Google s'est engagé à promouvoir l'équité raciale pour les communautés noires. Regarde comment.
Cette page a été traduite par l'API Cloud Translation.
Switch to English

Bulletin de sécurité Nexus - novembre 2015

Publié le 02 novembre 2015

Nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour OTA (over-the-air) dans le cadre de notre processus de publication mensuelle du bulletin de sécurité Android. Les images du micrologiciel Nexus ont également été publiées sur le site des développeurs Google . Builds LMY48X ou version ultérieure et Android Marshmallow avec le niveau de correctif de sécurité du 1er novembre 2015 ou version ultérieure résolvent ces problèmes. Reportez-vous à la section Questions et réponses courantes pour plus de détails.

Les partenaires ont été informés de ces problèmes le 5 octobre 2015 ou avant. Les correctifs de code source pour ces problèmes seront publiés dans le référentiel Android Open Source Project (AOSP) au cours des 48 prochaines heures. Nous réviserons ce bulletin avec les liens AOSP lorsqu'ils seront disponibles.

Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil affecté via plusieurs méthodes telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias. L' évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité aurait éventuellement sur un périphérique affecté, en supposant que les atténuations de plate-forme et de service sont désactivées à des fins de développement ou si elles sont contournées avec succès.

Nous n'avons eu aucun rapport d'exploitation client active de ces problèmes récemment signalés. Reportez-vous à la section Atténuations pour plus de détails sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet, qui améliorent la sécurité de la plate-forme Android. Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.

Atténuations

Ceci est un résumé des atténuations fournies par la plate - forme de sécurité Android et les protections de service telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que les vulnérabilités de sécurité puissent être exploitées avec succès sur Android.

  • L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux nouvelles versions de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour vers la dernière version d'Android lorsque cela est possible.
  • L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet, qui avertiront des applications potentiellement dangereuses sur le point d'être installées. Les outils de rooting d'appareils sont interdits dans Google Play. Pour protéger les utilisateurs qui installent des applications en dehors de Google Play, Verify Apps est activé par défaut et avertit les utilisateurs des applications d'enracinement connues. Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'escalade de privilèges. Si une telle application a déjà été installée, Verify Apps en informera l'utilisateur et tentera de supprimer ces applications.
  • Le cas échéant, les applications Google Hangouts et Messenger ne transmettent pas automatiquement le contenu multimédia à des processus tels que mediaserver.

Remerciements

Nous remercions ces chercheurs pour leurs contributions:

  • Abhishek Arya, Oliver Chang et Martin Barbella, équipe de sécurité Google Chrome: CVE-2015-6608
  • Daniel Micay (daniel.micay@copperhead.co) chez Copperhead Security: CVE-2015-6609
  • Dongkwan Kim du laboratoire de sécurité système, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
  • Hongil Kim du System Security Lab, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
  • Jack Tang de Trend Micro (@ jacktang310): CVE-2015-6611
  • Peter Pi de Trend Micro: CVE-2015-6611
  • Natalie Silvanovich de Google Project Zero: CVE-2015-6608
  • Qidan He (@flanker_hqd) et Wen Xu (@ antlr7) de KeenTeam (@ K33nTeam, http://k33nteam.org/): CVE-2015-6612
  • Guang Gong (龚 广) ( @oldfresher , higongguang@gmail.com) de Qihoo 360 Technology CC o.Ltd : CVE-2015-6612
  • Sept Shen de Trend Micro: CVE-2015-6610

Détails de la vulnérabilité de sécurité

Dans les sections ci-dessous, nous fournissons des détails pour chacune des vulnérabilités de sécurité qui s'appliquent au niveau de correctif 2015-11-01. Il y a une description du problème, une justification de la gravité et un tableau avec la CVE, le bogue associé, la gravité, les versions affectées et la date signalée. Le cas échéant, nous avons lié la modification d'AOSP qui a résolu le problème à l'ID de bogue. Lorsque plusieurs modifications concernent un seul bogue, des références AOSP supplémentaires sont liées à des numéros suivant l'ID de bogue.

Vulnérabilités d'exécution de code à distance dans Mediaserver

Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, des vulnérabilités dans mediaserver pourraient permettre à un attaquant de provoquer une corruption de la mémoire et l'exécution de code à distance en tant que processus mediaserver.

La fonctionnalité affectée est fournie en tant qu'élément central du système d'exploitation et il existe plusieurs applications qui permettent de l'atteindre avec du contenu distant, notamment les MMS et la lecture de contenu multimédia par navigateur.

Ce problème est considéré comme une gravité critique en raison de la possibilité d'exécution de code à distance dans le contexte du service mediaserver. Le service mediaserver a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées Date signalée
CVE-2015-6608 ANDROID-19779574 Critique 5,0, 5,1 et 6,0 Google interne
ANDROID-23680780
ANDROID-23876444
ANDROID-23881715 Critique 4.4, 5.0, 5.1 et 6.0 Google interne
ANDROID-14388161 Critique 4.4 et 5.1 Google interne
ANDROID-23658148 Critique 5,0, 5,1 et 6,0 Google interne

Vulnérabilité d'exécution de code à distance dans les libutils

Une vulnérabilité dans libutils, une bibliothèque générique, pourrait être exploitée lors du traitement des fichiers audio. Cette vulnérabilité pourrait permettre à un attaquant, lors du traitement d'un fichier spécialement conçu, de provoquer une corruption de la mémoire et l'exécution de code à distance.

La fonctionnalité affectée est fournie en tant qu'API et il existe plusieurs applications qui permettent de l'atteindre avec du contenu distant, notamment les MMS et la lecture de médias par le navigateur. Ce problème est considéré comme un problème de gravité critique en raison de la possibilité d'exécution de code à distance dans un service privilégié. Le composant concerné a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées Date signalée
CVE-2015-6609 ANDROID-22953624 [ 2 ] Critique 6.0 et moins 3 août 2015

Vulnérabilités de divulgation d'informations dans Mediaserver

Il existe des vulnérabilités de divulgation d'informations dans mediaserver qui peuvent permettre de contourner les mesures de sécurité en place pour augmenter la difficulté des attaquants exploitant la plate-forme.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées Date signalée
CVE-2015-6611 ANDROID-23905951 [ 2 ] [ 3 ] Haute 6.0 et moins 07 sept. 2015
ANDROID-23912202 *
ANDROID-23953967 *
ANDROID-23696300 Haute 6.0 et moins 31 août 2015
ANDROID-23600291 Haute 6.0 et moins 26 août 2015
ANDROID-23756261 [ 2 ] Haute 6.0 et moins 26 août 2015
ANDROID-23540907 [ 2 ] Haute 5.1 et moins 25 août 2015
ANDROID-23541506 Haute 6.0 et moins 25 août 2015
ANDROID-23284974 *
ANDROID-23542351 *
ANDROID-23542352 *
ANDROID-23515142 Haute 5.1 et moins 19 août 2015

* Le correctif pour ce bogue est inclus dans d'autres liens AOSP fournis.

Vulnérabilité d'élévation de privilège dans libstagefright

Il existe une vulnérabilité d'élévation de privilèges dans libstagefright qui peut permettre à une application malveillante locale de provoquer une corruption de la mémoire et l'exécution de code arbitraire dans le contexte du service mediaserver. Bien que ce problème soit normalement classé Critique, nous l'avons évalué comme étant de gravité élevée en raison d'une probabilité plus faible qu'il puisse être exploité à distance.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées Date signalée
CVE-2015-6610 ANDROID-23707088 [ 2 ] Haute 6.0 et moins 19 août 2015

Vulnérabilité d'élévation de privilège dans libmedia

Il existe une vulnérabilité dans libmedia qui peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du service mediaserver. Ce problème est classé comme étant de gravité élevée car il peut être utilisé pour accéder à des privilèges qui ne sont pas directement accessibles à une application tierce.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées Date signalée
CVE-2015-6612 ANDROID-23540426 Haute 6.0 et moins 23 août 2015

Vulnérabilité d'élévation de privilège dans Bluetooth

Il existe une vulnérabilité dans Bluetooth qui peut permettre à une application locale d'envoyer des commandes à un port de débogage d'écoute sur l'appareil. Ce problème est classé comme étant de gravité élevée car il peut être utilisé pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées Date signalée
CVE-2015-6613 ANDROID-24371736 Haute 6,0 Google interne

Vulnérabilité d'élévation de privilège dans la téléphonie

Une vulnérabilité dans le composant de téléphonie qui peut permettre à une application malveillante locale de transmettre des données non autorisées aux interfaces réseau restreintes, ce qui peut avoir un impact sur les frais de données. Cela pourrait également empêcher l'appareil de recevoir des appels et permettre à un attaquant de contrôler les paramètres de sourdine des appels. Ce problème est de gravité modérée car il peut être utilisé pour obtenir des autorisations « dangereuses » de manière incorrecte.

CVE Bug (s) avec les liens AOSP Gravité Versions affectées Date signalée
CVE-2015-6614 ANDROID-21900139 [ 2 ] [ 3 ] Modérer 5,0, 5,1 8 juin 2015

Questions et réponses courantes

Cette section passera en revue les réponses aux questions courantes qui peuvent survenir après la lecture de ce bulletin.

1. Comment déterminer si mon appareil est mis à jour pour résoudre ces problèmes?

Builds LMY48X ou version ultérieure et Android Marshmallow avec le niveau de correctif de sécurité du 1er novembre 2015 ou version ultérieure résolvent ces problèmes. Reportez-vous à la documentation Nexus pour savoir comment vérifier le niveau du correctif de sécurité. Les fabricants de périphériques qui incluent ces mises à jour doivent définir le niveau de la chaîne de correctif sur: [ro.build.version.security_patch]: [2015-11-01]

Révisions

  • 2 novembre 2015: Publié à l'origine