Meerdere kwetsbaarheden verholpen in Android
Het Android open-source project heeft updates uitgebracht om meerdere kwetsbaarheden in Android te verhelpen.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Meerdere kwetsbaarheden verholpen in Android Advisory ID : NCSC-2016-1009 Versie : 1.00 Kans : medium CVE ID : CVE-2012-6702, CVE-2014-9675, CVE-2014-9908, CVE-2015-0410, CVE-2015-1283, CVE-2015-8961, CVE-2015-8962, CVE-2015-8963, CVE-2015-8964, CVE-2016-0718, CVE-2016-2184, CVE-2016-3904, CVE-2016-3906, CVE-2016-3907, CVE-2016-5195, CVE-2016-5300, CVE-2016-6136, CVE-2016-6698, CVE-2016-6699, CVE-2016-6700, CVE-2016-6701, CVE-2016-6702, CVE-2016-6703, CVE-2016-6704, CVE-2016-6705, CVE-2016-6706, CVE-2016-6707, CVE-2016-6708, CVE-2016-6709, CVE-2016-6710, CVE-2016-6711, CVE-2016-6712, CVE-2016-6713, CVE-2016-6714, CVE-2016-6715, CVE-2016-6716, CVE-2016-6717, CVE-2016-6718, CVE-2016-6719, CVE-2016-6720, CVE-2016-6721, CVE-2016-6722, CVE-2016-6723, CVE-2016-6724, CVE-2016-6725, CVE-2016-6726, CVE-2016-6727, CVE-2016-6728, CVE-2016-6729, CVE-2016-6730, CVE-2016-6731, CVE-2016-6732, CVE-2016-6733, CVE-2016-6734, CVE-2016-6735, CVE-2016-6736, CVE-2016-6737, CVE-2016-6738, CVE-2016-6739, CVE-2016-6740, CVE-2016-6741, CVE-2016-6742, CVE-2016-6743, CVE-2016-6744, CVE-2016-6745, CVE-2016-6746, CVE-2016-6747, CVE-2016-6748, CVE-2016-6749, CVE-2016-6750, CVE-2016-6751, CVE-2016-6752, CVE-2016-6753, CVE-2016-6754, CVE-2016-6828, CVE-2016-7910, CVE-2016-7911, CVE-2016-7912, CVE-2016-7913, CVE-2016-7914, CVE-2016-7915, CVE-2016-7916, CVE-2016-7917 (http://cve.mitre.org/cve/) Schade : high Denial-of-Service (DoS) Omzeilen van beveiligingsmaatregel Remote code execution (Administrator/Root rechten) Remote code execution (Gebruikersrechten) Toegang tot gevoelige gegevens Toegang tot systeemgegevens Verhoogde gebruikersrechten Uitgiftedatum : 20161109 Toepassing : Google nexus Samsung Galaxy Note Blackberry Versie(s) : Versies eerder dan patch-level 2016-11-06 Platform(s) : Google Android Operating System Samenvatting Het Android open-source project heeft updates uitgebracht om meerdere kwetsbaarheden in Android te verhelpen. Gevolgen Door de kwetsbaarheden te misbruiken kan een kwaadwillende al dan niet op afstand willekeurige code uitvoeren, audio opnemen zonder toestemming van de gebruiker, code uitvoeren met verhoogde rechten, een Man-in-the-Middle aanval op versleutelde verbindingen uitvoeren, op afstand een Denial-of-Service veroorzaken of beveiligingswaarschuwingen omzeilen. Beschrijving CVE-2016-6699, CVE-2016-6704, CVE-2016-6705, CVE-2016-6706, CVE-2016-6711, CVE-2016-6712, CVE-2016-6713, CVE-2016-6714, CVE-2016-6717, CVE-2016-6720, CVE-2016-6721, CVE-2016-6722, CVE-2016-6747 Er bevinden zich meerdere kwetsbaarheden in de Mediaserver waardoor een kwaadwillende op afstand willekeurige code kan uitvoeren, verhoogde permissies kan krijgen binnen het systeem, gevoelige informatie kan verkrijgen of een Denial-of-Service kan veroorzaken. CVE-2016-6754 Door een kwetsbaarheid in het WebView component kan een kwaadwillende op afstand code uitvoeren binnen het process dat webview component gebruikt voor het weergeven van websites. CVE-2016-6701 Er bevindt zich een kwetsbaarheid in libskia waardoor een kwaadwillende met malafide media bestanden op afstand willekeurige code kan uitvoeren, bijvoorbeeld binnen het Gallery proces. CVE-2014-9675 Door een kwetsbaarheid in libfreetype kan een kwaadwillende op afstand code uitvoeren binnen het proces waarbinnen malafide font bestanden worden geopend. CVE-2016-6700 Er bevindt zich een kwetsbaarheid in libzipfile waardoor een kwaadwillende verhoogde gebruikersrechten kan krijgen binnen het systeem. CVE-2016-6702 Er bevindt zich een kwetsbaarheid in libjpeg waardoor een kwaadwillende op afstand willekeurige code kan uitvoeren. CVE-2016-6715 Door een kwetsbaarheid in de Framework API kan een kwaadwillende audio opnemen zonder toestemming van de gebruiker. CVE-2016-6709 Bij het gebruik van niet standaard versleutelingalgorithmes met Conscrypt of BoringSSL kan een kwaadwillende een Man-in-the-Middle aanval uitvoeren. CVE-2016-6703 Er bevindt zich een kwetsbaarheid in een bibliotheek van het Android Runtime environment waardoor een kwaadwillende willekeurige code kan uitvoeren binnen een android applicatie. CVE-2016-6707 Er bevindt zich een kwetsbaarheid in de system server waardoor een kwaadwillende willekeurige code kan uitvoeren of verhoogde permissies kan krijgen binnen het systeem. CVE-2016-6708 In de multi-window modus van de grafische gebruikersinterface kan een lokale kwaadwillende een beveiligingswaarschuwing omzeilen. CVE-2016-6710 Door een kwetsbaarheid in de Download-manager kan een applicatie van kwaadwillende toegang krijgen tot bestanden van andere applicaties. CVE-2016-6719 Door een kwetsbaarheid in de bluetooth-implementatie kan een kwaadwillende een pairing opzetten zonder toestemming van de gebruiker. CVE-2014-9908 Er bevindt zich een op afstand te misbruiken Denial-of-Service kwetsbaarheid in Bluetooth. CVE-2015-0410 Door een kwetsbaarheid in de verwerking van gegevens in DER formaat binnen OpenJDK kan een kwaadwillende op afstand een Denial-of-Service veroorzaken. CVE-2016-6716 Door een kwetsbaarheid in de Launcher kan een kwaadwillende snelkoppelingen creëren die met verhoogde gebruikersrechten worden opgestart. CVE-2016-6718 Door een kwetsbaarheid in de account manager service kan een kwaadwillende gevoelige informatie leren. CVE-2016-6723 Door een kwetsbaarheid in proxy autoconfiguration kan een kwaadwillende op afstand een Denial-of-Service veroorzaken. CVE-2016-6724 Door een kwetsbaarheid in de input manager service kan een kwaadwillende een Denial-of-Service door een constante reboot veroorzaken. CVE-2016-6725, CVE-2016-6738 Door kwetsbaarheden in de crypto driver voor Qualcomm systemen kan een kwaadwillende, mogelijk op afstand, willekeurige code uitvoeren binnen de kernel. CVE-2015-8961, CVE-2016-7911, CVE-2016-7910 Door kwetsbaarheden in het kernel bestandsysteem kan een kwaadwillende willekeurige code uitvoeren binnen de kernel. CVE-2015-8962 Door een kwetsbaarheid in de kernel SCSI driver kan een kwaadwillende willekeurige code uitvoeren binnen de kernel. CVE-2016-7913 Door een kwetsbaarheid in de kernel media driver kan een kwaadwillende willekeurige code uitvoeren binnen de kernel. CVE-2016-7912 Door een kwetsbaarheid in de kernel USB driver kan een kwaadwillende willekeurige code uitvoeren binnen de kernel. CVE-2016-6728, CVE-2016-6737 Door kwetsbaarheden in het kernel ION-geheugenbeheer kan een kwaadwillende willekeurige code uitvoeren binnen de kernel. CVE-2016-6729 Door een kwetsbaarheid in de Qualcomm bootloader kan een kwaadwillende willekeurige code uitvoeren binnen de kernel. CVE-2016-6730, CVE-2016-6731, CVE-2016-6732, CVE-2016-6733, CVE-2016-6734, CVE-2016-6735, CVE-2016-6736 Door kwetsbaarheden in de nvidia GPU driver kan een kwaadwillende willekeurige code uitvoeren binnen de kernel. CVE-2016-6828 Door een kwetsbaarheid in de netwerkondersteuning van de kernel kan een kwaadwillende willekeurige code uitvoeren binnen de kernel. CVE-2016-2184 Door een kwetsbaarheid in de audio ondersteuning van de kernel kan een kwaadwillende willekeurige code uitvoeren binnen de kernel. CVE-2016-6727, CVE-2016-6726 Er bevinden zich twee niet nader omschreven kwetsbaarheden in de binaire software voor Qualcomm componenten. CVE-2016-0718, CVE-2012-6702, CVE-2016-5300, CVE-2015-1283 Door kwetsbaarheden in de Expat XML parser kan een kwaadwillende willekeurige code uitvoeren binnen applicaties die Expat gebruiken. CVE-2015-8963 Door een kwetsbaarheid in de kernel performance counters kan een kwaadwillende willekeurige code uitvoeren binnen de kernel. CVE-2016-6136 Door een kwetsbaarheid in de auditing functionaliteit voor system calls kan een kwaadwillende willekeurige code uitvoeren binnen de kernel. CVE-2016-6739, CVE-2016-6740, CVE-2016-6741 Door kwetsbaarheden in de Qualcomm ondersteuning voor cameras kan een kwaadwillende willekeurige code uitvoeren binnen de kernel. CVE-2016-3904 Door een kwetsbaarheid in de Qualcomm bus driver kan een kwaadwillende willekeurige code uitvoeren binnen de kernel. CVE-2016-6742, CVE-2016-6744, CVE-2016-6745, CVE-2016-6743 Door kwetsbaarheden in de drivers voor Synaptics touchscreens kan een kwaadwillende willekeurige code uitvoeren binnen de kernel. CVE-2016-5195 Door een kwetsbaarheid in het kernel geheugebeheer kan een kwaadwillende willekeurige code uitvoeren binnen de kernel. CVE-2015-8964 Door een kwetsbaarheid in de terminal driver kan kan een kwaadwillende toegang krijgen tot gevoelige gegevens. CVE-2016-7915 Door een kwetsbaarheid in de human interface device driver kan een kwaadwillende toegang krijgen tot gevoelige gegevens. CVE-2016-7914 Door een kwetsbaarheid in kernel gegevensstructuren voor sleutelbeheer kan een kwaadwillende toegang krijgen tot gevoelige gegevens. CVE-2016-7916 Door een kwetsbaarheid in het proc bestandsysteem kan een kwaadwillende toegang krijgen tot gevoelige gegevens. CVE-2016-6746 Door een kwetsbaarheid in de nvidia GPU driver kan een kwaadwillende toegang krijgen tot gevoelige gegevens. CVE-2016-7917 Door een kwetsbaarheid in de netwerkondersteuning van de kernel kan een kwaadwillende toegang krijgen tot gevoelige gegevens. CVE-2016-6753 Door een kwetsbaarheid in de process-grouping functionaliteit van de kernel kan een kwaadwillende toegang krijgen tot gevoelige gegevens. CVE-2016-6748, CVE-2016-6749, CVE-2016-6750, CVE-2016-3906, CVE-2016-3907, CVE-2016-6698, CVE-2016-6751, CVE-2016-6752 Door kwetsbaarheden in drivers voor Qualcomm componenten kan een kwaadwillende toegang krijgen tot gevoelige gegevens. Mogelijke oplossingen -= Google NEXUS =- Google heeft Over-the-Air (OTA)-updates vrijgegeven voor enkele getroffen toestellen. Deze zullen na toestemming van de gebruiker automatisch worden geïnstalleerd. Mocht u onder "Instellingen > Toestel informatie > Android versie" zien dat u nog geen nieuw patch level heeft ontvangen dan moet u mogelijk contact opnemen met uw telecomaanbieder. Zie voor meer informatie: https://source.android.com/security/bulletin/2016-11-01.html -= Samsung =- Samsung heeft voor de omschreven kwetsbaarheden en enkele niet omschreven kwetsbaarheden Over-the-Air (OTA)-updates vrijgegeven voor enkele getroffen toestellen. Deze zullen na toestemming van de gebruiker automatisch worden geïnstalleerd. Mocht u onder "Instellingen > Toestel informatie > Android versie" zien dat u nog geen nieuw patch level heeft ontvangen dan moet u mogelijk contact opnemen met uw telecomaanbieder. Zie voor meer informatie: http://security.samsungmobile.com/smrupdate.html#SMR-NOV-2016 http://www.samsung.com/nl/support/skp/faq/1067395 -= Blackberry =- Blackberry heeft Over-the-Air (OTA)-updates vrijgegeven voor enkele getroffen toestellen. Deze zullen na toestemming van de gebruiker automatisch worden geïnstalleerd. Mocht u onder "Instellingen > Toestel informatie > Android versie" zien dat u nog geen nieuw patch level heeft ontvangen dan moet u mogelijk contact opnemen met uw telecomaanbieder. Zie voor meer informatie: http://support.blackberry.com/kb /articleDetail?articleNumber=000038666 Voor overige toestellen en systemen zijn de updates vrijgegeven via de Google Developer Site. Hiermee kunnen systeemleveranciers hun eigen versies bijwerken. Voor een uitgebreide uitwerking van de kwetsbaarheden en getroffen versies verwijzen we naar het Android security bulletin: https://source.android.com/security/bulletin/2016-11-01.html Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.3.2 (Build 16620) Charset: utf-8 wsDVAwUBWCN6KzeMwlgPRdL0AQhuPQwAs0gueQNUly4k8drIAQQZ3gq61kkuWAlJ RRRqHUeQv8UuFli+c0Gnt8YCxZztnFWSYocmIwmey+9oZlwP4bp3ptVhDiiJqoK4 arFhb+ciAp2Od9rJUAHh5NDEPy2jTUdxCZBVZxzWFmhR3N+ZOd1qlJDh4Lx6BUwF phbqQuPuXRFxbG/H9eMdgPyHU9grM1jnWtzpD1zYlG5YbHgw8JOzHmPcG0JQlRGE gZ2GoVqfPQPsipwTsOnxt1J5L1yQuTJ90GEB/qAPbXIm4hahuREYUNvaRxZPco1A PDhv8QMG6jHYDSoQQYiNbVYnnmIjJdmc8bpIZjC8mHvZZTF4ymxqzFVUVHaGfzFq w6/LKhI5yv/9nSpoKxZ7+K9NLaHeXeIbQw9Bj0kBvkwjkpp+VowT5284umEXgl72 UWgQayuoJ283pR4Y4NiBYmC6tFfrdMvWsPWeiU9aAdH0ApkMDKDE77ulZcDohyCc nH+ePd1ogr5ExkEMOqlFBbpWGdHavkTk =bzTl -----END PGP SIGNATURE-----