'exécution de code à distance en tant que processus du serveur multimédia.

    La fonctionnalité concernée est fournie en tant que partie centrale du système d'exploitation et il existe plusieurs applications qui permettent d'y accéder avec du contenu à distance, notamment la lecture de médias par MMS et navigateur.

    Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance dans le contexte du service de serveur multimédia. Le service de serveur multimédia a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.

    CVE Bug(s) avec les liens AOSP Gravité Versions mises à jour Date du rapport
    CVE-2015-6636 ANDROID-25070493 Critique 5.0, 5.1.1, 6.0, 6.0.1 Interne Google
    ANDROID-24686670 Critique 5.0, 5.1.1, 6.0, 6.0.1 Interne Google

    Vulnérabilité d'élévation de privilèges dans le pilote misc-sd

    Une vulnérabilité d'élévation de privilèges dans le pilote misc-sd de MediaTek pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission permanente de l'appareil local, auquel cas l'appareil devra peut-être être réparé en reflashant le système d'exploitation.

    CVE Insectes) Gravité Versions mises à jour Date du rapport
    CVE-2015-6637 ANDROID-25307013* Critique 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26 octobre 2015

    * Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

    Vulnérabilité d'élévation de privilèges dans le pilote Imagination Technologies

    Une vulnérabilité d'élévation de privilèges dans un pilote de noyau d'Imagination Technologies pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission permanente de l'appareil local, auquel cas l'appareil devra peut-être être réparé en reflashant le système d'exploitation.

    CVE Insectes) Gravité Versions mises à jour Date du rapport
    CVE-2015-6638 ANDROID-24673908* Critique 5.0, 5.1.1, 6.0, 6.0.1 Interne Google

    * Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

    Vulnérabilités d'élévation des privilèges dans Trustzone

    L'élévation des vulnérabilités de privilège dans l'application Widevine QSEE TrustZone pourrait permettre à une application privilégiée de compromis ayant accès à QSEECOM d'exécuter du code arbitraire dans le contexte Trustzone. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission permanente de l'appareil local, auquel cas l'appareil devra peut-être être réparé en reflashant le système d'exploitation.

    CVE Insectes) Gravité Versions mises à jour Date du rapport
    CVE-2015-6639 ANDROID-24446875* Critique 5.0, 5.1.1, 6.0, 6.0.1 23 septembre 2015
    CVE-2015-6647 ANDROID-24441554* Critique 5.0, 5.1.1, 6.0, 6.0.1 27 septembre 2015

    * Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

    Vulnérabilité d'élévation de privilèges dans le noyau

    Une vulnérabilité d'élévation des privilèges dans le noyau pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission permanente de l'appareil local, auquel cas l'appareil devra peut-être être réparé en reflashant le système d'exploitation.

    CVE Bug(s) avec le lien AOSP Gravité Versions mises à jour Date du rapport
    CVE-2015-6640 ANDROID-20017123 Critique 4.4.4, 5.0, 5.1.1, 6.0 Interne Google

    Vulnérabilité d'élévation de privilèges dans Bluetooth

    Une vulnérabilité d'élévation des privilèges dans le composant Bluetooth pourrait permettre à un appareil distant couplé via Bluetooth d'accéder aux informations privées de l'utilisateur (contacts). Ce problème est classé comme étant de gravité élevée car il pourrait être utilisé pour obtenir des fonctionnalités « dangereuses » à distance, ces autorisations ne sont accessibles qu'aux applications tierces installées localement.

    CVE Bug(s) avec les liens AOSP Gravité Versions mises à jour Date du rapport
    CVE-2015-6641 ANDROID-23607427 [ 2 ] Haute 6.0, 6.0.1 Interne Google

    Vulnérabilité de divulgation d'informations dans le noyau

    Une vulnérabilité de divulgation d'informations dans le noyau pourrait permettre de contourner les mesures de sécurité en place pour augmenter la difficulté des attaquants à exploiter la plate-forme. Ces problèmes sont classés comme étant de gravité élevée, car ils peuvent également être utilisés pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.

    CVE Insectes) Gravité Versions mises à jour Date du rapport
    CVE-2015-6642 ANDROID-24157888* Haute 4.4.4, 5.0, 5.1.1, 6.0 12 septembre 2015

    * Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

    Vulnérabilité d'élévation de privilèges dans l'assistant de configuration

    Une vulnérabilité d'élévation des privilèges dans l'assistant de configuration pourrait permettre à un attaquant disposant d'un accès physique à l'appareil d'accéder aux paramètres de l'appareil et d'effectuer une réinitialisation manuelle de l'appareil. Ce problème est classé comme étant de gravité modérée, car il pourrait être utilisé pour contourner de manière incorrecte la protection contre la réinitialisation d'usine.

    CVE Bug(s) avec les liens AOSP Gravité Versions mises à jour Date du rapport
    CVE-2015-6643 ANDROID-25290269 [ 2 ] Modéré 5.1.1, 6.0, 6.0.1 Interne Google

    Vulnérabilité d'élévation de privilèges dans le Wi-Fi

    Une vulnérabilité d'élévation des privilèges dans le composant Wi-Fi pourrait permettre à un attaquant local proche d'accéder aux informations liées au service Wi-Fi. Un appareil n'est vulnérable à ce problème que lorsqu'il se trouve à proximité. Ce problème est classé comme étant de gravité modérée car il pourrait être utilisé pour obtenir des fonctionnalités « normales » à distance, ces autorisations ne sont accessibles qu'aux applications tierces installées localement.

    CVE Bug(s) avec les liens AOSP Gravité Versions mises à jour Date du rapport
    CVE-2015-5310 ANDROID-25266660 Modéré 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 octobre 2015

    Vulnérabilité de divulgation d'informations dans le château gonflable

    Une vulnérabilité de divulgation d'informations dans Bouncy Castle pourrait permettre à une application malveillante locale d'accéder aux informations privées de l'utilisateur. Ce problème est classé comme étant de gravité modérée, car il pourrait être utilisé pour obtenir de manière inappropriée des autorisations « dangereuses ».

    CVE Bug(s) avec les liens AOSP Gravité Versions mises à jour Date du rapport
    CVE-2015-6644 ANDROID-24106146 Modéré 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 Interne Google

    Vulnérabilité de déni de service dans SyncManager

    Une vulnérabilité de déni de service dans le SyncManager pourrait permettre à une application malveillante locale de provoquer une boucle de redémarrage. Ce problème est classé comme étant de gravité modérée car il pourrait être utilisé pour provoquer un déni de service temporaire local qui devrait éventuellement être résolu via une réinitialisation d'usine.

    CVE Bug(s) avec les liens AOSP Gravité Versions mises à jour Date du rapport
    CVE-2015-6645 ANDROID-23591205 Modéré 4.4.4, 5.0, 5.1.1, 6.0 Interne Google

    Réduction de la surface d'attaque pour les noyaux Nexus

    SysV IPC n'est pris en charge dans aucun noyau Android. Nous l'avons supprimé du système d'exploitation car il expose une surface d'attaque supplémentaire qui n'ajoute pas de fonctionnalité au système qui pourrait être exploitée par des applications malveillantes. De plus, les IPC System V ne sont pas conformes au cycle de vie des applications d'Android car les ressources allouées ne peuvent pas être libérées par le gestionnaire de mémoire, ce qui entraîne une fuite globale des ressources du noyau. Cette modification résout un problème tel que CVE-2015-7613.

    CVE Insectes) Gravité Versions mises à jour Date du rapport
    CVE-2015-6646 ANDROID-22300191* Modéré 6.0 Interne Google

    * Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

    Questions et réponses courantes

    Cette section passe en revue les réponses aux questions courantes qui peuvent survenir après la lecture de ce bulletin.

    1. Comment puis-je déterminer si mon appareil est mis à jour pour résoudre ces problèmes ?

    Les versions LMY49F ou ultérieures et Android 6.0 avec le niveau de correctif de sécurité du 1er janvier 2016 ou ultérieur résolvent ces problèmes. Reportez-vous à la documentation Nexus pour savoir comment vérifier le niveau du correctif de sécurité. Les fabricants d'appareils qui incluent ces mises à jour doivent définir le niveau de chaîne de correctif sur : [ro.build.version.security_patch] : [2016-01-01]

    Révisions

    • 04 janvier 2016 : Bulletin publié.
    • 6 janvier 2016 : Bulletin révisé pour inclure les liens AOSP.
    • 28 avril 2016 : suppression de CVE-2015-6617 des remerciements et ajout de CVE-2015-6647 au tableau récapitulatif