Bulletin de sécurité Nexus - Février 2016

Publié le 01 février 2016 | Mis à jour le 7 mars 2016

Nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour en direct (OTA) dans le cadre de notre processus de publication mensuelle du bulletin de sécurité Android. Les images du micrologiciel Nexus ont également été publiées sur le site Google Developer . Les versions LMY49G ou ultérieures et Android M avec le niveau de correctif de sécurité du 1er février 2016 ou ultérieur résolvent ces problèmes. Reportez-vous à la documentation Nexus pour savoir comment vérifier le niveau du correctif de sécurité.

Les partenaires ont été informés des problèmes décrits dans le bulletin le 4 janvier 2016 ou avant. Le cas échéant, des correctifs de code source pour ces problèmes ont été publiés dans le référentiel Android Open Source Project (AOSP).

Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil affecté via plusieurs méthodes telles que la messagerie électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias. La vulnérabilité d'exécution de code à distance dans le pilote Wi-Fi de Broadcom est également de gravité critique car elle pourrait permettre l'exécution de code à distance sur un appareil affecté tout en étant connecté au même réseau que l'attaquant. L' évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les atténuations de la plate-forme et du service sont désactivées à des fins de développement ou si elles sont contournées avec succès.

Nous n'avons eu aucun rapport d'exploitation active par les clients de ces problèmes nouvellement signalés. Reportez-vous à la section Atténuations pour plus de détails sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet, qui améliorent la sécurité de la plate-forme Android. Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.

Atténuations

Il s'agit d'un résumé des mesures d'atténuation fournies par la plate- forme de sécurité Android et les protections de service telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que les vulnérabilités de sécurité puissent être exploitées avec succès sur Android.

  • L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux nouvelles versions de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour la dernière version d'Android dans la mesure du possible.
  • L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet qui avertiront des applications potentiellement dangereuses sur le point d'être installées. Les outils d'enracinement d'appareils sont interdits dans Google Play. Pour protéger les utilisateurs qui installent des applications en dehors de Google Play, Vérifier les applications est activé par défaut et avertira les utilisateurs des applications d'enracinement connues. Vérifier les applications tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'élévation de privilèges. Si une telle application a déjà été installée, Verify Apps avertira l'utilisateur et tentera de supprimer ces applications.
  • Le cas échéant, les applications Google Hangouts et Messenger ne transmettent pas automatiquement les médias aux processus tels que le serveur multimédia.

Remerciements

Nous tenons à remercier ces chercheurs pour leurs contributions :

  • Équipe de sécurité Android et Chrome : CVE-2016-0809, CVE-2016-0810
  • Équipe Broadgate : CVE-2016-0801, CVE-2015-0802
  • Chiachih Wu ( @chiachih_wu ), Mingjian Zhou ( @Mingjian_Zhou ) et Xuxian Jiang de l'équipe C0RE , Qihoo 360 : CVE-2016-0804
  • David Riley de l'équipe Google Pixel C : CVE-2016-0812
  • Gengjia Chen ( @chengjia4574 ) de Lab IceSword, Qihoo 360 : CVE-2016-0805
  • Qidan He ( @Flanker_hqd ) de KeenLab ( @keen_lab ), Tencent : CVE-2016-0811
  • Seven Shen ( @lingtongshen ) de Trend Micro ( www.trendmicro.com ) : CVE-2016-0803
  • Weichao Sun ( @sunblate ) d'Alibaba Inc : CVE-2016-0808
  • Zach Riggle ( @ebeip90 ) de l'équipe de sécurité Android : CVE-2016-0807

Détails de la vulnérabilité de sécurité

Dans les sections ci-dessous, nous fournissons des détails pour chacune des vulnérabilités de sécurité qui s'appliquent au niveau de correctif 2016-02-01. Il y a une description du problème, une justification de la gravité et un tableau avec le CVE, le bogue associé, la gravité, les versions affectées et la date signalée. Lorsqu'il sera disponible, nous lierons le commit AOSP qui a résolu le problème à l'ID de bogue. Lorsque plusieurs modifications concernent un seul bogue, des références AOSP supplémentaires sont liées aux numéros suivant l'ID de bogue.

Vulnérabilité d'exécution de code à distance dans le pilote Wi-Fi Broadcom

Plusieurs vulnérabilités d'exécution à distance dans le pilote Wi-Fi Broadcom pourraient permettre à un attaquant distant d'utiliser des paquets de messages de contrôle sans fil spécialement conçus pour corrompre la mémoire du noyau d'une manière qui conduit à l'exécution de code à distance dans le contexte du noyau. Ces vulnérabilités peuvent être déclenchées lorsque l'attaquant et la victime sont associés au même réseau. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance dans le contexte du noyau sans nécessiter d'interaction de l'utilisateur.

CVE Insectes Gravité Versions mises à jour Date du rapport
CVE-2016-0801 ANDROID-25662029
ANDROID-25662233
Critique 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 octobre 2015
CVE-2016-0802 ANDROID-25306181 Critique 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26 octobre 2015

Vulnérabilité d'exécution de code à distance dans Mediaserver

Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, des vulnérabilités dans le serveur multimédia pourraient permettre à un attaquant de provoquer une corruption de la mémoire et l'exécution de code à distance en tant que processus du serveur multimédia.

La fonctionnalité concernée est fournie en tant que partie centrale du système d'exploitation et il existe plusieurs applications qui permettent d'y accéder avec du contenu à distance, notamment la lecture de médias par MMS et navigateur.

Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance dans le contexte du service de serveur multimédia. Le service de serveur multimédia a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.

CVE Bogues avec les liens AOSP Gravité Versions mises à jour Date du rapport
CVE-2016-0803 ANDROID-25812794 Critique 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 19 novembre 2015
CVE-2016-0804 ANDROID-25070434 Critique 5.0, 5.1.1, 6.0, 6.0.1 12 octobre 2015

Vulnérabilité d'élévation de privilèges dans le module de performances de Qualcomm

Une vulnérabilité d'élévation des privilèges dans le composant Performance Event Manager pour les processeurs ARM de Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission permanente de l'appareil local et l'appareil devra peut-être être réparé en reflashant le système d'exploitation.

CVE Punaise Gravité Versions mises à jour Date du rapport
CVE-2016-0805 ANDROID-25773204* Critique 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 15 novembre 2015

* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilèges dans le pilote Wi-Fi Qualcomm

Il existe une vulnérabilité dans le pilote Wi-Fi Qualcomm qui pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission permanente de l'appareil local et l'appareil devra peut-être être réparé en reflashant le système d'exploitation.

CVE Punaise Gravité Versions mises à jour Date du rapport
CVE-2016-0806 ANDROID-25344453* Critique 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 15 novembre 2015

* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilèges dans Debuggerd

Une vulnérabilité d'élévation des privilèges dans le composant Debuggerd pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte racine de l'appareil. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission permanente de l'appareil local et l'appareil devra peut-être être réparé en reflashant le système d'exploitation.

CVE Bug avec le lien AOSP Gravité Versions mises à jour Date du rapport
CVE-2016-0807 ANDROID-25187394 Critique 6.0 et 6.0.1 Interne Google

Vulnérabilité de déni de service dans Minikin

Une vulnérabilité de déni de service dans la bibliothèque Minikin pourrait permettre à un attaquant local de bloquer temporairement l'accès à un appareil affecté. Un attaquant pourrait provoquer le chargement d'une police non fiable et provoquer un débordement dans le composant Minikin entraînant un plantage. Ceci est considéré comme une gravité élevée car le déni de service entraîne une boucle de redémarrage continue.

CVE Bug avec le lien AOSP Gravité Versions mises à jour Date du rapport
CVE-2016-0808 ANDROID-25645298 Haute 5.0, 5.1.1, 6.0, 6.0.1 3 novembre 2015

Vulnérabilité d'élévation de privilèges dans le Wi-Fi

Une vulnérabilité d'élévation des privilèges dans le composant Wi-Fi pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte système. Un appareil n'est vulnérable à ce problème que lorsqu'il se trouve à proximité. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des fonctionnalités « normales » à distance. Généralement, ces autorisations ne sont accessibles qu'aux applications tierces installées localement.

CVE Bug avec le lien AOSP Gravité Versions mises à jour Date du rapport
CVE-2016-0809 ANDROID-25753768 Haute 6.0, 6.0.1 Interne Google

Vulnérabilité d'élévation de privilèges dans Mediaserver

Une vulnérabilité d'élévation des privilèges dans le serveur multimédia pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.

CVE Bug avec le lien AOSP Gravité Versions mises à jour Date du rapport
CVE-2016-0810 ANDROID-25781119 Haute 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 Interne Google

Vulnérabilité de divulgation d'informations dans libmediaplayerservice

Une vulnérabilité de divulgation d'informations dans libmediaplayerservice pourrait permettre un contournement des mesures de sécurité en place pour augmenter la difficulté des attaquants à exploiter la plate-forme. Ces problèmes sont classés comme étant de gravité élevée, car ils peuvent également être utilisés pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.

CVE Bug avec le lien AOSP Gravité Versions mises à jour Date du rapport
CVE-2016-0811 ANDROID-25800375 Haute 6.0, 6.0.1 16 novembre 2015

Vulnérabilité d'élévation de privilèges dans l'assistant de configuration

Une vulnérabilité dans l'assistant de configuration pourrait permettre à un attaquant malveillant de contourner la protection de réinitialisation d'usine et d'accéder à l'appareil. Ceci est classé comme une gravité modérée car il permet potentiellement à une personne ayant un accès physique à un appareil de contourner la protection contre la réinitialisation d'usine, ce qui permet à un attaquant de réinitialiser avec succès un appareil, en effaçant toutes les données.

CVE Bogues avec les liens AOSP Gravité Versions mises à jour Date du rapport
CVE-2016-0812 ANDROID-25229538 Modéré 5.1.1, 6.0 Interne Google
CVE-2016-0813 ANDROID-25476219 Modéré 5.1.1, 6.0, 6.0.1 Interne Google

Questions et réponses courantes

Cette section passe en revue les réponses aux questions courantes qui peuvent survenir après la lecture de ce bulletin.

1. Comment puis-je déterminer si mon appareil est mis à jour pour résoudre ces problèmes ?

Les versions LMY49G ou ultérieures et Android 6.0 avec le niveau de correctif de sécurité du 1er février 2016 ou ultérieur résolvent ces problèmes. Reportez-vous à la documentation Nexus pour savoir comment vérifier le niveau du correctif de sécurité. Les fabricants d'appareils qui incluent ces mises à jour doivent définir le niveau de chaîne de correctif sur : [ro.build.version.security_patch] : [2016-02-01]

Révisions

  • 01 février 2016 : Bulletin publié.
  • 02 février 2016 : Bulletin révisé pour inclure les liens AOSP.
  • 07 mars 2016 : Bulletin révisé pour inclure des liens AOSP supplémentaires.