Publié le 07 mars 2016 | Mis à jour le 08 mars 2016
Nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour en direct (OTA) dans le cadre de notre processus de publication mensuelle du bulletin de sécurité Android. Les images du micrologiciel Nexus ont également été publiées sur le site Google Developer . Les versions LMY49H ou ultérieures et Android M avec le niveau de correctif de sécurité du 1er mars 2016 ou ultérieur résolvent ces problèmes. Reportez-vous à la documentation Nexus pour savoir comment vérifier le niveau du correctif de sécurité.
Les partenaires ont été informés des problèmes décrits dans le bulletin le 1er février 2016 ou avant. Le cas échéant, des correctifs de code source pour ces problèmes ont été publiés dans le référentiel Android Open Source Project (AOSP).
Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil affecté via plusieurs méthodes telles que la messagerie électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias. L' évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les atténuations de la plate-forme et du service sont désactivées à des fins de développement ou si elles sont contournées avec succès.
Nous n'avons eu aucun rapport d'exploitation active par les clients de ces problèmes nouvellement signalés. Reportez-vous à la section Atténuations pour plus de détails sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet, qui améliorent la sécurité de la plate-forme Android. Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.
Atténuations
Il s'agit d'un résumé des mesures d'atténuation fournies par la plate- forme de sécurité Android et les protections de service telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que les vulnérabilités de sécurité puissent être exploitées avec succès sur Android.
- L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux nouvelles versions de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour la dernière version d'Android dans la mesure du possible.
- L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet qui avertiront des applications potentiellement dangereuses sur le point d'être installées. Les outils d'enracinement d'appareils sont interdits dans Google Play. Pour protéger les utilisateurs qui installent des applications en dehors de Google Play, Vérifier les applications est activé par défaut et avertira les utilisateurs des applications d'enracinement connues. Vérifier les applications tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'élévation de privilèges. Si une telle application a déjà été installée, Verify Apps avertira l'utilisateur et tentera de supprimer ces applications.
- Le cas échéant, les applications Google Hangouts et Messenger ne transmettent pas automatiquement les médias aux processus tels que le serveur multimédia.
Remerciements
Nous tenons à remercier ces chercheurs pour leurs contributions :
- Abhishek Arya, Oliver Chang et Martin Barbella de l'équipe de sécurité de Google Chrome : CVE-2016-0815
- Anestis Bechtsoudis ( @anestisb ) de CENSUS SA : CVE-2016-0816, CVE-2016-0824
- Chad Brubaker d'Android Security : CVE-2016-0818
- Marque de Google Project Zero : CVE-2016-0820
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) et Xuxian Jiang de l'équipe C0RE de Qihoo 360 : CVE-2016-0826
- Peter Pi ( @heisecode ) de Trend Micro : CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
- Scott Bauer ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
- Wish Wu ( @wish_wu ) de Trend Micro Inc. : CVE-2016-0819
- Yongzheng Wu et Tieyan Li de Huawei : CVE-2016-0831
- Su Mon Kywe et Yingjiu Li de l'Université de gestion de Singapour : CVE-2016-0831
- Zach Riggle ( @ebeip90 ) de l'équipe de sécurité Android : CVE-2016-0821
Détails de la vulnérabilité de sécurité
Dans les sections ci-dessous, nous fournissons des détails pour chacune des vulnérabilités de sécurité qui s'appliquent au niveau de correctif 2016-03-01. Il y a une description du problème, une justification de la gravité et un tableau avec le CVE, le bogue associé, la gravité, les versions affectées et la date signalée. Lorsqu'il sera disponible, nous lierons le changement AOSP qui a résolu le problème à l'ID de bogue. Lorsque plusieurs modifications concernent un seul bogue, des références AOSP supplémentaires sont liées aux numéros suivant l'ID de bogue.
Vulnérabilité d'exécution de code à distance dans Mediaserver
Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, des vulnérabilités dans le serveur multimédia pourraient permettre à un attaquant de provoquer une corruption de la mémoire et l'exécution de code à distance en tant que processus du serveur multimédia.
La fonctionnalité affectée est fournie en tant que partie centrale du système d'exploitation, et il existe plusieurs applications qui permettent d'y accéder avec du contenu distant, notamment la lecture de médias par MMS et navigateur.
Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance dans le contexte du service de serveur multimédia. Le service de serveur multimédia a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne pourraient normalement pas accéder.
| CVE | Bogues avec les liens AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-0815 | ANDROID-26365349 | Critique | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interne Google |
| CVE-2016-0816 | ANDROID-25928803 | Critique | 6.0, 6.0.1 | Interne Google |
Vulnérabilités d'exécution de code à distance dans libvpx
Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, des vulnérabilités dans le serveur multimédia pourraient permettre à un attaquant de provoquer une corruption de la mémoire et l'exécution de code à distance en tant que processus du serveur multimédia.
La fonctionnalité concernée est fournie en tant que partie centrale du système d'exploitation et il existe plusieurs applications qui permettent d'y accéder avec du contenu à distance, notamment la lecture de médias par MMS et navigateur.
Les problèmes sont classés comme étant de gravité critique car ils pourraient être utilisés pour l'exécution de code à distance dans le contexte du service de serveur multimédia. Le service de serveur multimédia a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.
| CVE | Bug avec les liens AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-1621 | ANDROID-23452792 [2] [3] | Critique | 4.4.4, 5.0.2, 5.1.1, 6.0 | Interne Google |
Élévation de privilège dans Conscrypt
Une vulnérabilité dans Conscrypt pourrait permettre à un type spécifique de certificat invalide, émis par une autorité de certification (CA) intermédiaire, d'être incorrectement approuvé. Cela peut permettre une attaque man-in-the-middle. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une élévation de privilèges et d'une exécution de code arbitraire à distance.
| CVE | Bug avec les liens AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-0818 | ANDROID-26232830 [2] | Critique | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interne Google |
Vulnérabilité d'élévation de privilèges dans le composant de performance Qualcomm
Une vulnérabilité d'élévation des privilèges dans le composant de performance Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission permanente de l'appareil local, et l'appareil ne peut être réparé qu'en reflashant le système d'exploitation.
| CVE | Punaise | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-0819 | ANDROID-25364034* | Critique | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 octobre 2015 |
* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .
Vulnérabilité d'élévation des privilèges dans le pilote du noyau Wi-Fi MediaTek
Il existe une vulnérabilité dans le pilote du noyau MediaTek Wi-Fi qui pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'élévation de privilèges et d'exécution de code arbitraire dans le contexte du noyau.
| CVE | Punaise | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-0820 | ANDROID-26267358* | Critique | 6.0.1 | 18 décembre 2015 |
* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .
Vulnérabilité d'élévation de privilèges dans le composant de trousseau de clés du noyau
Une vulnérabilité d'élévation des privilèges dans le composant Kernel Keyring pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission permanente de l'appareil local et l'appareil ne peut potentiellement être réparé qu'en reflashant le système d'exploitation. Cependant, dans les versions 5.0 et supérieures d'Android, les règles SELinux empêchent les applications tierces d'atteindre le code affecté.
Remarque : pour référence, le correctif dans AOSP est disponible pour des versions de noyau spécifiques : 4.1 , 3.18 , 3.14 et 3.10 .
| CVE | Punaise | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-0728 | ANDROID-26636379 | Critique | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 janvier 2016 |
Vulnérabilité de contournement de l'atténuation dans le noyau
Une vulnérabilité de contournement d'atténuation dans le noyau pourrait permettre de contourner les mesures de sécurité en place pour augmenter la difficulté des attaquants à exploiter la plate-forme. Ce problème est classé comme étant de gravité élevée car il pourrait permettre un contournement des mesures de sécurité en place pour augmenter la difficulté des attaquants à exploiter la plate-forme.
Remarque : La mise à jour pour ce problème se trouve dans le fichier Linux en amont .
| CVE | Punaise | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-0821 | ANDROID-26186802 | Haute | 6.0.1 | Interne Google |
Élévation de privilèges dans le pilote du noyau de connectivité MediaTek
Il existe une vulnérabilité d'élévation des privilèges dans un pilote de noyau de connectivité MediaTek qui pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, un bogue d'exécution de code du noyau comme celui-ci serait classé critique, mais comme il nécessite d'abord de compromettre le service conn_launcher, il justifie une rétrogradation à une cote de gravité élevée.
| CVE | Punaise | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-0822 | ANDROID-25873324* | Haute | 6.0.1 | 24 novembre 2015 |
* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .
Vulnérabilité de divulgation d'informations dans le noyau
Une vulnérabilité de divulgation d'informations dans le noyau pourrait permettre de contourner les mesures de sécurité en place pour augmenter la difficulté des attaquants à exploiter la plate-forme. Ces problèmes sont classés comme étant de gravité élevée, car ils pourraient permettre un contournement local des technologies d'atténuation des exploits telles que l'ASLR dans un processus privilégié.
Remarque : le correctif de ce problème se trouve dans Linux en amont .
| CVE | Punaise | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-0823 | ANDROID-25739721* | Haute | 6.0.1 | Interne Google |
* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .
Vulnérabilité de divulgation d'informations dans libstagefright
Une vulnérabilité de divulgation d'informations dans libstagefright pourrait permettre de contourner les mesures de sécurité en place pour augmenter la difficulté des attaquants à exploiter la plate-forme. Ces problèmes sont classés comme étant de gravité élevée, car ils peuvent également être utilisés pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.
| CVE | Bug avec le lien AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-0824 | ANDROID-25765591 | Haute | 6.0, 6.0.1 | 18 novembre 2015 |
Vulnérabilité de divulgation d'informations dans Widevine
Une vulnérabilité de divulgation d'informations dans Widevine Trusted Application pourrait permettre au code s'exécutant dans le contexte du noyau d'accéder aux informations dans le stockage sécurisé TrustZone. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem .
| CVE | Insectes) | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-0825 | ANDROID-20860039* | Haute | 6.0.1 | Interne Google |
* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .
Vulnérabilité d'élévation de privilèges dans Mediaserver
Une vulnérabilité d'élévation des privilèges dans le serveur multimédia pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.
| CVE | Bogues avec les liens AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-0826 | ANDROID-26265403 [2] | Haute | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 décembre 2015 |
| CVE-2016-0827 | ANDROID-26347509 | Haute | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 décembre 2015 |
Vulnérabilité de divulgation d'informations dans Mediaserver
Une vulnérabilité de divulgation d'informations dans mediaserver pourrait permettre un contournement des mesures de sécurité en place pour augmenter la difficulté des attaquants à exploiter la plate-forme. Ces problèmes sont classés comme étant de gravité élevée, car ils peuvent également être utilisés pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.
| CVE | Bogues avec les liens AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-0828 | ANDROID-26338113 | Haute | 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 décembre 2015 |
| CVE-2016-0829 | ANDROID-26338109 | Haute | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 décembre 2015 |
Vulnérabilité de déni de service à distance dans Bluetooth
Une vulnérabilité de déni de service à distance dans le composant Bluetooth pourrait permettre à un attaquant proche de bloquer l'accès à un appareil affecté. Un attaquant pourrait provoquer un débordement d'appareils Bluetooth identifiés dans le composant Bluetooth, ce qui entraînerait une corruption de la mémoire et l'arrêt du service. Ceci est classé comme étant de gravité élevée car il entraîne un déni de service du service Bluetooth, qui ne peut potentiellement être résolu qu'avec un flash de l'appareil.
| CVE | Bug avec le lien AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-0830 | ANDROID-26071376 | Haute | 6.0, 6.0.1 | Interne Google |
Vulnérabilité de divulgation d'informations dans la téléphonie
Une vulnérabilité de divulgation d'informations dans le composant de téléphonie pourrait permettre à une application d'accéder à des informations sensibles. Ce problème est classé comme étant de gravité modérée, car il pourrait être utilisé pour accéder de manière inappropriée à des données sans autorisation.
| CVE | Bug avec le lien AOSP | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-0831 | ANDROID-25778215 | Modéré | 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 novembre 2015 |
Vulnérabilité d'élévation de privilèges dans l'assistant de configuration
Une vulnérabilité dans l'assistant de configuration pourrait permettre à un attaquant ayant un accès physique à l'appareil d'accéder aux paramètres de l'appareil et d'effectuer une réinitialisation manuelle de l'appareil. Ce problème est classé comme étant de gravité modérée, car il pourrait être utilisé pour contourner de manière incorrecte la protection contre la réinitialisation d'usine.
| CVE | Insectes) | Gravité | Versions mises à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-0832 | ANDROID-25955042* | Modéré | 5.1.1, 6.0, 6.0.1 | Interne Google |
* Aucun correctif de code source n'est fourni pour cette mise à jour.
Questions et réponses courantes
Cette section passe en revue les réponses aux questions courantes qui peuvent survenir après la lecture de ce bulletin.
1. Comment puis-je déterminer si mon appareil est mis à jour pour résoudre ces problèmes ?
Les versions LMY49H ou ultérieures et Android 6.0 avec le niveau de correctif de sécurité du 1er mars 2016 ou ultérieur résolvent ces problèmes. Reportez-vous à la documentation Nexus pour savoir comment vérifier le niveau du correctif de sécurité. Les fabricants d'appareils qui incluent ces mises à jour doivent définir le niveau de chaîne de correctif sur : [ro.build.version.security_patch] : [2016-03-01]
Révisions
- 07 mars 2016 : Bulletin publié.
- 08 mars 2016 : Bulletin révisé pour inclure les liens AOSP.