Google s'est engagé à promouvoir l'équité raciale pour les communautés noires. Regarde comment.
Cette page a été traduite par l'API Cloud Translation.
Switch to English

Bulletin de sécurité Nexus - Mars 2016

Publié le 07 mars 2016 | Mis à jour le 8 mars 2016

Nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour OTA (over-the-air) dans le cadre de notre processus de publication mensuelle du bulletin de sécurité Android. Les images du micrologiciel Nexus ont également été publiées sur le site des développeurs Google . Builds LMY49H ou version ultérieure et Android M avec le niveau de correctif de sécurité du 1er mars 2016 ou version ultérieure résolvent ces problèmes. Reportez-vous à la documentation Nexus pour savoir comment vérifier le niveau du correctif de sécurité.

Les partenaires ont été informés des problèmes décrits dans le bulletin le 1er février 2016 ou avant. Le cas échéant, des correctifs de code source pour ces problèmes ont été publiés dans le référentiel Android Open Source Project (AOSP).

Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil affecté via plusieurs méthodes telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias. L' évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité aurait éventuellement sur un périphérique affecté, en supposant que les atténuations de plate-forme et de service sont désactivées à des fins de développement ou si elles sont contournées avec succès.

Nous n'avons eu aucun rapport d'exploitation client active de ces problèmes récemment signalés. Reportez-vous à la section Atténuations pour plus de détails sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet, qui améliorent la sécurité de la plate-forme Android. Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.

Atténuations

Ceci est un résumé des atténuations fournies par la plate - forme de sécurité Android et les protections de service telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que les vulnérabilités de sécurité puissent être exploitées avec succès sur Android.

  • L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux nouvelles versions de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour vers la dernière version d'Android lorsque cela est possible.
  • L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet, qui avertiront des applications potentiellement dangereuses sur le point d'être installées. Les outils de rooting d'appareils sont interdits dans Google Play. Pour protéger les utilisateurs qui installent des applications en dehors de Google Play, Verify Apps est activé par défaut et avertit les utilisateurs des applications d'enracinement connues. Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'escalade de privilèges. Si une telle application a déjà été installée, Verify Apps en informera l'utilisateur et tentera de supprimer ces applications.
  • Le cas échéant, les applications Google Hangouts et Messenger ne transmettent pas automatiquement le contenu multimédia à des processus tels que mediaserver.

Remerciements

Nous remercions ces chercheurs pour leurs contributions:

  • Abhishek Arya, Oliver Chang et Martin Barbella de l'équipe de sécurité Google Chrome: CVE-2016-0815
  • Anestis Bechtsoudis ( @anestisb ) de CENSUS SA: CVE-2016-0816, CVE-2016-0824
  • Chad Brubaker de la sécurité Android: CVE-2016-0818
  • Marque de marque de Google Project Zero: CVE-2016-0820
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) et Xuxian Jiang de l' équipe C0RE de Qihoo 360 : CVE-2016-0826
  • Peter Pi ( @heisecode ) de Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
  • Scott Bauer ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
  • Wish Wu ( @wish_wu ) de Trend Micro Inc.: CVE-2016-0819
  • Yongzheng Wu et Tieyan Li de Huawei: CVE-2016-0831
  • Su Mon Kywe et Yingjiu Li de la Singapore Management University: CVE-2016-0831
  • Zach Riggle ( @ ebeip90 ) de l'équipe de sécurité Android: CVE-2016-0821

Détails de la vulnérabilité de sécurité

Dans les sections ci-dessous, nous fournissons des détails pour chacune des vulnérabilités de sécurité qui s'appliquent au niveau de correctif 2016-03-01. Il y a une description du problème, une justification de la gravité et un tableau avec la CVE, le bogue associé, la gravité, les versions affectées et la date signalée. Lorsqu'il sera disponible, nous lierons la modification d'AOSP qui a résolu le problème à l'ID de bogue. Lorsque plusieurs modifications concernent un seul bogue, des références AOSP supplémentaires sont liées à des numéros suivant l'ID de bogue.

Vulnérabilité d'exécution de code à distance dans Mediaserver

Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, des vulnérabilités dans mediaserver pourraient permettre à un attaquant de provoquer une corruption de la mémoire et l'exécution de code à distance en tant que processus mediaserver.

La fonctionnalité affectée est fournie en tant qu'élément central du système d'exploitation, et il existe plusieurs applications qui permettent de l'atteindre avec du contenu distant, notamment les MMS et la lecture de contenu multimédia par navigateur.

Ce problème est considéré comme une gravité critique en raison de la possibilité d'exécution de code à distance dans le contexte du service mediaserver. Le service mediaserver a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne pourraient normalement pas accéder.

CVE Bogues avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2016-0815 ANDROID-26365349 Critique 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google interne
CVE-2016-0816 ANDROID-25928803 Critique 6.0, 6.0.1 Google interne

Vulnérabilités d'exécution de code à distance dans libvpx

Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, des vulnérabilités dans mediaserver pourraient permettre à un attaquant de provoquer une corruption de la mémoire et l'exécution de code à distance en tant que processus mediaserver.

La fonctionnalité affectée est fournie en tant qu'élément central du système d'exploitation et il existe plusieurs applications qui permettent de l'atteindre avec du contenu distant, notamment les MMS et la lecture de contenu multimédia par navigateur.

Les problèmes sont classés comme étant de gravité critique car ils peuvent être utilisés pour l'exécution de code à distance dans le contexte du service mediaserver. Le service mediaserver a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.

CVE Bug avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2016-1621 ANDROID-23452792 [2] [3] Critique 4.4.4, 5.0.2, 5.1.1, 6.0 Google interne

Élévation de privilège dans Conscrypt

Une vulnérabilité dans Conscrypt pourrait permettre à un type spécifique de certificat invalide, émis par une autorité de certification intermédiaire (CA), d'être incorrectement approuvé. Cela peut activer une attaque de type «man-in-the-middle». Ce problème est considéré comme une gravité critique en raison de la possibilité d'une élévation de privilèges et de l'exécution de code arbitraire à distance.

CVE Bug avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2016-0818 ANDROID-26232830 [2] Critique 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google interne

Vulnérabilité d'élévation de privilège dans le composant de performance Qualcomm

Une vulnérabilité d'élévation de privilège dans le composant de performance Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est considéré comme un problème de gravité critique en raison de la possibilité d'une compromission permanente de l'appareil local, et l'appareil ne peut être réparé qu'en relançant le système d'exploitation.

CVE Punaise Gravité Versions mises à jour Date signalée
CVE-2016-0819 ANDROID-25364034 * Critique 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 octobre 2015

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilège dans le pilote de noyau Wi-Fi MediaTek

Il existe une vulnérabilité dans le pilote du noyau Wi-Fi MediaTek qui pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est considéré comme une gravité critique en raison de la possibilité d'élévation de privilèges et d'exécution de code arbitraire dans le contexte du noyau.

CVE Punaise Gravité Versions mises à jour Date signalée
CVE-2016-0820 ANDROID-26267358 * Critique 6.0.1 18 déc.2015

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilège dans le composant Keyring du noyau

Une vulnérabilité d'élévation de privilèges dans le composant Kernel Keyring pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est considéré comme un problème de gravité critique en raison de la possibilité d'une compromission permanente de l'appareil local et l'appareil ne peut être réparé qu'en relançant le système d'exploitation. Cependant, dans les versions Android 5.0 et supérieures, les règles SELinux empêchent les applications tierces d'atteindre le code concerné.

Remarque: Pour référence, le correctif dans AOSP est disponible pour des versions de noyau spécifiques: 4.1 , 3.18 , 3.14 et 3.10 .

CVE Punaise Gravité Versions mises à jour Date signalée
CVE-2016-0728 ANDROID-26636379 Critique 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 janvier 2016

Vulnérabilité de contournement de l'atténuation dans le noyau

Une vulnérabilité de contournement d'atténuation dans le noyau pourrait permettre de contourner les mesures de sécurité en place pour augmenter la difficulté des attaquants exploitant la plate-forme. Ce problème est considéré comme étant de gravité élevée car il pourrait permettre de contourner les mesures de sécurité en place pour augmenter la difficulté des attaquants exploitant la plate-forme.

Remarque: la mise à jour de ce problème se trouve dans l'amont Linux .

CVE Punaise Gravité Versions mises à jour Date signalée
CVE-2016-0821 ANDROID-26186802 Haute 6.0.1 Google interne

Élévation de privilège dans le pilote de noyau de connectivité MediaTek

Il existe une vulnérabilité d'élévation de privilège dans un pilote de noyau de connectivité MediaTek qui pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, un bogue d'exécution de code du noyau comme celui-ci serait considéré comme critique, mais comme il nécessite d'abord de compromettre le service conn_launcher, il justifie une rétrogradation à la cote de gravité élevée.

CVE Punaise Gravité Versions mises à jour Date signalée
CVE-2016-0822 ANDROID-25873324 * Haute 6.0.1 24 novembre 2015

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité de divulgation d'informations dans le noyau

Une vulnérabilité de divulgation d'informations dans le noyau pourrait permettre de contourner les mesures de sécurité en place pour augmenter la difficulté des attaquants exploitant la plateforme. Ces problèmes sont classés comme étant de gravité élevée car ils pourraient permettre un contournement local des technologies d'atténuation des exploits telles que l'ASLR dans un processus privilégié.

Remarque: le correctif de ce problème se trouve dans Linux en amont .

CVE Punaise Gravité Versions mises à jour Date signalée
CVE-2016-0823 ANDROID-25739721 * Haute 6.0.1 Google interne

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité de divulgation d'informations dans libstagefright

Une vulnérabilité de divulgation d'informations dans libstagefright pourrait permettre de contourner les mesures de sécurité en place pour augmenter la difficulté des attaquants exploitant la plate-forme. Ces problèmes sont classés comme étant de gravité élevée car ils peuvent également être utilisés pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.

CVE Bug avec lien AOSP Gravité Versions mises à jour Date signalée
CVE-2016-0824 ANDROID-25765591 Haute 6.0, 6.0.1 18 novembre 2015

Vulnérabilité de divulgation d'informations dans Widevine

Une vulnérabilité de divulgation d'informations dans Widevine Trusted Application pourrait permettre au code exécuté dans le contexte du noyau d'accéder aux informations du stockage sécurisé TrustZone. Ce problème est classé comme étant de gravité élevée car il pourrait être utilisé pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem .

CVE Bugs) Gravité Versions mises à jour Date signalée
CVE-2016-0825 ANDROID-20860039 * Haute 6.0.1 Google interne

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilège dans Mediaserver

Une vulnérabilité d'élévation de privilèges dans mediaserver pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité élevée car il pourrait être utilisé pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.

CVE Bogues avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2016-0826 ANDROID-26265403 [2] Haute 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 déc.2015
CVE-2016-0827 ANDROID-26347509 Haute 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 déc.2015

Vulnérabilité de divulgation d'informations dans Mediaserver

Une vulnérabilité de divulgation d'informations dans mediaserver pourrait permettre de contourner les mesures de sécurité en place pour augmenter la difficulté des attaquants exploitant la plateforme. Ces problèmes sont classés comme étant de gravité élevée car ils peuvent également être utilisés pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.

CVE Bogues avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2016-0828 ANDROID-26338113 Haute 5.0.2, 5.1.1, 6.0 et 6.0.1 27 déc.2015
CVE-2016-0829 ANDROID-26338109 Haute 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 déc.2015

Vulnérabilité de déni de service à distance dans Bluetooth

Une vulnérabilité de déni de service à distance dans le composant Bluetooth pourrait permettre à un attaquant proximal de bloquer l'accès à un appareil affecté. Un attaquant pourrait provoquer un débordement de périphériques Bluetooth identifiés dans le composant Bluetooth, ce qui entraînerait une corruption de la mémoire et l'arrêt du service. Ceci est considéré comme une gravité élevée car cela conduit à un déni de service du service Bluetooth, qui ne pourrait potentiellement être résolu qu'avec un flash de l'appareil.

CVE Bug avec lien AOSP Gravité Versions mises à jour Date signalée
CVE-2016-0830 ANDROID-26071376 Haute 6.0, 6.0.1 Google interne

Vulnérabilité de divulgation d'informations dans la téléphonie

Une vulnérabilité de divulgation d'informations dans le composant Téléphonie pourrait permettre à une application d'accéder à des informations sensibles. Ce problème est de gravité modérée, car il pourrait être utilisé pour accéder de manière incorrecte aux données sans autorisation.

CVE Bug avec lien AOSP Gravité Versions mises à jour Date signalée
CVE-2016-0831 ANDROID-25778215 Modérer 5.0.2, 5.1.1, 6.0 et 6.0.1 16 novembre 2015

Vulnérabilité d'élévation de privilège dans l'assistant de configuration

Une vulnérabilité dans l'assistant de configuration pourrait permettre à un attaquant ayant un accès physique à l'appareil d'accéder aux paramètres de l'appareil et d'effectuer une réinitialisation manuelle de l'appareil. Ce problème est de gravité modérée, car il pourrait être utilisé pour contourner de manière incorrecte la protection de réinitialisation d'usine.

CVE Bugs) Gravité Versions mises à jour Date signalée
CVE-2016-0832 ANDROID-25955042 * Modérer 5.1.1, 6.0, 6.0.1 Google interne

* Aucun correctif de code source n'est fourni pour cette mise à jour.

Questions et réponses courantes

Cette section examine les réponses aux questions courantes qui peuvent survenir après la lecture de ce bulletin.

1. Comment déterminer si mon appareil est mis à jour pour résoudre ces problèmes?

Builds LMY49H ou version ultérieure et Android 6.0 avec le niveau de correctif de sécurité du 1er mars 2016 ou version ultérieure résolvent ces problèmes. Reportez-vous à la documentation Nexus pour savoir comment vérifier le niveau du correctif de sécurité. Les fabricants de périphériques qui incluent ces mises à jour doivent définir le niveau de la chaîne de correctif sur: [ro.build.version.security_patch]: [2016-03-01]

Révisions

  • 07 mars 2016: Bulletin publié.
  • 8 mars 2016: Bulletin révisé pour inclure les liens AOSP.