Google s'est engagé à promouvoir l'équité raciale pour les communautés noires. Regarde comment.
Cette page a été traduite par l'API Cloud Translation.
Switch to English

Bulletin de sécurité Nexus - Septembre 2015

Publié le 9 septembre 2015

Nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour OTA (over-the-air) dans le cadre de notre processus de publication mensuelle du bulletin de sécurité Android (Build LMY48M). Les mises à jour pour les appareils Nexus et les correctifs de code source pour ces problèmes ont également été publiés dans le référentiel source Android Open Source Project (AOSP). Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l'exécution de code à distance sur un périphérique affecté.

Les images du micrologiciel Nexus ont également été publiées sur le site des développeurs Google . Les versions LMY48M ou ultérieures résolvent ces problèmes. Les partenaires ont été informés de ces problèmes le 13 août 2015 ou avant.

Nous n'avons pas détecté l'exploitation par les clients des problèmes récemment signalés. L'exception est le problème existant (CVE-2015-3636). Reportez-vous à la section Atténuations pour plus de détails sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet, qui réduisent la probabilité que les vulnérabilités de sécurité puissent être exploitées avec succès sur Android.

Veuillez noter que les deux mises à jour de sécurité critiques (CVE-2015-3864 et CVE-2015-3686) corrigent des vulnérabilités déjà révélées. Il n'y a pas de vulnérabilité de sécurité critique nouvellement révélée dans cette mise à jour. L' évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité aurait éventuellement sur un périphérique affecté, en supposant que les atténuations de plate-forme et de service sont désactivées à des fins de développement ou si elles sont contournées avec succès.

Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.

Atténuations

Ceci est un résumé des atténuations fournies par la plate - forme de sécurité Android et les protections de service telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que les vulnérabilités de sécurité puissent être exploitées avec succès sur Android.

  • L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux nouvelles versions de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour vers la dernière version d'Android lorsque cela est possible.
  • L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet, qui avertiront des applications potentiellement dangereuses sur le point d'être installées. Les outils de rooting d'appareils sont interdits dans Google Play. Pour protéger les utilisateurs qui installent des applications en dehors de Google Play, Verify Apps est activé par défaut et avertit les utilisateurs des applications d'enracinement connues. Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'escalade de privilèges. Si une telle application a déjà été installée, Verify Apps en informera l'utilisateur et tentera de supprimer ces applications.
  • Le cas échéant, les applications Google Hangouts et Messenger ne transmettent pas automatiquement le contenu multimédia à des processus tels que mediaserver.

Remerciements

Nous remercions ces chercheurs pour leurs contributions:

  • Jordan Gruskovnjak d'Exodus Intelligence (@jgrusko): CVE-2015-3864
  • Michał Bednarski: CVE-2015-3845
  • Guang Gong de Qihoo 360 Technology Co. Ltd (@oldfresher): CVE-2015-1528, CVE-2015-3849
  • Brennan Lautner: CVE-2015-3863
  • jgor (@indiecom): CVE-2015-3860
  • Wish Wu de Trend Micro Inc. (@wish_wu): CVE-2015-3861

Détails de la vulnérabilité de sécurité

Dans les sections ci-dessous, nous fournissons des détails sur chacune des vulnérabilités de sécurité de ce bulletin. Il y a une description du problème, une justification de la gravité et un tableau avec la CVE, le bogue associé, la gravité, les versions affectées et la date signalée. Le cas échéant, nous avons lié la modification d'AOSP qui a résolu le problème à l'ID de bogue. Lorsque plusieurs modifications concernent un seul bogue, des références AOSP supplémentaires sont liées à des numéros suivant l'ID de bogue.

Vulnérabilité d'exécution de code à distance dans Mediaserver

Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, des vulnérabilités dans mediaserver pourraient permettre à un attaquant de provoquer une corruption de la mémoire et l'exécution de code à distance en tant que processus mediaserver.

La fonctionnalité affectée est fournie en tant qu'élément central du système d'exploitation et il existe plusieurs applications qui permettent de l'atteindre avec du contenu distant, notamment les MMS et la lecture de contenu multimédia par navigateur.

Ce problème est considéré comme une gravité critique en raison de la possibilité d'exécution de code à distance dans le contexte du service mediaserver. Le service mediaserver a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.

Ce problème est lié au CVE-2015-3824 déjà signalé (ANDROID-20923261). La mise à jour de sécurité d'origine n'était pas suffisante pour résoudre une variante de ce problème initialement signalé.

CVE Bug avec les liens AOSP Gravité Versions affectées
CVE-2015-3864 ANDROID-23034759 Critique 5.1 et moins

Vulnérabilité des privilèges d'élévation dans le noyau

Une vulnérabilité d'élévation de privilèges dans la gestion par le noyau Linux des sockets ping pourrait permettre à une application malveillante d'exécuter du code arbitraire dans le contexte du noyau.

Ce problème est considéré comme un problème de gravité critique en raison de la possibilité d'exécution de code dans un service privilégié qui peut contourner les protections de périphérique, conduisant potentiellement à une compromission permanente (c'est-à-dire nécessitant de re-flasher la partition système) sur certains périphériques.

Ce problème a été identifié publiquement pour la première fois le 1er mai 2015. Un exploit de cette vulnérabilité a été inclus dans un certain nombre d'outils «d'enracinement» qui peuvent être utilisés par le propriétaire de l'appareil pour modifier le micrologiciel de son appareil.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées
CVE-2015-3636 ANDROID-20770158 Critique 5.1 et moins

Vulnérabilité d'élévation de privilège dans le classeur

Une vulnérabilité d'élévation de privilège dans Binder pourrait permettre à une application malveillante d'exécuter du code arbitraire dans le contexte du processus d'une autre application.

Ce problème est classé comme étant de gravité élevée, car il permet à une application malveillante d'obtenir des privilèges non accessibles à une application tierce.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées
CVE-2015-3845 ANDROID-17312693 Haute 5.1 et moins
CVE-2015-1528 ANDROID-19334482 [ 2 ] Haute 5.1 et moins

Vulnérabilité d'élévation de privilège dans Keystore

Une vulnérabilité d'élévation de privilèges dans Keystore pourrait permettre à une application malveillante d'exécuter du code arbitraire dans le contexte du service de keystore. Cela pourrait permettre une utilisation non autorisée des clés stockées par Keystore, y compris des clés sauvegardées sur le matériel.

Ce problème est classé comme étant de gravité élevée, car il peut être utilisé pour obtenir des privilèges non accessibles à une application tierce.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées
CVE-2015-3863 ANDROID-22802399 Haute 5.1 et moins

Vulnérabilité de l'élévation des privilèges dans la région

Une vulnérabilité d'élévation de privilège dans Region pourrait, par la création d'un message malveillant vers un service, permettre à une application malveillante d'exécuter du code arbitraire dans le contexte du service cible.

Ce problème est classé comme étant de gravité élevée, car il peut être utilisé pour obtenir des privilèges non accessibles à une application tierce.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées
CVE-2015-3849 ANDROID-20883006 [ 2 ] Haute 5.1 et moins

La vulnérabilité d'élévation de privilège dans SMS permet le contournement des notifications

Une vulnérabilité d'élévation de privilège dans la manière dont Android traite les messages SMS pourrait permettre à une application malveillante d'envoyer un message SMS qui contournait la notification d'avertissement SMS à tarif majoré.

Ce problème est classé comme étant de gravité élevée, car il peut être utilisé pour obtenir des privilèges non accessibles à une application tierce.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées
CVE-2015-3858 ANDROID-22314646 Haute 5.1 et moins

Vulnérabilité d'élévation de privilège dans Lockscreen

Une vulnérabilité d'élévation de privilèges dans Lockscreen pourrait permettre à un utilisateur malveillant de contourner l'écran de verrouillage en le faisant planter. Ce problème est classé comme une vulnérabilité uniquement sur Android 5.0 et 5.1. Bien qu'il soit possible de faire planter l'interface utilisateur système à partir de l'écran de verrouillage de la même manière sur 4.4, l'écran d'accueil n'est pas accessible et l'appareil doit être redémarré pour récupérer.

Ce problème est considéré comme de gravité modérée, car il permet potentiellement à une personne disposant d'un accès physique à un appareil d'installer des applications tierces sans que le propriétaire de l'appareil n'approuve les autorisations. Il peut également permettre à l'attaquant d'afficher les données de contact, les journaux téléphoniques, les messages SMS et d'autres données normalement protégées par une autorisation de niveau «dangereux».

CVE Bug (s) avec les liens AOSP Gravité Versions affectées
CVE-2015-3860 ANDROID-22214934 Modérer 5.1 et 5.0

Vulnérabilité de déni de service dans Mediaserver

Une vulnérabilité de déni de service dans mediaserver pourrait permettre à un attaquant local de bloquer temporairement l'accès à un périphérique affecté.

Ce problème est de faible gravité car un utilisateur peut redémarrer en mode sans échec pour supprimer une application malveillante qui exploite ce problème. Il est également possible de faire en sorte que mediaserver traite le fichier malveillant à distance via le Web ou via MMS, dans ce cas le processus mediaserver plante et l'appareil reste utilisable.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées
CVE-2015-3861 ANDROID-21296336 Faible 5.1 et moins