Google s'est engagé à promouvoir l'équité raciale pour les communautés noires. Regarde comment.
Cette page a été traduite par l'API Cloud Translation.
Switch to English

Bulletin de sécurité Nexus - Octobre 2015

Publié le 05 octobre 2015 | Mis à jour le 28 avril 2016

Nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour OTA (over-the-air) dans le cadre de notre processus de publication mensuelle du bulletin de sécurité Android. Les images du micrologiciel Nexus ont également été publiées sur le site des développeurs Google . Les versions LMY48T ou ultérieures (telles que LMY48W) et Android M avec le niveau de correctif de sécurité du 1er octobre 2015 ou ultérieur résolvent ces problèmes. Reportez-vous à la documentation Nexus pour savoir comment vérifier le niveau du correctif de sécurité.

Les partenaires ont été informés de ces problèmes le 10 septembre 2015 ou avant. Des correctifs de code source pour ces problèmes ont été publiés dans le référentiel Android Open Source Project (AOSP).

Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil affecté via plusieurs méthodes telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias. L' évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité aurait éventuellement sur un périphérique affecté, en supposant que les atténuations de plate-forme et de service sont désactivées à des fins de développement ou si elles sont contournées avec succès.

Nous n'avons eu aucun rapport d'exploitation client active de ces problèmes récemment signalés. Reportez-vous à la section Atténuations pour plus de détails sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet, qui améliorent la sécurité de la plate-forme Android. Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.

Atténuations

Ceci est un résumé des atténuations fournies par la plate - forme de sécurité Android et les protections de service telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que les vulnérabilités de sécurité puissent être exploitées avec succès sur Android.

  • L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux nouvelles versions de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour vers la dernière version d'Android lorsque cela est possible.
  • L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet, qui avertiront des applications potentiellement dangereuses sur le point d'être installées. Les outils de rooting d'appareils sont interdits dans Google Play. Pour protéger les utilisateurs qui installent des applications en dehors de Google Play, Verify Apps est activé par défaut et avertit les utilisateurs des applications d'enracinement connues. Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'escalade de privilèges. Si une telle application a déjà été installée, Verify Apps en informera l'utilisateur et tentera de supprimer ces applications.
  • Le cas échéant, Google a mis à jour les applications Hangouts et Messenger afin que les médias ne soient pas automatiquement transmis aux processus vulnérables (tels que mediaserver).

Remerciements

Nous remercions ces chercheurs pour leurs contributions:

  • Brennan Lautner: CVE-2015-3863
  • Chiachih Wu et Xuxian Jiang de l'équipe C0RE de Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
  • Yajin Zhou, Lei Wu et Xuxian Jiang de l'équipe C0RE de Qihoo 360: CVE-2015-3865
  • Daniel Micay (daniel.micay@copperhead.co) chez Copperhead Security: CVE-2015-3875
  • dragonltx de l'équipe de sécurité mobile d'Alibaba: CVE-2015-6599
  • Ian Beer et Steven Vittitoe de Google Project Zero: CVE-2015-6604
  • Joaquín Rinaudo (@xeroxnir) et Iván Arce (@ 4Dgifts) de Programa STIC à la Fundación Dr.Manuel Sadosky, Buenos Aires Argentine: CVE-2015-3870
  • Josh Drake de Zimperium: CVE-2015-3876, CVE-2015-6602
  • Jordan Gruskovnjak d'Exodus Intelligence (@jgrusko): CVE-2015-3867
  • Peter Pi de Trend Micro: CVE-2015-3872, CVE-2015-3871
  • Ping Li de Qihoo 360 Technology Co. Ltd: CVE-2015-3878
  • Sept Shen: CVE-2015-6600, CVE-2015-3847
  • Wangtao (néobyte) de Baidu X-Team: CVE-2015-6598
  • Wish Wu de Trend Micro Inc. (@wish_wu): CVE-2015-3823
  • Michael Roland du JR-Center u'smile à l'Université des sciences appliquées, Haute-Autriche / Hagenberg: CVE-2015-6606

Nous tenons également à remercier l'équipe de sécurité Chrome, l'équipe de sécurité Google, Project Zero et d'autres personnes au sein de Google pour avoir signalé plusieurs problèmes résolus dans ce bulletin.

Détails de la vulnérabilité de sécurité

Dans les sections ci-dessous, nous fournissons des détails pour chacune des vulnérabilités de sécurité qui s'appliquent au niveau de correctif 2015-10-01. Il y a une description du problème, une justification de la gravité et un tableau avec la CVE, le bogue associé, la gravité, les versions affectées et la date signalée. Le cas échéant, nous avons lié la modification d'AOSP qui a résolu le problème à l'ID de bogue. Lorsque plusieurs modifications concernent un seul bogue, des références AOSP supplémentaires sont liées aux numéros suivant l'ID du bogue.

Vulnérabilités d'exécution de code à distance dans libstagefright

Il existe des vulnérabilités dans libstagefright qui pourraient permettre à un attaquant, pendant le traitement d'un fichier multimédia et de données d'un fichier spécialement conçu, de provoquer une corruption de la mémoire et l'exécution de code à distance dans le service mediaserver.

Ces problèmes sont considérés comme une gravité critique en raison de la possibilité d'exécution de code à distance en tant que service privilégié. Les composants concernés ont accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées Date signalée
CVE-2015-3873 ANDROID-20674086 [ 2 , 3 , 4 ] Critique 5.1 et moins Google interne
ANDROID-20674674 [ 2 , 3 , 4 ]
ANDROID-20718524
ANDROID-21048776
ANDROID-21443020
ANDROID-21814993
ANDROID-22008959
ANDROID-22077698
ANDROID-22388975
ANDROID-22845824
ANDROID-23016072
ANDROID-23247055
ANDROID-23248776
ANDROID-20721050 Critique 5.0 et 5.1 Google interne
CVE-2015-3823 ANDROID-21335999 Critique 5.1 et moins 20 mai 2015
CVE-2015-6600 ANDROID-22882938 Critique 5.1 et moins 31 juil.2015
CVE-2015-6601 ANDROID-22935234 Critique 5.1 et moins 3 août 2015
CVE-2015-3869 ANDROID-23036083 Critique 5.1 et moins 4 août 2015
CVE-2015-3870 ANDROID-22771132 Critique 5.1 et moins 5 août 2015
CVE-2015-3871 ANDROID-23031033 Critique 5.1 et moins 6 août 2015
CVE-2015-3868 ANDROID-23270724 Critique 5.1 et moins 6 août 2015
CVE-2015-6604 ANDROID-23129786 Critique 5.1 et moins 11 août 2015
CVE-2015-3867 ANDROID-23213430 Critique 5.1 et moins 14 août 2015
CVE-2015-6603 ANDROID-23227354 Critique 5.1 et moins 15 août 2015
CVE-2015-3876 ANDROID-23285192 Critique 5.1 et moins 15 août 2015
CVE-2015-6598 ANDROID-23306638 Critique 5.1 et moins 18 août 2015
CVE-2015-3872 ANDROID-23346388 Critique 5.1 et moins 19 août 2015
CVE-2015-6599 ANDROID-23416608 Critique 5.1 et moins 21 août 2015

Vulnérabilités d'exécution de code à distance dans Sonivox

Il existe des vulnérabilités dans Sonivox qui pourraient permettre à un attaquant, pendant le traitement d'un fichier multimédia d'un fichier spécialement conçu, de provoquer une corruption de la mémoire et l'exécution de code à distance dans le service mediaserver. Ce problème est considéré comme une gravité critique en raison de la possibilité d'exécution de code à distance en tant que service privilégié. Le composant concerné a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées Date signalée
CVE-2015-3874 ANDROID-23335715 Critique 5.1 et moins Plusieurs
ANDROID-23307276 [ 2 ]
ANDROID-23286323

Vulnérabilités d'exécution de code à distance dans les libutils

Des vulnérabilités dans libutils, une bibliothèque générique, existent dans le traitement des fichiers audio. Ces vulnérabilités pourraient permettre à un attaquant, lors du traitement d'un fichier spécialement conçu, de provoquer une corruption de la mémoire et l'exécution de code à distance dans un service utilisant cette bibliothèque tel que mediaserver.

La fonctionnalité affectée est fournie en tant qu'API d'application et il existe plusieurs applications qui permettent de l'atteindre avec du contenu distant, notamment les MMS et la lecture de médias par le navigateur. Ce problème est considéré comme une gravité critique en raison de la possibilité d'exécution de code à distance dans un service privilégié. Le composant concerné a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées Date signalée
CVE-2015-3875 ANDROID-22952485 Critique 5.1 et moins 15 août 2015
CVE-2015-6602 ANDROID-23290056 [ 2 ] Critique 5.1 et moins 15 août 2015

Vulnérabilité d'exécution de code à distance dans Skia

Une vulnérabilité du composant Skia peut être exploitée lors du traitement d'un fichier multimédia spécialement conçu, ce qui pourrait entraîner une corruption de la mémoire et l'exécution de code à distance dans un processus privilégié. Ce problème est considéré comme une gravité critique en raison de la possibilité d'exécution de code à distance via plusieurs méthodes d'attaque telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées Date signalée
CVE-2015-3877 ANDROID-20723696 Critique 5.1 et moins 30 juil.2015

Vulnérabilités d'exécution de code à distance dans libFLAC

Il existe une vulnérabilité dans libFLAC dans le traitement des fichiers multimédias. Ces vulnérabilités pourraient permettre à un attaquant, lors du traitement d'un fichier spécialement conçu, de provoquer une corruption de la mémoire et l'exécution de code à distance.

La fonctionnalité affectée est fournie en tant qu'API d'application et il existe plusieurs applications qui permettent de l'atteindre avec un contenu distant, tel que la lecture de contenu multimédia par le navigateur. Ce problème est considéré comme une gravité critique en raison de la possibilité d'exécution de code à distance dans un service privilégié. Le composant concerné a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées Date signalée
CVE-2014-9028 ANDROID-18872897 [ 2 ] Critique 5.1 et moins 14 novembre 2014

Vulnérabilité d'élévation de privilège dans KeyStore

Une vulnérabilité d'élévation de privilège dans le composant KeyStore peut être exploitée par une application malveillante lors de l'appel aux API KeyStore. Cette application pourrait entraîner une corruption de la mémoire et l'exécution de code arbitraire dans le contexte de KeyStore. Ce problème est classé comme étant de gravité élevée car il peut être utilisé pour accéder à des privilèges qui ne sont pas directement accessibles à une application tierce.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées Date signalée
CVE-2015-3863 ANDROID-22802399 Haute 5.1 et moins 28 juil.2015

Vulnérabilité d'élévation de privilège dans la structure du lecteur multimédia

Une vulnérabilité d'élévation de privilèges dans le composant de l'infrastructure du lecteur multimédia pourrait permettre à une application malveillante d'exécuter du code arbitraire dans le contexte du serveur multimédia. Ce problème est classé comme étant de gravité élevée, car il permet à une application malveillante d'accéder à des privilèges non accessibles à une application tierce.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées Date signalée
CVE-2015-3879 ANDROID-23223325 [2] * Haute 5.1 et moins 14 août 2015

* Un deuxième changement pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilège dans Android Runtime

Une vulnérabilité d'élévation de privilège dans Android Runtime peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité élevée car il peut être utilisé pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées Date signalée
CVE-2015-3865 ANDROID-23050463 [ 2 ] Haute 5.1 et moins 8 août 2015

Vulnérabilités d'élévation des privilèges dans Mediaserver

Il existe plusieurs vulnérabilités dans mediaserver qui peuvent permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'un service natif privilégié. Ce problème est classé comme étant de gravité élevée car il peut être utilisé pour accéder à des privilèges qui ne sont pas directement accessibles à une application tierce.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées Date signalée
CVE-2015-6596 ANDROID-20731946 Haute 5.1 et moins Plusieurs
ANDROID-20719651 *
ANDROID-19573085 Haute 5,0 - 6,0 Google interne

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilège dans le kit d'évaluation d'élément sécurisé

Une vulnérabilité dans le plugin SEEK (Secure Element Evaluation Kit, alias l'API SmartCard) pourrait permettre à une application d'obtenir des autorisations élevées sans les demander. Ce problème est classé comme étant de gravité élevée car il peut être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées Date signalée
CVE-2015-6606 ANDROID-22301786 * Haute 5.1 et moins 30 juin 2015

* La mise à niveau qui résout ce problème se trouve sur le site SEEK for Android .

Vulnérabilité d'élévation de privilège dans la projection multimédia

Une vulnérabilité du composant Media Projection peut permettre de divulguer des données utilisateur sous la forme de captures d'écran. Le problème est dû au fait que le système d'exploitation autorise des noms d'application trop longs. L'utilisation de ces noms longs par une application malveillante locale peut empêcher un avertissement concernant l'enregistrement d'écran d'être visible par l'utilisateur. Ce problème est de gravité modérée car il peut être utilisé pour obtenir des autorisations élevées de manière incorrecte.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées Date signalée
CVE-2015-3878 ANDROID-23345192 Modérer 5,0 - 6,0 18 août 2015

Vulnérabilité d'élévation de privilège dans Bluetooth

Une vulnérabilité dans le composant Bluetooth d'Android pourrait permettre à une application de supprimer des SMS stockés. Ce problème est de gravité modérée car il peut être utilisé pour obtenir des autorisations élevées de manière incorrecte.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées Date signalée
CVE-2015-3847 ANDROID-22343270 Modérer 5.1 et moins 8 juil.2015

Vulnérabilités d'élévation des privilèges dans SQLite

Plusieurs vulnérabilités ont été découvertes dans le moteur d'analyse SQLite. Ces vulnérabilités peuvent être exploitables par une application locale qui peut amener une autre application ou un service à exécuter des requêtes SQL arbitraires. Une exploitation réussie peut entraîner l'exécution de code arbitraire dans le contexte de l'application cible.

Un correctif a été téléchargé sur le maître AOSP le 8 avril 2015, mettant à niveau la version SQLite vers 3.8.9: https://android-review.googlesource.com/#/c/145961/

Ce bulletin contient des correctifs pour les versions de SQLite sous Android 4.4 (SQLite 3.7.11) et Android 5.0 et 5.1 (SQLite 3.8.6).

CVE Bug (s) avec les liens AOSP Gravité Versions affectées Date signalée
CVE-2015-6607 ANDROID-20099586 Modérer 5.1 et moins 7 avril 2015
Publiquement connu

Vulnérabilités de déni de service dans Mediaserver

Il existe plusieurs vulnérabilités dans mediaserver qui peuvent provoquer un déni de service en bloquant le processus mediaserver. Ces problèmes sont considérés comme de faible gravité car l'effet est subi par une panne du serveur multimédia entraînant un déni de service temporaire local.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées Date signalée
CVE-2015-6605 ANDROID-20915134 Faible 5.1 et moins Google interne
ANDROID-23142203
ANDROID-22278703 Faible 5,0 - 6,0 Google interne
CVE-2015-3862 ANDROID-22954006 Faible 5.1 et moins 2 août 2015

Révisions

  • 05 octobre 2015: Bulletin publié.
  • 07 octobre 2015: Bulletin mis à jour avec les références AOSP. Clarification des références de bogue pour CVE-2014-9028.
  • 12 octobre 2015: mises à jour des remerciements pour CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
  • 22 janvier 2016: mises à jour des remerciements pour CVE-2015-6606.
  • 28 avril 2016: Ajout de CVE-2015-6603 et correction d'une faute de frappe avec CVE-2014-9028.