Publié le 4 avril 2016 | Mis à jour le 19 décembre 2016
Nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour Over-the-Air (OTA) dans le cadre de notre processus de publication mensuelle des bulletins de sécurité Android. Les images du micrologiciel Nexus ont également été publiées sur le site des développeurs Google. Les niveaux de correctif de sécurité du 2 avril 2016 ou version ultérieure résolvent ces problèmes (consultez la documentation Nexus pour savoir comment vérifier le niveau de correctif de sécurité).
Les partenaires ont été informés des problèmes décrits dans le bulletin le 16 mars 2016 ou avant. Le cas échéant, des correctifs de code source pour ces problèmes ont été publiés dans le dépôt du projet Android Open Source (AOSP).
Le plus grave de ces problèmes est une faille de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil affecté via plusieurs méthodes, telles que la messagerie, la navigation sur le Web et les MMS lors du traitement de fichiers multimédias. L'évaluation de la gravité est basée sur l'impact potentiel de l'exploitation de la faille sur un appareil concerné, en supposant que les mesures d'atténuation de la plate-forme et du service soient désactivées à des fins de développement ou qu'elles soient contournées.
Le Bulletin de sécurité Android 2016-03-18 a déjà abordé l'utilisation de CVE-2015-1805 par une application de rootage. La faille CVE-2015-1805 est corrigée dans cette mise à jour. Aucun cas d'exploitation ou d'abus actif des clients n'a été signalé pour les autres problèmes récemment signalés. Pour en savoir plus sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet, qui améliorent la sécurité de la plate-forme Android, consultez la section Mitigations.
Stratégies d'atténuation
Voici un résumé des mesures d'atténuation fournies par la plate-forme de sécurité Android et les protections de service telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que des failles de sécurité puissent être exploitées sur Android.
- L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux versions plus récentes de la plate-forme Android. Nous encourageons tous les utilisateurs à passer à la dernière version d'Android dans la mesure du possible.
- L'équipe de sécurité Android surveille activement les utilisations abusives avec Vérifier les applications et SafetyNet, qui avertissent l'utilisateur des applications potentiellement dangereuses détectées sur le point d'être installées. Les outils de rootage d'appareils sont interdits sur Google Play. Pour protéger les utilisateurs qui installent des applications en dehors de Google Play, Vérifier les applications est activé par défaut et avertit les utilisateurs des applications de root connues. Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une faille d'escalade de privilèges. Si une telle application a déjà été installée, Vérifier les applications en informe l'utilisateur et tente de la supprimer.
- Le cas échéant, les applications Google Hangouts et Messenger ne transfèrent pas automatiquement les contenus multimédias à des processus tels que mediaserver.
Remerciements
L'équipe Android Security tient à remercier ces chercheurs pour leur contribution:
- Abhishek Arya, Oliver Chang et Martin Barbella de l'équipe Sécurité de Google Chrome: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
- Anestis Bechtsoudis (@anestisb) de CENSUS S.A.: CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
- Brad Ebinger et Santos Cordon de l'équipe Google Telecom: CVE-2016-0847
- Dominik Schürmann de l'Institut für Betriebssysteme und Computernetze (Institut des systèmes d'exploitation et des réseaux informatiques) de l'université technique de Brunswick: CVE-2016-2425
- Gengjia Chen (@chengjia4574), pjf, Jianqiang Zhao (@jianqiangzhao) de l'IceSword Lab, Qihoo 360: CVE-2016-0844
- George Piskas de l' École polytechnique fédérale de Lausanne: CVE-2016-2426
- Guang Gong (龚广) (@oldfresher) de Qihoo 360 Technology Co.Ltd: CVE-2016-2412, CVE-2016-2416
- James Forshaw de Google Project Zero: CVE-2016-2417, CVE-2016-0846
- Jianqiang Zhao(@jianqiangzhao), pjf et Gengjia Chen (@chengjia4574) du laboratoire IceSword, Qihoo 360: CVE-2016-2410, CVE-2016-2411
- Jianqiang Zhao (@jianqiangzhao) et pjf du laboratoire IceSword, Qihoo 360: CVE-2016-2409
- Nancy Wang de Vertu Corporation LTD: CVE-2016-0837
- Nasim Zamir: CVE-2016-2409
- Nico Golde (@iamnion) de la Qualcomm Product Security Initiative: CVE-2016-2420, CVE-2016-0849
- Peter Pi (@heisecode) de Trend Micro: CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
- Richard Shupak: CVE-2016-2415
- Romain Trouvé de MWR Labs: CVE-2016-0850
- Stuart Henderson: CVE-2016-2422
- Vishwath Mohan, de la sécurité Android: CVE-2016-2424
- Weichao Sun (@sunblate) de Alibaba Inc.: CVE-2016-2414
- Wish Wu (@wish_wu) de Trend Micro Inc.: CVE-2016-0843
- Yeonjoon Lee et Xiaofeng Wang de l'université de l'Indiana à Bloomington, Tongxin Li et Xinhui Han de l'université de Pékin: CVE-2016-0848
L'équipe Sécurité Android remercie également Yuan-Tsung Lo, Wenke Dou, Chiachih Wu (@chiachih_wu) et Xuxian Jiang de l'équipe C0RE et de Zimperium pour leur contribution à CVE-2015-1805.
Détails de la faille de sécurité
Les sections ci-dessous contiennent des informations sur chacune des failles de sécurité qui s'appliquent au niveau de correctif 2016-04-02. Vous trouverez une description du problème, une justification de la gravité et un tableau contenant l'ID de la faille CVE, le bug associé, la gravité, les versions concernées et la date de signalement. Lorsque disponible, nous associerons le commit AOSP qui a résolu le problème à l'ID de bug. Lorsque plusieurs modifications concernent un même bug, des références AOSP supplémentaires sont associées à des numéros qui suivent l'ID du bug.
Vulnérabilité d'exécution de code à distance dans DHCPCD
Une faille dans le service Dynamic Host Configuration Protocol peut permettre à un pirate informatique de corrompre la mémoire, ce qui peut entraîner l'exécution de code à distance. Ce problème est classé comme critique en raison de la possibilité d'exécution de code à distance dans le contexte du client DHCP. Le service DHCP a accès à des droits auxquels les applications tierces ne peuvent normalement pas accéder.
| CVE | Bugs liés aux liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2014-6060 | ANDROID-15268738 | Critical (Critique) | 4.4.4 | 30 juillet 2014 |
| CVE-2014-6060 | ANDROID-16677003 | Critical (Critique) | 4.4.4 | 30 juillet 2014 |
| CVE-2016-1503 | ANDROID-26461634 | Critical (Critique) | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Jan 4, 2016 |
Vulnérabilité d'exécution de code à distance dans le codec multimédia
Lors du traitement des fichiers multimédias et des données d'un fichier spécialement conçu, des failles dans un codec multimédia utilisé par mediaserver peuvent permettre à un pirate informatique de corrompre la mémoire et d'exécuter du code à distance en tant que processus mediaserver.
La fonctionnalité concernée est fournie en tant que composante de base du système d'exploitation. Plusieurs applications permettent d'y accéder avec du contenu à distance, en particulier les MMS et la lecture multimédia dans le navigateur.
La gravité de ce problème est évaluée comme critique en raison de la possibilité d'exécution de code à distance dans le contexte du service mediaserver. Le service mediaserver a accès aux flux audio et vidéo, ainsi qu'aux droits auxquels les applications tierces ne peuvent normalement pas accéder.
| CVE | Bug | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0834 | ANDROID-26220548* | Critical (Critique) | 6.0, 6.0.1 | 16 décembre 2015 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Vulnérabilité d'exécution de code à distance dans Mediaserver
Lors du traitement des fichiers multimédias et des données d'un fichier spécialement conçu, des failles dans mediaserver peuvent permettre à un pirate informatique de corrompre la mémoire et d'exécuter du code à distance en tant que processus mediaserver.
La fonctionnalité concernée est fournie en tant que composante de base du système d'exploitation. Plusieurs applications permettent d'y accéder avec du contenu à distance, en particulier les MMS et la lecture multimédia dans le navigateur.
La gravité de ce problème est évaluée comme critique en raison de la possibilité d'exécution de code à distance dans le contexte du service mediaserver. Le service mediaserver a accès aux flux audio et vidéo, ainsi qu'aux droits auxquels les applications tierces ne peuvent normalement pas accéder.
| CVE | Bugs liés aux liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0835 | ANDROID-26070014 [2] | Critical (Critique) | 6.0, 6.0.1 | 6 décembre 2015 |
| CVE-2016-0836 | ANDROID-25812590 | Critical (Critique) | 6.0, 6.0.1 | 19 nov. 2015 |
| CVE-2016-0837 | ANDROID-27208621 | Critical (Critique) | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 février 2016 |
| CVE-2016-0838 | ANDROID-26366256 [2] | Critical (Critique) | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interne Google |
| CVE-2016-0839 | ANDROID-25753245 | Critical (Critique) | 6.0, 6.0.1 | Interne Google |
| CVE-2016-0840 | ANDROID-26399350 | Critical (Critique) | 6.0, 6.0.1 | Interne Google |
| CVE-2016-0841 | ANDROID-26040840 | Critical (Critique) | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interne Google |
Vulnérabilité d'exécution de code à distance dans libstagefright
Lors du traitement des fichiers multimédias et des données d'un fichier spécialement conçu, des failles dans libstagefright peuvent permettre à un pirate informatique de provoquer une corruption de la mémoire et une exécution de code à distance en tant que processus mediaserver.
La fonctionnalité concernée est fournie en tant que composante de base du système d'exploitation. Plusieurs applications permettent d'y accéder avec du contenu à distance, en particulier les MMS et la lecture multimédia dans le navigateur.
Ce problème est classé comme critique en raison de la possibilité d'exécution de code à distance dans le contexte du service mediaserver. Le service mediaserver a accès aux flux audio et vidéo, ainsi qu'aux droits auxquels les applications tierces ne peuvent normalement pas accéder.
| CVE | Bug avec le lien AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0842 | ANDROID-25818142 | Critical (Critique) | 6.0, 6.0.1 | 23 novembre 2015 |
Faille d'élévation des droits dans le noyau
Une faille d'élévation des privilèges dans le noyau peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission permanente locale de l'appareil. L'appareil devra peut-être être réparé en reflashant le système d'exploitation. Ce problème a été décrit dans l'avis de sécurité Android 2016-03-18.
| CVE | Bug | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2015-1805 | ANDROID-27275324* | Critical (Critique) | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 février 2016 |
* Le correctif dans AOSP est disponible pour des versions de kernel spécifiques : 3.14, 3.10 et 3.4.
Faille d'élévation des privilèges dans le module de performances Qualcomm
Une faille d'escalade de privilèges dans le composant du gestionnaire d'événements de performances pour les processeurs ARM de Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission permanente locale de l'appareil. L'appareil devra peut-être être réparé en reflashant le système d'exploitation.
| CVE | Bug | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0843 | ANDROID-25801197* | Critical (Critique) | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 nov. 2015 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Faille d'élévation des privilèges dans le composant RF Qualcomm
Une faille dans le pilote RF Qualcomm peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission permanente locale de l'appareil. L'appareil devra peut-être être réparé en reflashant le système d'exploitation.
| CVE | Bug avec le lien AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0844 | ANDROID-26324307* | Critical (Critique) | 6.0, 6.0.1 | 25 décembre 2015 |
* Un correctif supplémentaire pour ce problème se trouve dans le flux principal Linux.
Faille d'élévation des droits dans le noyau
Une faille d'élévation des privilèges dans le noyau commun peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission locale permanente de l'appareil. L'appareil devra peut-être être réparé en reflashant le système d'exploitation.
| CVE | Bug avec les liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2014-9322 | ANDROID-26927260
[2]
[3] [4] [5] [6] [7] [8] [9] [10] [11] |
Critical (Critique) | 6.0, 6.0.1 | 25 décembre 2015 |
Faille d'élévation des droits dans l'interface native IMemory
Une faille d'escalade de privilèges dans l'interface native IMemory peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité élevée, car il peut être utilisé pour obtenir des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles à une application tierce.
| CVE | Bug avec le lien AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0846 | ANDROID-26877992 | Élevée | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Jan 29, 2016 |
Faille d'élévation des droits dans le composant de télécommunications
Une faille d'escalade de privilèges dans le composant Telecom peut permettre à un pirate informatique de faire en sorte que les appels semblent provenir d'un numéro arbitraire. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir un accès local à des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles à une application tierce.
| CVE | Bug avec les liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0847 | ANDROID-26864502 [2] | Élevée | 5.0.2, 5.1.1, 6.0, 6.0.1 | Interne Google |
Faille d'élévation des droits dans le gestionnaire de téléchargement
Une faille d'élévation de privilège dans le gestionnaire de téléchargement peut permettre à un pirate informatique d'accéder à des fichiers non autorisés dans un espace de stockage privé. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir un accès local à des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles à une application tierce.
| CVE | Bug avec le lien AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0848 | ANDROID-26211054 | Élevée | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 décembre 2015 |
Faille d'élévation des droits dans la procédure de récupération
Une faille d'élévation des privilèges dans la procédure de récupération peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité élevée, car il peut être utilisé pour obtenir des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles à une application tierce.
| CVE | Bug avec le lien AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0849 | ANDROID-26960931 | Élevée | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 février 2016 |
Faille d'élévation des droits dans le Bluetooth
Une faille d'escalade de privilèges dans le Bluetooth peut permettre à un appareil non approuvé de s'associer au téléphone lors du processus d'association initial. Cela pourrait entraîner un accès non autorisé aux ressources de l'appareil, telles que la connexion Internet. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées qui ne sont pas accessibles aux appareils non approuvés.
| CVE | Bug avec le lien AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0850 | ANDROID-26551752 | Élevée | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 13 janvier 2016 |
Faille d'élévation de droits dans le pilote haptique Texas Instruments
Une faille d'élévation des privilèges est présente dans un pilote de kernel haptique Texas Instruments, ce qui pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du kernel. Normalement, un bug d'exécution du code du noyau comme celui-ci serait classé comme critique, mais comme il nécessite d'abord de compromettre un service pouvant appeler le pilote, il est classé comme étant de gravité élevée.
| CVE | Bug | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2409 | ANDROID-25981545* | Élevée | 6.0, 6.0.1 | 25 décembre 2015 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Faille d'élévation des privilèges dans le pilote de noyau vidéo Qualcomm
Une faille d'élévation des privilèges est présente dans un pilote de noyau vidéo Qualcomm, ce qui pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, une faille d'exécution du code du kernel est classée comme critique, mais comme elle nécessite d'abord de compromettre un service pouvant appeler le pilote, elle est classée comme étant de gravité élevée.
| CVE | Bug | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2410 | ANDROID-26291677* | Élevée | 6.0, 6.0.1 | 21 décembre 2015 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Faille d'élévation de privilège dans le composant de gestion de l'alimentation Qualcomm
Une faille d'élévation des privilèges est présente dans un pilote de noyau de gestion de l'alimentation Qualcomm, ce qui pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, un bug d'exécution du code du noyau comme celui-ci serait classé comme critique, mais comme il nécessite d'abord de compromettre l'appareil et d'élever le niveau d'accès à racine, il est classé comme étant de gravité élevée.
| CVE | Bug | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2411 | ANDROID-26866053* | Élevée | 6.0, 6.0.1 | Jan 28, 2016 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Faille d'élévation de privilège dans System_server
Une faille d'élévation des privilèges dans System_server peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité élevée, car il peut être utilisé pour obtenir des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles à une application tierce.
| CVE | Bug avec le lien AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2412 | ANDROID-26593930 | Élevée | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Jan 15, 2016 |
Faille d'élévation des droits dans Mediaserver
Une faille d'escalade de privilèges dans mediaserver peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité élevée, car il peut être utilisé pour obtenir des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles à une application tierce.
| CVE | Bug avec le lien AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2413 | ANDROID-26403627 | Élevée | 5.0.2, 5.1.1, 6.0, 6.0.1 | Jan 5, 2016 |
Vulnérabilité de déni de service dans Minikin
Une faille de déni de service dans la bibliothèque Minikin peut permettre à un pirate informatique local de bloquer temporairement l'accès à un appareil concerné. Un pirate informatique peut provoquer le chargement d'une police non approuvée et un débordement dans le composant Minikin, ce qui entraîne un plantage. La gravité de ce problème est élevée, car un déni de service entraînerait une boucle de redémarrage continue.
| CVE | Bug avec les liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2414 | ANDROID-26413177 [2] | Élevée | 5.0.2, 5.1.1, 6.0, 6.0.1 | Nov 3, 2015 |
Faille de divulgation d'informations dans Exchange ActiveSync
Une faille de divulgation d'informations dans Exchange ActiveSync peut permettre à une application malveillante locale d'accéder aux informations privées d'un utilisateur. Ce problème est classé comme étant de gravité élevée, car il permet un accès à distance aux données protégées.
| CVE | Bug avec le lien AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2415 | ANDROID-26488455 | Élevée | 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 janv. 2016 |
Faille de divulgation d'informations dans Mediaserver
Une faille de divulgation d'informations dans Mediaserver pourrait permettre de contourner les mesures de sécurité en place pour rendre l'exploitation de la plate-forme par des pirates informatiques plus difficile. Ces problèmes sont classés comme étant de gravité élevée, car ils peuvent également être utilisés pour obtenir des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles aux applications tierces.
| CVE | Bugs liés aux liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2416 | ANDROID-27046057 [2] | Élevée | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 février 2016 |
| CVE-2016-2417 | ANDROID-26914474 | Élevée | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1er février 2016 |
| CVE-2016-2418 | ANDROID-26324358 | Élevée | 6.0, 6.0.1 | 24 décembre 2015 |
| CVE-2016-2419 | ANDROID-26323455 | Élevée | 6.0, 6.0.1 | 24 décembre 2015 |
Faille d'élévation des droits dans le composant débogueur
Une faille d'escalade de privilèges dans le composant Debuggerd peut permettre à une application malveillante locale d'exécuter du code arbitraire qui pourrait entraîner une compromission permanente de l'appareil. Par conséquent, l'appareil devra peut-être être réparé en flashant à nouveau le système d'exploitation. Normalement, un bug d'exécution de code comme celui-ci serait classé comme critique, mais comme il permet une élévation d'autorisation du système à la racine uniquement sous Android 4.4.4, il est classé comme modéré. Sous Android 5.0 et versions ultérieures, les règles SELinux empêchent les applications tierces d'accéder au code concerné.
| CVE | Bug avec les liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2420 | ANDROID-26403620 [2] | Modérée | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Jan 5, 2016 |
Faille d'élévation des droits dans l'assistant de configuration
Une faille dans l'assistant de configuration pourrait permettre à un pirate informatique de contourner la protection après rétablissement de la configuration d'usine et d'accéder à l'appareil. Cette faille est classée comme étant de gravité modérée, car elle permet potentiellement à une personne disposant d'un accès physique à un appareil de contourner la protection après rétablissement de la configuration d'usine, ce qui permettrait à un pirate informatique de réinitialiser un appareil et d'effacer toutes les données.
| CVE | Bug | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2421 | ANDROID-26154410* | Modérée | 5.1.1, 6.0, 6.0.1 | Interne Google |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans la dernière version binaire pour les appareils Nexus disponible sur le site des développeurs Google.
Faille d'élévation des droits dans le Wi-Fi
Une faille d'élévation des privilèges dans le Wi-Fi peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité modérée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles à une application tierce.
| CVE | Bug avec le lien AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2422 | ANDROID-26324357 | Modérée | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 décembre 2015 |
Faille d'élévation des droits dans la téléphonie
Une faille dans Telephony pourrait permettre à un pirate informatique de contourner la protection après rétablissement de la configuration d'usine et d'accéder à l'appareil. Cette faille est classée comme étant de gravité modérée, car elle permet potentiellement à une personne disposant d'un accès physique à un appareil de contourner la protection des appareils après réinitialisation, ce qui permettrait à un pirate informatique de réinitialiser un appareil et d'effacer toutes les données.
| CVE | Bug avec le lien AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2423 | ANDROID-26303187 | Modérée | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interne Google |
Faille de déni de service dans SyncStorageEngine
Une faille de déni de service dans SyncStorageEngine peut permettre à une application malveillante locale de provoquer une boucle de redémarrage. Ce problème est classé comme étant de gravité modérée, car il peut être utilisé pour provoquer un déni de service temporaire local qui devra peut-être être corrigé par une réinitialisation d'usine.
| CVE | Bug avec le lien AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2424 | ANDROID-26513719 | Modérée | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interne Google |
Faille de divulgation d'informations dans AOSP Mail
Une faille de divulgation d'informations dans AOSP Mail peut permettre à une application malveillante locale d'accéder aux informations privées d'un utilisateur. La gravité de ce problème est évaluée comme modérée, car il pourrait être utilisé pour obtenir de manière incorrecte des autorisations "dangereuses".
| CVE | Bugs liés au lien AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2425 | ANDROID-26989185 | Modérée | 4.4.4, 5.1.1, 6.0, 6.0.1 | Jan 29, 2016 |
| CVE-2016-2425 | ANDROID-7154234* | Modérée | 5.0.2 | Jan 29, 2016 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans la dernière version binaire pour les appareils Nexus disponible sur le site des développeurs Google.
Faille de divulgation d'informations dans le framework
Une faille de divulgation d'informations dans le composant Framework peut permettre à une application d'accéder à des informations sensibles. Ce problème est classé comme étant de gravité modérée, car il pourrait être utilisé pour accéder de manière inappropriée aux données sans autorisation.
| CVE | Bug avec le lien AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2426 | ANDROID-26094635 | Modérée | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 8 décembre 2015 |
Questions fréquentes et réponses
Cette section répond aux questions fréquentes qui peuvent se poser après la lecture de ce bulletin.
1. Comment savoir si mon appareil a été mis à jour pour résoudre ces problèmes ?
Les niveaux de correctif de sécurité du 2 avril 2016 ou version ultérieure résolvent ces problèmes (consultez la documentation Nexus pour savoir comment vérifier le niveau de correctif de sécurité). Les fabricants d'appareils qui incluent ces mises à jour doivent définir le niveau de la chaîne de correctif sur : [ro.build.version.security_patch]:[2016-04-02]
2. Pourquoi le niveau du correctif de sécurité est-il le 2 avril 2016 ?
Le niveau du correctif de sécurité de la mise à jour de sécurité mensuelle est normalement défini sur le 1er du mois. Pour le mois d'avril, un niveau de correctif de sécurité du 1er avril 2016 indique que tous les problèmes décrits dans ce bulletin, à l'exception de CVE-2015-1805, comme décrit dans le conseil de sécurité Android 2016-03-18, ont été résolus. Un niveau de correctif de sécurité du 2 avril 2016 indique que tous les problèmes décrits dans ce bulletin, y compris CVE-2015-1805, comme décrit dans l'avis de sécurité Android 2016-03-18, ont été résolus.
Révisions
- 4 avril 2016: bulletin publié.
- 6 avril 2016: le bulletin a été révisé pour inclure des liens vers AOSP.
- 7 avril 2016: le bulletin a été révisé pour inclure un lien AOSP supplémentaire.
- 11 juillet 2016: mise à jour de la description de CVE-2016-2427.
- 1er août 2016: mise à jour de la description de CVE-2016-2427
- 19 décembre 2016: mise à jour pour supprimer CVE-2016-2427, qui a été annulée.