Publié le 05 octobre 2015 | Mis à jour le 28 avril 2016
Nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour en direct (OTA) dans le cadre de notre processus de publication mensuelle du bulletin de sécurité Android. Les images du micrologiciel Nexus ont également été publiées sur le site Google Developer . Les versions LMY48T ou ultérieures (telles que LMY48W) et Android M avec le niveau de correctif de sécurité du 1er octobre 2015 ou ultérieur résolvent ces problèmes. Reportez-vous à la documentation Nexus pour savoir comment vérifier le niveau du correctif de sécurité.
Les partenaires ont été informés de ces problèmes le 10 septembre 2015 ou avant. Des correctifs de code source pour ces problèmes ont été publiés dans le référentiel Android Open Source Project (AOSP).
Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil affecté via plusieurs méthodes telles que la messagerie électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias. L' évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les atténuations de la plate-forme et du service sont désactivées à des fins de développement ou si elles sont contournées avec succès.
Nous n'avons eu aucun rapport d'exploitation active par les clients de ces problèmes nouvellement signalés. Reportez-vous à la section Atténuations pour plus de détails sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet, qui améliorent la sécurité de la plate-forme Android. Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.
Atténuations
Il s'agit d'un résumé des mesures d'atténuation fournies par la plate- forme de sécurité Android et les protections de service telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que les vulnérabilités de sécurité puissent être exploitées avec succès sur Android.
- L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux nouvelles versions de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour la dernière version d'Android dans la mesure du possible.
- L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet qui avertiront des applications potentiellement dangereuses sur le point d'être installées. Les outils d'enracinement d'appareils sont interdits dans Google Play. Pour protéger les utilisateurs qui installent des applications en dehors de Google Play, Vérifier les applications est activé par défaut et avertira les utilisateurs des applications d'enracinement connues. Vérifier les applications tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'élévation de privilèges. Si une telle application a déjà été installée, Verify Apps avertira l'utilisateur et tentera de supprimer ces applications.
- Le cas échéant, Google a mis à jour les applications Hangouts et Messenger afin que les médias ne soient pas automatiquement transmis aux processus vulnérables (tels que mediaserver.)
Remerciements
Nous tenons à remercier ces chercheurs pour leurs contributions :
- Brennan Lautner : CVE-2015-3863
- Chiachih Wu et Xuxian Jiang de l'équipe C0RE de Qihoo 360 : CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
- Yajin Zhou, Lei Wu et Xuxian Jiang de l'équipe C0RE de Qihoo 360 : CVE-2015-3865
- Daniel Micay (daniel.micay@copperhead.co) chez Copperhead Security : CVE-2015-3875
- dragonltx de l'équipe de sécurité mobile d'Alibaba : CVE-2015-6599
- Ian Beer et Steven Vittitoe de Google Project Zero : CVE-2015-6604
- Joaquín Rinaudo (@xeroxnir) et Iván Arce (@4Dgifts) de Programa STIC à la Fundación Dr. Manuel Sadosky, Buenos Aires Argentine : CVE-2015-3870
- Josh Drake de Zimperium : CVE-2015-3876, CVE-2015-6602
- Jordan Gruskovnjak d'Exodus Intelligence (@jgrusko): CVE-2015-3867
- Peter Pi de Trend Micro : CVE-2015-3872, CVE-2015-3871
- Ping Li de Qihoo 360 Technology Co. Ltd : CVE-2015-3878
- Sept Shen : CVE-2015-6600, CVE-2015-3847
- Wangtao (néooctet) de Baidu X-Team : CVE-2015-6598
- Wish Wu de Trend Micro Inc. (@wish_wu) : CVE-2015-3823
- Michael Roland du JR-Center u'smile à l'Université des sciences appliquées, Haute-Autriche/ Hagenberg : CVE-2015-6606
Nous tenons également à remercier l'équipe de sécurité de Chrome, l'équipe de sécurité de Google, Project Zero et d'autres personnes au sein de Google pour leur contribution, qui ont signalé plusieurs problèmes résolus dans ce bulletin.
Détails de la vulnérabilité de sécurité
Dans les sections ci-dessous, nous fournissons des détails pour chacune des vulnérabilités de sécurité qui s'appliquent au niveau de correctif 2015-10-01. Il y a une description du problème, une justification de la gravité et un tableau avec le CVE, le bogue associé, la gravité, les versions affectées et la date signalée. Le cas échéant, nous avons lié le changement AOSP qui a résolu le problème à l'ID de bogue. Lorsque plusieurs modifications concernent un seul bogue, des références AOSP supplémentaires sont liées aux numéros suivant l'ID de bogue.
Vulnérabilités d'exécution de code à distance dans libstagefright
Il existe des vulnérabilités dans libstagefright qui pourraient permettre à un attaquant, lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, de provoquer une corruption de la mémoire et l'exécution de code à distance dans le service de serveur multimédia.
Ces problèmes sont classés comme étant de gravité critique en raison de la possibilité d'exécution de code à distance en tant que service privilégié. Les composants concernés ont accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions concernées | Date du rapport |
|---|---|---|---|---|
| CVE-2015-3873 | ANDROID-20674086 [ 2 , 3 , 4 ] | Critique | 5.1 et inférieur | Interne Google |
| ANDROID-20674674 [ 2 , 3 , 4 ] | ||||
| ANDROID-20718524 | ||||
| ANDROID-21048776 | ||||
| ANDROID-21443020 | ||||
| ANDROID-21814993 | ||||
| ANDROID-22008959 | ||||
| ANDROID-22077698 | ||||
| ANDROID-22388975 | ||||
| ANDROID-22845824 | ||||
| ANDROID-23016072 | ||||
| ANDROID-23247055 | ||||
| ANDROID-23248776 | ||||
| ANDROID-20721050 | Critique | 5.0 et 5.1 | Interne Google | |
| CVE-2015-3823 | ANDROID-21335999 | Critique | 5.1 et inférieur | 20 mai 2015 |
| CVE-2015-6600 | ANDROID-22882938 | Critique | 5.1 et inférieur | 31 juil. 2015 |
| CVE-2015-6601 | ANDROID-22935234 | Critique | 5.1 et inférieur | 3 août 2015 |
| CVE-2015-3869 | ANDROID-23036083 | Critique | 5.1 et inférieur | 4 août 2015 |
| CVE-2015-3870 | ANDROID-22771132 | Critique | 5.1 et inférieur | 5 août 2015 |
| CVE-2015-3871 | ANDROID-23031033 | Critique | 5.1 et inférieur | 6 août 2015 |
| CVE-2015-3868 | ANDROID-23270724 | Critique | 5.1 et inférieur | 6 août 2015 |
| CVE-2015-6604 | ANDROID-23129786 | Critique | 5.1 et inférieur | 11 août 2015 |
| CVE-2015-3867 | ANDROID-23213430 | Critique | 5.1 et inférieur | 14 août 2015 |
| CVE-2015-6603 | ANDROID-23227354 | Critique | 5.1 et inférieur | 15 août 2015 |
| CVE-2015-3876 | ANDROID-23285192 | Critique | 5.1 et inférieur | 15 août 2015 |
| CVE-2015-6598 | ANDROID-23306638 | Critique | 5.1 et inférieur | 18 août 2015 |
| CVE-2015-3872 | ANDROID-23346388 | Critique | 5.1 et inférieur | 19 août 2015 |
| CVE-2015-6599 | ANDROID-23416608 | Critique | 5.1 et inférieur | 21 août 2015 |
Vulnérabilités d'exécution de code à distance dans Sonivox
Il existe des vulnérabilités dans Sonivox qui pourraient permettre à un attaquant, lors du traitement d'un fichier multimédia d'un fichier spécialement conçu, de provoquer une corruption de la mémoire et l'exécution de code à distance dans le service de serveur multimédia. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance en tant que service privilégié. Le composant concerné a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions concernées | Date du rapport |
|---|---|---|---|---|
| CVE-2015-3874 | ANDROID-23335715 | Critique | 5.1 et inférieur | Plusieurs |
| ANDROID-23307276 [ 2 ] | ||||
| ANDROID-23286323 |
Vulnérabilités d'exécution de code à distance dans libutils
Des vulnérabilités dans libutils, une bibliothèque générique, existent dans le traitement des fichiers audio. Ces vulnérabilités pourraient permettre à un attaquant, lors du traitement d'un fichier spécialement conçu, de provoquer une corruption de mémoire et l'exécution de code à distance dans un service utilisant cette bibliothèque tel que mediaserver.
La fonctionnalité concernée est fournie sous la forme d'une API d'application et plusieurs applications lui permettent d'être accessible avec du contenu distant, notamment la lecture de médias par MMS et navigateur. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance dans un service privilégié. Le composant concerné a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions concernées | Date du rapport |
|---|---|---|---|---|
| CVE-2015-3875 | ANDROID-22952485 | Critique | 5.1 et inférieur | 15 août 2015 |
| CVE-2015-6602 | ANDROID-23290056 [ 2 ] | Critique | 5.1 et inférieur | 15 août 2015 |
Vulnérabilité d'exécution de code à distance dans Skia
Une vulnérabilité dans le composant Skia peut être exploitée lors du traitement d'un fichier multimédia spécialement conçu, ce qui pourrait entraîner une corruption de la mémoire et l'exécution de code à distance dans un processus privilégié. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance via plusieurs méthodes d'attaque telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions concernées | Date du rapport |
|---|---|---|---|---|
| CVE-2015-3877 | ANDROID-20723696 | Critique | 5.1 et inférieur | 30 juil. 2015 |
Vulnérabilités d'exécution de code à distance dans libFLAC
Une vulnérabilité dans libFLAC existe dans le traitement des fichiers multimédias. Ces vulnérabilités pourraient permettre à un attaquant, lors du traitement d'un fichier spécialement conçu, de provoquer une corruption de la mémoire et l'exécution de code à distance.
La fonctionnalité concernée est fournie sous la forme d'une API d'application et plusieurs applications permettent d'y accéder avec du contenu distant, comme la lecture de contenu multimédia par navigateur. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance dans un service privilégié. Le composant concerné a accès aux flux audio et vidéo ainsi qu'à des privilèges auxquels les applications tierces ne peuvent normalement pas accéder.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions concernées | Date du rapport |
|---|---|---|---|---|
| CVE-2014-9028 | ANDROID-18872897 [ 2 ] | Critique | 5.1 et inférieur | 14 novembre 2014 |
Vulnérabilité d'élévation de privilèges dans KeyStore
Une vulnérabilité d'élévation des privilèges dans le composant KeyStore peut être exploitée par une application malveillante lors de l'appel aux API KeyStore. Cette application pourrait entraîner une corruption de la mémoire et l'exécution de code arbitraire dans le contexte de KeyStore. Ce problème est classé comme étant de gravité élevée car il peut être utilisé pour accéder à des privilèges qui ne sont pas directement accessibles à une application tierce.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions concernées | Date du rapport |
|---|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | Haute | 5.1 et inférieur | 28 juillet 2015 |
Vulnérabilité d'élévation de privilèges dans la structure du lecteur multimédia
Une vulnérabilité d'élévation des privilèges dans le composant d'infrastructure du lecteur multimédia pourrait permettre à une application malveillante d'exécuter du code arbitraire dans le contexte du serveur multimédia. Ce problème est classé comme étant de gravité élevée car il permet à une application malveillante d'accéder à des privilèges inaccessibles à une application tierce.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions concernées | Date du rapport |
|---|---|---|---|---|
| CVE-2015-3879 | ANDROID-23223325 [2]* | Haute | 5.1 et inférieur | 14 août 2015 |
* Un deuxième changement pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .
Vulnérabilité d'élévation de privilèges dans Android Runtime
Une vulnérabilité d'élévation des privilèges dans Android Runtime peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité élevée, car il peut être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions concernées | Date du rapport |
|---|---|---|---|---|
| CVE-2015-3865 | ANDROID-23050463 [ 2 ] | Haute | 5.1 et inférieur | 8 août 2015 |
Vulnérabilités d'élévation des privilèges dans Mediaserver
Il existe plusieurs vulnérabilités dans mediaserver qui peuvent permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'un service natif privilégié. Ce problème est classé comme étant de gravité élevée car il peut être utilisé pour accéder à des privilèges qui ne sont pas directement accessibles à une application tierce.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions concernées | Date du rapport |
|---|---|---|---|---|
| CVE-2015-6596 | ANDROID-20731946 | Haute | 5.1 et inférieur | Plusieurs |
| ANDROID-20719651* | ||||
| ANDROID-19573085 | Haute | 5.0 - 6.0 | Interne Google |
* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .
Vulnérabilité d'élévation de privilèges dans le kit d'évaluation Secure Element
Une vulnérabilité dans le plug-in SEEK (Secure Element Evaluation Kit, alias SmartCard API) pourrait permettre à une application d'obtenir des autorisations élevées sans les demander. Ce problème est classé comme étant de gravité élevée, car il peut être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions concernées | Date du rapport |
|---|---|---|---|---|
| CVE-2015-6606 | ANDROID-22301786* | Haute | 5.1 et inférieur | 30 juin 2015 |
* La mise à niveau qui résout ce problème se trouve sur le site SEEK pour Android .
Vulnérabilité d'élévation des privilèges dans la projection des médias
Une vulnérabilité dans le composant Media Projection peut permettre la divulgation de données utilisateur sous la forme d'instantanés d'écran. Le problème est dû au fait que le système d'exploitation autorise des noms d'application trop longs. L'utilisation de ces noms longs par une application malveillante locale peut empêcher l'utilisateur de voir un avertissement concernant l'enregistrement d'écran. Ce problème est classé comme étant de gravité modérée, car il peut être utilisé pour obtenir de manière inappropriée des autorisations élevées.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions concernées | Date du rapport |
|---|---|---|---|---|
| CVE-2015-3878 | ANDROID-23345192 | Modéré | 5.0 - 6.0 | 18 août 2015 |
Vulnérabilité d'élévation de privilèges dans Bluetooth
Une vulnérabilité dans le composant Bluetooth d'Android pourrait permettre à une application de supprimer des messages SMS stockés. Ce problème est classé comme étant de gravité modérée, car il peut être utilisé pour obtenir de manière inappropriée des autorisations élevées.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions concernées | Date du rapport |
|---|---|---|---|---|
| CVE-2015-3847 | ANDROID-22343270 | Modéré | 5.1 et inférieur | 8 juil. 2015 |
Vulnérabilités d'élévation des privilèges dans SQLite
Plusieurs vulnérabilités ont été découvertes dans le moteur d'analyse SQLite. Ces vulnérabilités peuvent être exploitées par une application locale qui peut amener une autre application ou un autre service à exécuter des requêtes SQL arbitraires. Une exploitation réussie pourrait entraîner l'exécution de code arbitraire dans le contexte de l'application cible.
Un correctif a été téléchargé sur le maître AOSP le 8 avril 2015, mettant à niveau la version SQLite vers 3.8.9 : https://android-review.googlesource.com/#/c/145961/
Ce bulletin contient des correctifs pour les versions de SQLite dans Android 4.4 (SQLite 3.7.11) et Android 5.0 et 5.1 (SQLite 3.8.6).
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions concernées | Date du rapport |
|---|---|---|---|---|
| CVE-2015-6607 | ANDROID-20099586 | Modéré | 5.1 et inférieur | 7 avril 2015 Publiquement connu |
Vulnérabilités de déni de service dans Mediaserver
Il existe plusieurs vulnérabilités dans le serveur multimédia qui peuvent provoquer un déni de service en faisant planter le processus du serveur multimédia. Ces problèmes sont classés comme étant de gravité faible, car ils se traduisent par une panne du serveur multimédia entraînant un déni de service temporaire local.
| CVE | Bug(s) avec les liens AOSP | Gravité | Versions concernées | Date du rapport |
|---|---|---|---|---|
| CVE-2015-6605 | ANDROID-20915134 | Bas | 5.1 et inférieur | Interne Google |
| ANDROID-23142203 | ||||
| ANDROID-22278703 | Bas | 5.0 - 6.0 | Interne Google | |
| CVE-2015-3862 | ANDROID-22954006 | Bas | 5.1 et inférieur | 2 août 2015 |
Révisions
- 05 octobre 2015 : Bulletin publié.
- 07 octobre 2015 : Bulletin mis à jour avec les références AOSP. Clarification des références de bogue pour CVE-2014-9028.
- 12 octobre 2015 : accusés de réception mis à jour pour CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
- 22 janvier 2016 : accusés de réception mis à jour pour CVE-2015-6606.
- 28 avril 2016 : Ajout de CVE-2015-6603 et correction d'une faute de frappe avec CVE-2014-9028.