Meerdere kwetsbaarheden verholpen in Android

Het Android open-source project heeft updates uitgebracht om meerdere kwetsbaarheden in Android te verhelpen.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Meerdere kwetsbaarheden verholpen in Android
Advisory ID     : NCSC-2016-1009
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2012-6702, CVE-2014-9675, CVE-2014-9908,
                  CVE-2015-0410, CVE-2015-1283, CVE-2015-8961,
                  CVE-2015-8962, CVE-2015-8963, CVE-2015-8964,
                  CVE-2016-0718, CVE-2016-2184, CVE-2016-3904,
                  CVE-2016-3906, CVE-2016-3907, CVE-2016-5195,
                  CVE-2016-5300, CVE-2016-6136, CVE-2016-6698,
                  CVE-2016-6699, CVE-2016-6700, CVE-2016-6701,
                  CVE-2016-6702, CVE-2016-6703, CVE-2016-6704,
                  CVE-2016-6705, CVE-2016-6706, CVE-2016-6707,
                  CVE-2016-6708, CVE-2016-6709, CVE-2016-6710,
                  CVE-2016-6711, CVE-2016-6712, CVE-2016-6713,
                  CVE-2016-6714, CVE-2016-6715, CVE-2016-6716,
                  CVE-2016-6717, CVE-2016-6718, CVE-2016-6719,
                  CVE-2016-6720, CVE-2016-6721, CVE-2016-6722,
                  CVE-2016-6723, CVE-2016-6724, CVE-2016-6725,
                  CVE-2016-6726, CVE-2016-6727, CVE-2016-6728,
                  CVE-2016-6729, CVE-2016-6730, CVE-2016-6731,
                  CVE-2016-6732, CVE-2016-6733, CVE-2016-6734,
                  CVE-2016-6735, CVE-2016-6736, CVE-2016-6737,
                  CVE-2016-6738, CVE-2016-6739, CVE-2016-6740,
                  CVE-2016-6741, CVE-2016-6742, CVE-2016-6743,
                  CVE-2016-6744, CVE-2016-6745, CVE-2016-6746,
                  CVE-2016-6747, CVE-2016-6748, CVE-2016-6749,
                  CVE-2016-6750, CVE-2016-6751, CVE-2016-6752,
                  CVE-2016-6753, CVE-2016-6754, CVE-2016-6828,
                  CVE-2016-7910, CVE-2016-7911, CVE-2016-7912,
                  CVE-2016-7913, CVE-2016-7914, CVE-2016-7915,
                  CVE-2016-7916, CVE-2016-7917	
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Omzeilen van beveiligingsmaatregel
                  Remote code execution (Administrator/Root rechten)
                  Remote code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
                  Toegang tot systeemgegevens
                  Verhoogde gebruikersrechten
Uitgiftedatum   : 20161109
Toepassing      : Google nexus
                  Samsung Galaxy Note
                  Blackberry
Versie(s)       : Versies eerder dan patch-level 2016-11-06
Platform(s)     : Google Android Operating System

Samenvatting
   Het Android open-source project heeft updates uitgebracht om
   meerdere kwetsbaarheden in Android te verhelpen.

Gevolgen
   Door de kwetsbaarheden te misbruiken kan een kwaadwillende al dan
   niet op afstand willekeurige code uitvoeren, audio opnemen zonder
   toestemming van de gebruiker, code uitvoeren met verhoogde rechten,
   een Man-in-the-Middle aanval op versleutelde verbindingen uitvoeren,
   op afstand een Denial-of-Service veroorzaken of
   beveiligingswaarschuwingen omzeilen.

Beschrijving
   CVE-2016-6699, CVE-2016-6704, CVE-2016-6705, CVE-2016-6706,
   CVE-2016-6711, CVE-2016-6712, CVE-2016-6713, CVE-2016-6714,
   CVE-2016-6717, CVE-2016-6720, CVE-2016-6721, CVE-2016-6722,
   CVE-2016-6747
   Er bevinden zich meerdere kwetsbaarheden in de Mediaserver waardoor
   een kwaadwillende op afstand willekeurige code kan uitvoeren,
   verhoogde permissies kan krijgen binnen het systeem, gevoelige
   informatie kan verkrijgen of een Denial-of-Service kan veroorzaken.
   
   CVE-2016-6754
   Door een kwetsbaarheid in het WebView component kan een
   kwaadwillende op afstand code uitvoeren binnen het process dat
   webview component gebruikt voor het weergeven van websites.
   
   CVE-2016-6701
   Er bevindt zich een kwetsbaarheid in libskia waardoor een
   kwaadwillende met malafide media bestanden op afstand willekeurige
   code kan uitvoeren, bijvoorbeeld binnen het Gallery proces.
   
   CVE-2014-9675
   Door een kwetsbaarheid in libfreetype kan een kwaadwillende op
   afstand code uitvoeren binnen het proces waarbinnen malafide font
   bestanden worden geopend.
   
   CVE-2016-6700
   Er bevindt zich een kwetsbaarheid in libzipfile waardoor een
   kwaadwillende verhoogde gebruikersrechten kan krijgen binnen het
   systeem.
   
   CVE-2016-6702
   Er bevindt zich een kwetsbaarheid in libjpeg waardoor een
   kwaadwillende op afstand willekeurige code kan uitvoeren.
   
   CVE-2016-6715
   Door een kwetsbaarheid in de Framework API kan een kwaadwillende
   audio opnemen zonder toestemming van de gebruiker.
   
   CVE-2016-6709
   Bij het gebruik van niet standaard versleutelingalgorithmes met
   Conscrypt of BoringSSL kan een kwaadwillende een Man-in-the-Middle
   aanval uitvoeren.
   
   CVE-2016-6703
   Er bevindt zich een kwetsbaarheid in een bibliotheek van het Android
   Runtime environment waardoor een kwaadwillende willekeurige code kan
   uitvoeren binnen een android applicatie.
   
   CVE-2016-6707
   Er bevindt zich een kwetsbaarheid in de system server waardoor een
   kwaadwillende willekeurige code kan uitvoeren of verhoogde
   permissies kan krijgen binnen het systeem.
   
   CVE-2016-6708
   In de multi-window modus van de grafische gebruikersinterface kan
   een lokale kwaadwillende een beveiligingswaarschuwing omzeilen.
   
   CVE-2016-6710
   Door een kwetsbaarheid in de Download-manager kan een applicatie van
   kwaadwillende toegang krijgen tot bestanden van andere applicaties.
   
   CVE-2016-6719
   Door een kwetsbaarheid in de bluetooth-implementatie kan een
   kwaadwillende een pairing opzetten zonder toestemming van de
   gebruiker.
   
   CVE-2014-9908
   Er bevindt zich een op afstand te misbruiken Denial-of-Service
   kwetsbaarheid in Bluetooth.
   
   CVE-2015-0410
   Door een kwetsbaarheid in de verwerking van gegevens in DER formaat
   binnen OpenJDK kan een kwaadwillende op afstand een
   Denial-of-Service veroorzaken.
   
   CVE-2016-6716
   Door een kwetsbaarheid in de Launcher kan een kwaadwillende
   snelkoppelingen creëren die met verhoogde gebruikersrechten worden
   opgestart.
   
   CVE-2016-6718
   Door een kwetsbaarheid in de account manager service kan een
   kwaadwillende gevoelige informatie leren.
   
   CVE-2016-6723
   Door een kwetsbaarheid in proxy autoconfiguration kan een
   kwaadwillende op afstand een Denial-of-Service veroorzaken.
   
   CVE-2016-6724
   Door een kwetsbaarheid in de input manager service kan een
   kwaadwillende een Denial-of-Service door een constante reboot
   veroorzaken.
   
   CVE-2016-6725, CVE-2016-6738
   Door kwetsbaarheden in de crypto driver voor Qualcomm systemen kan
   een kwaadwillende, mogelijk op afstand, willekeurige code uitvoeren
   binnen de kernel.
   
   CVE-2015-8961, CVE-2016-7911, CVE-2016-7910
   Door kwetsbaarheden in het kernel bestandsysteem kan een
   kwaadwillende willekeurige code uitvoeren binnen de kernel.
   
   CVE-2015-8962
   Door een kwetsbaarheid in de kernel SCSI driver kan een
   kwaadwillende willekeurige code uitvoeren binnen de kernel.
   
   CVE-2016-7913
   Door een kwetsbaarheid in de kernel media driver kan een
   kwaadwillende willekeurige code uitvoeren binnen de kernel.
   
   CVE-2016-7912
   Door een kwetsbaarheid in de kernel USB driver kan een kwaadwillende
   willekeurige code uitvoeren binnen de kernel.
   
   CVE-2016-6728, CVE-2016-6737
   Door kwetsbaarheden in het kernel ION-geheugenbeheer kan een
   kwaadwillende willekeurige code uitvoeren binnen de kernel.
   
   CVE-2016-6729
   Door een kwetsbaarheid in de Qualcomm bootloader kan een
   kwaadwillende willekeurige code uitvoeren binnen de kernel.
   
   CVE-2016-6730, CVE-2016-6731, CVE-2016-6732, CVE-2016-6733,
   CVE-2016-6734, CVE-2016-6735, CVE-2016-6736
   Door kwetsbaarheden in de nvidia GPU driver kan een kwaadwillende
   willekeurige code uitvoeren binnen de kernel.
   
   CVE-2016-6828
   Door een kwetsbaarheid in de netwerkondersteuning van de kernel kan
   een kwaadwillende willekeurige code uitvoeren binnen de kernel.
   
   CVE-2016-2184
   Door een kwetsbaarheid in de audio ondersteuning van de kernel kan
   een kwaadwillende willekeurige code uitvoeren binnen de kernel.
   
   CVE-2016-6727, CVE-2016-6726
   Er bevinden zich twee niet nader omschreven kwetsbaarheden in de
   binaire software voor Qualcomm componenten.
   
   CVE-2016-0718, CVE-2012-6702, CVE-2016-5300, CVE-2015-1283
   Door kwetsbaarheden in de Expat XML parser kan een kwaadwillende
   willekeurige code uitvoeren binnen applicaties die Expat gebruiken.
   
   CVE-2015-8963
   Door een kwetsbaarheid in de kernel performance counters kan een
   kwaadwillende willekeurige code uitvoeren binnen de kernel.
   
   CVE-2016-6136
   Door een kwetsbaarheid in de auditing functionaliteit voor system
   calls kan een kwaadwillende willekeurige code uitvoeren binnen de
   kernel.
   
   CVE-2016-6739, CVE-2016-6740, CVE-2016-6741
   Door kwetsbaarheden in de Qualcomm ondersteuning voor cameras kan
   een kwaadwillende willekeurige code uitvoeren binnen de kernel.
   
   CVE-2016-3904
   Door een kwetsbaarheid in de Qualcomm bus driver kan een
   kwaadwillende willekeurige code uitvoeren binnen de kernel.
   
   CVE-2016-6742, CVE-2016-6744, CVE-2016-6745, CVE-2016-6743
   Door kwetsbaarheden in de drivers voor Synaptics touchscreens kan
   een kwaadwillende willekeurige code uitvoeren binnen de kernel.
   
   CVE-2016-5195
   Door een kwetsbaarheid in het kernel geheugebeheer kan een
   kwaadwillende willekeurige code uitvoeren binnen de kernel.
   
   CVE-2015-8964
   Door een kwetsbaarheid in de terminal driver kan kan een
   kwaadwillende toegang krijgen tot gevoelige gegevens.
   
   CVE-2016-7915
   Door een kwetsbaarheid in de human interface device driver kan een
   kwaadwillende toegang krijgen tot gevoelige gegevens.
   
   CVE-2016-7914
   Door een kwetsbaarheid in kernel gegevensstructuren voor
   sleutelbeheer kan een kwaadwillende toegang krijgen tot gevoelige
   gegevens.
   
   CVE-2016-7916
   Door een kwetsbaarheid in het proc bestandsysteem kan een
   kwaadwillende toegang krijgen tot gevoelige gegevens.
   
   CVE-2016-6746
   Door een kwetsbaarheid in de nvidia GPU driver kan een kwaadwillende
   toegang krijgen tot gevoelige gegevens.
   
   CVE-2016-7917
   Door een kwetsbaarheid in de netwerkondersteuning van de kernel kan
   een kwaadwillende toegang krijgen tot gevoelige gegevens.
   
   CVE-2016-6753
   Door een kwetsbaarheid in de process-grouping functionaliteit van de
   kernel kan een kwaadwillende toegang krijgen tot gevoelige gegevens.
   
   CVE-2016-6748, CVE-2016-6749, CVE-2016-6750, CVE-2016-3906,
   CVE-2016-3907, CVE-2016-6698, CVE-2016-6751, CVE-2016-6752
   Door kwetsbaarheden in drivers voor Qualcomm componenten kan een
   kwaadwillende toegang krijgen tot gevoelige gegevens.

Mogelijke oplossingen
   -= Google NEXUS =-
   Google heeft Over-the-Air (OTA)-updates vrijgegeven voor enkele
   getroffen toestellen. Deze zullen na toestemming van de gebruiker
   automatisch worden geïnstalleerd. Mocht u onder 
   "Instellingen > Toestel informatie > Android versie" zien dat u nog
   geen nieuw patch level heeft ontvangen dan moet u mogelijk contact
   opnemen met uw telecomaanbieder. Zie voor meer informatie:
   
   https://source.android.com/security/bulletin/2016-11-01.html
   
   -= Samsung =-
   Samsung heeft voor de omschreven kwetsbaarheden en enkele niet
   omschreven kwetsbaarheden Over-the-Air (OTA)-updates vrijgegeven
   voor enkele getroffen toestellen. Deze zullen na toestemming van de
   gebruiker automatisch worden geïnstalleerd. Mocht u onder 
   "Instellingen > Toestel informatie > Android versie" zien dat u nog
   geen nieuw patch level heeft ontvangen dan moet u mogelijk contact
   opnemen met uw telecomaanbieder. Zie voor meer informatie:
   
   http://security.samsungmobile.com/smrupdate.html#SMR-NOV-2016
   http://www.samsung.com/nl/support/skp/faq/1067395
   
   -= Blackberry =- 
   Blackberry heeft Over-the-Air (OTA)-updates vrijgegeven voor enkele
   getroffen toestellen. Deze zullen na toestemming van de gebruiker
   automatisch worden geïnstalleerd. Mocht u onder 
   "Instellingen > Toestel informatie > Android versie" zien dat u nog
   geen nieuw patch level heeft ontvangen dan moet u mogelijk contact
   opnemen met uw telecomaanbieder. Zie voor meer informatie:
   
   http://support.blackberry.com/kb
      /articleDetail?articleNumber=000038666
   
   Voor overige toestellen en systemen zijn de updates vrijgegeven via
   de Google Developer Site. Hiermee kunnen systeemleveranciers hun
   eigen versies bijwerken. Voor een uitgebreide uitwerking van de
   kwetsbaarheden en getroffen versies verwijzen we naar het Android
   security bulletin:
   
   https://source.android.com/security/bulletin/2016-11-01.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=bzTl
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig