Google s'est engagé à promouvoir l'équité raciale pour les communautés noires. Regarde comment.
Cette page a été traduite par l'API Cloud Translation.
Switch to English

Bulletin de sécurité Nexus - Décembre 2015

Publié le 7 décembre 2015 | Mis à jour le 7 mars 2016

Nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour OTA (over-the-air) dans le cadre de notre processus de publication mensuelle du bulletin de sécurité Android. Les images du micrologiciel Nexus ont également été publiées sur le site des développeurs Google . Builds LMY48Z ou version ultérieure et Android 6.0 avec le niveau de correctif de sécurité du 1er décembre 2015 ou version ultérieure résolvent ces problèmes. Reportez-vous à la section Questions et réponses courantes pour plus de détails.

Les partenaires ont été informés de ces problèmes et leur ont fourni des mises à jour le 2 novembre 2015 ou avant. Le cas échéant, des correctifs de code source pour ces problèmes ont été publiés dans le référentiel Android Open Source Project (AOSP).

Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil affecté via plusieurs méthodes telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias. L' évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité aurait éventuellement sur un périphérique affecté, en supposant que les atténuations de plate-forme et de service sont désactivées à des fins de développement ou si elles sont contournées avec succès.

Nous n'avons eu aucun rapport d'exploitation client active de ces problèmes récemment signalés. Reportez-vous à la section Atténuations pour plus de détails sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet, qui améliorent la sécurité de la plate-forme Android. Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.

Atténuations

Ceci est un résumé des atténuations fournies par la plate - forme de sécurité Android et les protections de service telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que les vulnérabilités de sécurité puissent être exploitées avec succès sur Android.

  • L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux nouvelles versions de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour vers la dernière version d'Android lorsque cela est possible.
  • L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet qui avertiront des applications potentiellement dangereuses sur le point d'être installées. Les outils de rooting d'appareils sont interdits dans Google Play. Pour protéger les utilisateurs qui installent des applications en dehors de Google Play, Verify Apps est activé par défaut et avertit les utilisateurs des applications d'enracinement connues. Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'escalade de privilèges. Si une telle application a déjà été installée, Verify Apps en informera l'utilisateur et tentera de supprimer ces applications.
  • Le cas échéant, les applications Google Hangouts et Messenger ne transmettent pas automatiquement le contenu multimédia à des processus tels que mediaserver.

Remerciements

Nous remercions ces chercheurs pour leurs contributions:

  • Abhishek Arya, Oliver Chang et Martin Barbella de l'équipe de sécurité de Google Chrome: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , CVE-2015-6634
  • Flanker ( @flanker_hqd ) de KeenTeam ( @ K33nTeam ): CVE-2015-6620
  • Guang Gong (龚 广) ( @oldfresher , higongguang@gmail.com) de Qihoo 360 Technology Co. Ltd: CVE-2015-6626
  • Mark Carter ( @hanpingchinese ) d'EmberMitre Ltd: CVE-2015-6630
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2015-6621
  • Natalie Silvanovich de Google Project Zero: CVE-2015-6616
  • Peter Pi de Trend Micro: CVE-2015-6616, CVE-2015-6628
  • Qidan He ( @flanker_hqd ) et Marco Grassi ( @marcograss ) de KeenTeam ( @ K33nTeam ): CVE-2015-6622
  • Tzu-Yin (Nina) Tai: CVE-2015-6627
  • Joaquín Rinaudo ( @xeroxnir ) de Programa STIC à la Fundación Dr.Manuel Sadosky, Buenos Aires, Argentine: CVE-2015-6631
  • Wangtao (néobyte) de Baidu X-Team: CVE-2015-6626

Détails de la vulnérabilité de sécurité

Dans les sections ci-dessous, nous fournissons des détails pour chacune des vulnérabilités de sécurité qui s'appliquent au niveau de correctif 2015-12-01. Il existe une description du problème, une justification de la gravité et un tableau avec la CVE, le bogue associé, la gravité, les versions mises à jour et la date signalée. Lorsqu'il sera disponible, nous lierons la modification d'AOSP qui a résolu le problème à l'ID de bogue. Lorsque plusieurs modifications concernent un seul bogue, des références AOSP supplémentaires sont liées à des numéros suivant l'ID de bogue.

Vulnérabilités d'exécution de code à distance dans Mediaserver

Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, des vulnérabilités dans mediaserver pourraient permettre à un attaquant de provoquer une corruption de la mémoire et l'exécution de code à distance en tant que processus mediaserver.

La fonctionnalité affectée est fournie en tant qu'élément central du système d'exploitation et il existe plusieurs applications qui permettent de l'atteindre avec du contenu distant, notamment les MMS et la lecture de contenu multimédia par navigateur.

Ce problème est considéré comme une gravité critique en raison de la possibilité d'exécution de code à distance dans le contexte du service mediaserver. Le service mediaserver a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.

CVE Bug (s) avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2015-6616 ANDROID-24630158 Critique 6.0 et moins Google interne
ANDROID-23882800 Critique 6.0 et moins Google interne
ANDROID-17769851 Critique 5.1 et moins Google interne
ANDROID-24441553 Critique 6.0 et moins 22 sept. 2015
ANDROID-24157524 Critique 6,0 08 sept. 2015

Vulnérabilité d'exécution de code à distance dans Skia

Une vulnérabilité du composant Skia peut être exploitée lors du traitement d'un fichier multimédia spécialement conçu, ce qui pourrait entraîner une corruption de la mémoire et l'exécution de code à distance dans un processus privilégié. Ce problème est considéré comme une gravité critique en raison de la possibilité d'exécution de code à distance via plusieurs méthodes d'attaque telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias.

CVE Bug (s) avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2015-6617 ANDROID-23648740 Critique 6.0 et moins Google interne

Élévation de privilège dans le noyau

Une vulnérabilité d'élévation de privilèges dans le noyau système pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte racine de l'appareil. Ce problème est considéré comme un problème de gravité critique en raison de la possibilité d'une compromission permanente du périphérique local et le périphérique ne peut être réparé qu'en relançant le système d'exploitation.

CVE Bug (s) avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2015-6619 ANDROID-23520714 Critique 6.0 et moins 7 juin 2015

Vulnérabilités d'exécution de code à distance dans le pilote d'affichage

Il existe des vulnérabilités dans les pilotes d'affichage qui, lors du traitement d'un fichier multimédia, pourraient entraîner une corruption de la mémoire et une éventuelle exécution de code arbitraire dans le contexte du pilote en mode utilisateur chargé par mediaserver. Ce problème est considéré comme une gravité critique en raison de la possibilité d'exécution de code à distance via plusieurs méthodes d'attaque telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias.

CVE Bug (s) avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2015-6633 ANDROID-23987307 * Critique 6.0 et moins Google interne
CVE-2015-6634 ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] Critique 5.1 et moins Google interne

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'exécution de code à distance dans Bluetooth

Une vulnérabilité dans le composant Bluetooth d'Android pourrait permettre l'exécution de code à distance. Cependant, plusieurs étapes manuelles sont nécessaires avant que cela puisse se produire. Pour ce faire, il faudrait un appareil couplé avec succès, une fois que le profil de réseau personnel (PAN) est activé (par exemple en utilisant Bluetooth Tethering) et que l'appareil est couplé. L'exécution du code à distance serait au privilège du service Bluetooth. Un appareil n'est vulnérable à ce problème qu'à partir d'un appareil couplé avec succès lorsqu'il est à proximité locale.

Ce problème est classé comme étant de gravité élevée, car un attaquant ne pouvait exécuter du code arbitraire à distance qu'après plusieurs étapes manuelles et à partir d'un attaquant localement proche qui avait auparavant été autorisé à coupler un appareil.

CVE Bugs) Gravité Versions mises à jour Date signalée
CVE-2015-6618 ANDROID-24595992 * Haute 4.4, 5.0 et 5.1 28 sept. 2015

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilités d'élévation des privilèges dans libstagefright

Il existe plusieurs vulnérabilités dans libstagefright qui pourraient permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du service mediaserver. Ce problème est classé comme étant de gravité élevée car il pourrait être utilisé pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.

CVE Bug (s) avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2015-6620 ANDROID-24123723 Haute 6.0 et moins 10 sept. 2015
ANDROID-24445127 Haute 6.0 et moins 2 sept. 2015

Vulnérabilité d'élévation de privilège dans SystemUI

Lors de la définition d'une alarme à l'aide de l'application d'horloge, une vulnérabilité dans le composant SystemUI pourrait permettre à une application d'exécuter une tâche à un niveau de privilège élevé. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.

CVE Bug (s) avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2015-6621 ANDROID-23909438 Haute 5.0, 5.1 et 6.0 7 sept. 2015

Vulnérabilité de divulgation d'informations dans la bibliothèque de cadres natifs

Une vulnérabilité de divulgation d'informations dans la bibliothèque Android Native Frameworks pourrait permettre de contourner les mesures de sécurité en place pour augmenter la difficulté des attaquants exploitant la plate-forme. Ces problèmes sont classés comme étant de gravité élevée car ils peuvent également être utilisés pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.

CVE Bug (s) avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2015-6622 ANDROID-23905002 Haute 6.0 et moins 7 sept. 2015

Vulnérabilité d'élévation de privilège dans le Wi-Fi

Une vulnérabilité d'élévation de privilèges dans le Wi-Fi pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'un service système élevé. Ce problème est classé comme étant de gravité élevée car il pourrait être utilisé pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.

CVE Bug (s) avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2015-6623 ANDROID-24872703 Haute 6,0 Google interne

Vulnérabilité d'élévation de privilège dans System Server

Une vulnérabilité d'élévation de privilège dans le composant System Server pourrait permettre à une application malveillante locale d'accéder aux informations relatives au service. Ce problème est classé comme étant de gravité élevée car il pourrait être utilisé pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.

CVE Bug (s) avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2015-6624 ANDROID-23999740 Haute 6,0 Google interne

Vulnérabilités de divulgation d'informations dans libstagefright

Il existe des vulnérabilités de divulgation d'informations dans libstagefright qui, lors de la communication avec mediaserver, pourraient permettre de contourner les mesures de sécurité en place pour augmenter la difficulté des attaquants exploitant la plate-forme. Ces problèmes sont classés comme étant de gravité élevée car ils peuvent également être utilisés pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.

CVE Bug (s) avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2015-6632 ANDROID-24346430 Haute 6.0 et moins Google interne
CVE-2015-6626 ANDROID-24310423 Haute 6.0 et moins 2 sept. 2015
CVE-2015-6631 ANDROID-24623447 Haute 6.0 et moins 21 août 2015

Vulnérabilité de divulgation d'informations dans l'audio

Une vulnérabilité du composant Audio pourrait être exploitée lors du traitement des fichiers audio. Cette vulnérabilité pourrait permettre à une application malveillante locale, lors du traitement d'un fichier spécialement conçu, de provoquer la divulgation d'informations. Ce problème est classé comme étant de gravité élevée car il pourrait être utilisé pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.

CVE Bug (s) avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2015-6627 ANDROID-24211743 Haute 6.0 et moins Google interne

Vulnérabilité de divulgation d'informations dans Media Framework

Il existe une vulnérabilité de divulgation d'informations dans Media Framework qui, lors de la communication avec mediaserver, pourrait permettre de contourner les mesures de sécurité en place pour augmenter la difficulté des attaquants exploitant la plate-forme. Ce problème est classé comme étant de gravité élevée, car il pourrait également être utilisé pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.

CVE Bug (s) avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2015-6628 ANDROID-24074485 Haute 6.0 et moins 8 sept. 2015

Vulnérabilité de divulgation d'informations dans le Wi-Fi

Une vulnérabilité dans le composant Wi-Fi pourrait permettre à un attaquant d'amener le service Wi-Fi à divulguer des informations. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.

CVE Bug (s) avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2015-6629 ANDROID-22667667 Haute 5.1 et 5.0 Google interne

Vulnérabilité d'élévation de privilège dans System Server

Une vulnérabilité d'élévation de privilèges dans le serveur système pourrait permettre à une application malveillante locale d'accéder aux informations relatives au service Wi-Fi. Ce problème est de gravité modérée car il pourrait être utilisé pour obtenir des autorisations « dangereuses » de manière incorrecte.

CVE Bug (s) avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2015-6625 ANDROID-23936840 Modérer 6,0 Google interne

Vulnérabilité de divulgation d'informations dans SystemUI

Une vulnérabilité de divulgation d'informations dans SystemUI pourrait permettre à une application malveillante locale d'accéder aux captures d'écran. Ce problème est de gravité modérée, car il pourrait être utilisé pour obtenir de manière incorrecte des autorisations « dangereuses ».

CVE Bug (s) avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2015-6630 ANDROID-19121797 Modérer 5.0, 5.1 et 6.0 22 janv.2015

Questions et réponses courantes

Cette section passera en revue les réponses aux questions courantes qui peuvent survenir après la lecture de ce bulletin.

1. Comment déterminer si mon appareil est mis à jour pour résoudre ces problèmes?

Builds LMY48Z ou version ultérieure et Android 6.0 avec le niveau de correctif de sécurité du 1er décembre 2015 ou version ultérieure résolvent ces problèmes. Reportez-vous à la documentation Nexus pour savoir comment vérifier le niveau du correctif de sécurité. Les fabricants de périphériques qui incluent ces mises à jour doivent définir le niveau de la chaîne de correctif sur: [ro.build.version.security_patch]: [2015-12-01]

Révisions

  • 7 décembre 2015: Publié à l'origine
  • 9 décembre 2015: Bulletin révisé pour inclure les liens AOSP.
  • 22 décembre 2015: Ajout du crédit manquant à la section Remerciements.
  • 7 mars 2016: ajout du crédit manquant à la section Remerciements.