Publié le 2 mai 2016 | Mis à jour le 4 mai 2016
Le bulletin de sécurité Android contient des informations sur les failles de sécurité affectant les appareils Android. En plus de ce bulletin, nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour Over The Air (OTA). Les images du micrologiciel Nexus ont également été publiées sur le site Google Developers. Les niveaux de correctif de sécurité du 1er mai 2016 ou version ultérieure résolvent ces problèmes (consultez la documentation Nexus pour savoir comment vérifier le niveau du correctif de sécurité).
Les partenaires ont été informés des problèmes décrits dans le bulletin le 4 avril 2016 ou avant. Le cas échéant, des correctifs de code source pour ces problèmes ont été publiés dans le dépôt du projet Android Open Source (AOSP).
Le plus grave de ces problèmes est une faille de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil affecté via plusieurs méthodes, telles que la messagerie, la navigation sur le Web et les MMS lors du traitement de fichiers multimédias. L'évaluation de la gravité est basée sur l'impact potentiel de l'exploitation de la faille sur un appareil concerné, en supposant que les mesures d'atténuation de la plate-forme et du service soient désactivées à des fins de développement ou qu'elles soient contournées.
Nous n'avons reçu aucun signalement d'exploitation ou d'utilisation abusive active de ces problèmes récemment signalés par les clients. Consultez la section Atténuations des services Android et Google pour en savoir plus sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet, qui améliorent la sécurité de la plate-forme Android.
Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.
Annonces
- Pour refléter un champ d'application plus large, nous avons renommé ce bulletin (et tous les suivants de la série) en "Bulletin de sécurité Android". Ces bulletins couvrent une gamme plus large de failles pouvant affecter les appareils Android, même s'ils n'affectent pas les appareils Nexus.
- Nous avons mis à jour les niveaux d'importance de la sécurité Android. Ces modifications sont le résultat des données collectées au cours des six derniers mois sur les failles de sécurité signalées. Elles visent à aligner plus étroitement la sévérité sur l'impact réel sur les utilisateurs.
Stratégies d'atténuation pour les services Android et Google
Voici un résumé des mesures d'atténuation fournies par la plate-forme de sécurité Android et les protections de service telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que des failles de sécurité puissent être exploitées sur Android.
- L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux versions plus récentes de la plate-forme Android. Nous encourageons tous les utilisateurs à passer à la dernière version d'Android dans la mesure du possible.
- L'équipe Android Security surveille activement les utilisations abusives à l'aide de Verify Apps et SafetyNet, qui sont conçus pour avertir les utilisateurs des applications potentiellement dangereuses. Vérifier les applications est activé par défaut sur les appareils équipés des services Google pour mobiles. Il est particulièrement important pour les utilisateurs qui installent des applications en dehors de Google Play. Les outils de rootage d'appareils sont interdits sur Google Play, mais la fonctionnalité "Vérifier les applications" avertit les utilisateurs lorsqu'ils tentent d'installer une application de rootage détectée, quelle que soit son origine. De plus, Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une faille d'escalade de privilèges. Si une telle application a déjà été installée, Vérifier les applications en informe l'utilisateur et tente de la supprimer.
- Le cas échéant, les applications Google Hangouts et Messenger ne transfèrent pas automatiquement les contenus multimédias à des processus tels que mediaserver.
Remerciements
Nous tenons à remercier ces chercheurs pour leur contribution:
- Abhishek Arya, Oliver Chang et Martin Barbella de l'équipe de sécurité Google Chrome: CVE-2016-2454
- Andy Tyler (@ticarpi) de e2e-assure: CVE-2016-2457
- Chiachih Wu (@chiachih_wu) et Xuxian Jiang de l'équipe C0RE: CVE-2016-2441, CVE-2016-2442
- Dzmitry Lukyanenka ( www.linkedin.com/in/dzima): CVE-2016-2458
- Gal Beniamini: CVE-2016-2431
- Hao Chen de l'équipe Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2016-2456
- Jake Valletta de Mandiant, une entreprise FireEye: CVE-2016-2060
- Jianqiang Zhao (@jianqiangzhao) et pjf (weibo.com/jfpan) de l'IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, CVE-2016-2442, CVE-2016-2444, CVE-2016-2445, CVE-2016-2446
- Imre Rad de Search-Lab Ltd.: CVE-2016-4477
- Jeremy C. Joslin de Google: CVE-2016-2461
- Kenny Root de Google: CVE-2016-2462
- Marco Grassi (@marcograss) de KeenLab (@keen_lab), Tencent: CVE-2016-2443
- Michał Bednarski ( https://github.com/michalbednarski): CVE-2016-2440
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) et Xuxian Jiang de l'équipe C0RE: CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451 et CVE-2016-2452
- Peter Pi (@heisecode) de Trend Micro : CVE-2016-2459, CVE-2016-2460
- Weichao Sun (@sunblate) d'Alibaba Inc.: CVE-2016-2428, CVE-2016-2429
- Yuan-Tsung Lo, Lubo Zhang, Chiachih Wu (@chiachih_wu) et Xuxian Jiang de l'équipe C0RE: CVE-2016-2437
- Yulong Zhang et Tao (Lenx) Wei de Baidu X-Lab: CVE-2016-2439
- Zach Riggle (@ebeip90) de l'équipe de sécurité Android: CVE-2016-2430
Détails de la faille de sécurité
Dans les sections ci-dessous, nous fournissons des informations sur chacune des failles de sécurité qui s'appliquent au niveau de correctif 2016-05-01. Vous trouverez une description du problème, une justification de la gravité et un tableau contenant l'ID de la faille CVE, le bug associé, la gravité, les appareils Nexus mis à jour, les versions AOSP mises à jour (le cas échéant) et la date de signalement. Lorsque disponible, nous associerons le changement AOSP qui a résolu le problème à l'ID du bug. Lorsque plusieurs modifications concernent un même bug, des références AOSP supplémentaires sont associées à des numéros qui suivent l'ID du bug.
Vulnérabilité d'exécution de code à distance dans Mediaserver
Lors du traitement des fichiers multimédias et des données d'un fichier spécialement conçu, une faille dans mediaserver peut permettre à un pirate informatique de corrompre la mémoire et d'exécuter du code à distance en tant que processus mediaserver.
La fonctionnalité concernée est fournie en tant que composante de base du système d'exploitation. Plusieurs applications permettent d'y accéder avec du contenu à distance, en particulier les MMS et la lecture multimédia dans le navigateur.
La gravité de ce problème est évaluée comme critique en raison de la possibilité d'exécution de code à distance dans le contexte du service mediaserver. Le service mediaserver a accès aux flux audio et vidéo, ainsi qu'aux droits auxquels les applications tierces ne peuvent normalement pas accéder.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de signalement |
|---|---|---|---|---|---|
| CVE-2016-2428 | 26751339 | Critical (Critique) | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 janvier 2016 |
| CVE-2016-2429 | 27211885 | Critical (Critique) | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 février 2016 |
Faille d'élévation des droits dans Debuggerd
Une faille d'escalade de privilèges dans le débogueur Android intégré peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du débogueur Android. Ce problème est classé comme critique en raison de la possibilité d'une compromission permanente locale de l'appareil, ce qui peut nécessiter de flasher à nouveau le système d'exploitation pour réparer l'appareil.
| CVE | Bug Android | Niveau | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de signalement |
|---|---|---|---|---|---|
| CVE-2016-2430 | 27299236 | Critical (Critique) | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 février 2016 |
Faille d'élévation des privilèges dans Qualcomm TrustZone
Une faille d'escalade de privilèges dans le composant Qualcomm TrustZone peut permettre à une application malveillante locale sécurisée d'exécuter du code arbitraire dans le contexte du noyau TrustZone. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission locale permanente de l'appareil, ce qui peut nécessiter de flasher à nouveau le système d'exploitation pour réparer l'appareil.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2431 | 24968809* | Critical (Critique) | Nexus 5, Nexus 6, Nexus 7 (2013), Android One | Oct 15, 2015 |
| CVE-2016-2432 | 25913059* | Critical (Critique) | Nexus 6, Android One | 28 novembre 2015 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Faille d'élévation des privilèges dans le pilote Wi-Fi Qualcomm
Une faille d'élévation des privilèges dans le pilote Wi-Fi Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une escalade de privilèges locale et de l'exécution de code arbitraire, ce qui peut entraîner une compromission permanente locale de l'appareil, ce qui peut nécessiter de flasher à nouveau le système d'exploitation pour réparer l'appareil.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2015-0569 | 26754117* | Critical (Critique) | Nexus 5X, Nexus 7 (2013) | Jan 23, 2016 |
| CVE-2015-0570 | 26764809* | Critical (Critique) | Nexus 5X, Nexus 7 (2013) | Jan 25, 2016 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Vulnérabilité d'élévation de privilège dans le pilote vidéo NVIDIA
Une faille d'escalade de privilèges dans le pilote vidéo NVIDIA pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission locale permanente de l'appareil, ce qui peut nécessiter de flasher à nouveau le système d'exploitation pour réparer l'appareil.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2434 | 27251090* | Critical (Critique) | Nexus 9 | 17 février 2016 |
| CVE-2016-2435 | 27297988* | Critical (Critique) | Nexus 9 | 20 février 2016 |
| CVE-2016-2436 | 27299111* | Critical (Critique) | Nexus 9 | 22 février 2016 |
| CVE-2016-2437 | 27436822* | Critical (Critique) | Nexus 9 | Mar 1, 2016 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Faille d'élévation des droits dans le noyau
Une faille d'escalade de privilèges dans le noyau peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une escalade des droits d'accès locaux et de l'exécution de code arbitraire, ce qui peut entraîner une compromission permanente de l'appareil local, ce qui peut nécessiter de flasher à nouveau le système d'exploitation pour réparer l'appareil. Ce problème a été décrit dans l'avis de sécurité Android 2016-03-18.
| CVE | Bug Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2015-1805 | 27275324* | Critical (Critique) | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) et Nexus 9 | 19 février 2016 |
* Le correctif dans AOSP est disponible pour des versions de kernel spécifiques : 3.14, 3.10 et 3.4.
Faille d'exécution de code à distance dans le noyau
Une faille d'exécution de code à distance dans le sous-système audio peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, un bug d'exécution de code de kernel comme celui-ci serait classé comme critique, mais comme il nécessite d'abord de compromettre un service privilégié pour appeler le sous-système audio, il est classé comme étant de gravité élevée.
| CVE | Bug Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2438 | 26636060* | Élevée | Nexus 9 | Interne Google |
* Le correctif de ce problème est disponible dans le flux principal Linux.
Faille de divulgation d'informations dans le contrôleur de partage de connexion Qualcomm
Une faille de divulgation d'informations dans le contrôleur de partage de connexion Qualcomm pourrait permettre à une application malveillante locale d'accéder à des informations permettant d'identifier personnellement l'utilisateur sans en avoir les droits. Ce problème est classé comme étant de gravité élevée, car il peut être utilisé pour obtenir des fonctionnalités étendues, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles à une application tierce.
| CVE | Bug Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2060 | 27942588* | Élevée | Aucune | 23 mars 2016 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour doit figurer dans les derniers pilotes des appareils concernés.
Vulnérabilité d'exécution de code à distance dans le Bluetooth
Lors de l'association d'un appareil Bluetooth, une faille dans le Bluetooth peut permettre à un pirate informatique à proximité d'exécuter du code arbitraire pendant le processus d'association. Ce problème est classé comme étant de gravité élevée en raison de la possibilité d'exécution de code à distance lors de l'initialisation d'un appareil Bluetooth.
| CVE | Bug Android | Niveau | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de signalement |
|---|---|---|---|---|---|
| CVE-2016-2439 | 27411268 | Élevée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 février 2016 |
Faille d'élévation des droits dans Binder
Une faille d'escalade de privilèges dans Binder pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du processus d'une autre application. Lors de la libération de la mémoire, une faille dans le Binder peut permettre à un pirate informatique d'exécuter du code local. Ce problème est classé comme étant de gravité élevée en raison de la possibilité d'exécution de code local lors du processus de libération de mémoire dans le Binder.
| CVE | Bug Android | Niveau | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de signalement |
|---|---|---|---|---|---|
| CVE-2016-2440 | 27252896 | Élevée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 18 février 2016 |
Faille d'élévation des droits dans le pilote Buspm de Qualcomm
Une faille d'élévation des privilèges dans le pilote buspm de Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, un bug d'exécution de code de kernel comme celui-ci serait classé comme critique, mais comme il nécessite d'abord de compromettre un service pouvant appeler le pilote, il est classé comme étant de gravité élevée.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2441 | 26354602* | Élevée | Nexus 5X, Nexus 6, Nexus 6P | Dec 30, 2015 |
| CVE-2016-2442 | 26494907* | Élevée | Nexus 5X, Nexus 6, Nexus 6P | Dec 30, 2015 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Faille d'élévation des droits dans le pilote MDP Qualcomm
Une faille d'élévation des privilèges dans le pilote MDP Qualcomm peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. En règle générale, un bug d'exécution de code de kernel comme celui-ci serait classé comme critique, mais comme il nécessite d'abord de compromettre un service pouvant appeler le pilote, il est classé comme étant de gravité élevée.
| CVE | Bug Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2443 | 26404525* | Élevée | Nexus 5, Nexus 7 (2013) | Jan 5, 2016 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Faille d'élévation des privilèges dans le pilote Wi-Fi Qualcomm
Une faille d'élévation des privilèges dans le composant Wi-Fi Qualcomm peut permettre à une application malveillante locale d'appeler des appels système modifiant les paramètres et le comportement de l'appareil sans disposer des droits nécessaires. Ce problème est classé comme étant de gravité élevée, car il peut être utilisé pour accéder localement à des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles à une application tierce.
| CVE | Bug Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2015-0571 | 26763920* | Élevée | Nexus 5X, Nexus 7 (2013) | Jan 25, 2016 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Vulnérabilité d'élévation de privilège dans le pilote vidéo NVIDIA
Une faille d'escalade de privilèges dans le pilote multimédia NVIDIA pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, un bug d'exécution de code de kernel comme celui-ci serait classé comme critique, mais comme il nécessite d'abord de compromettre un service à privilège élevé pour appeler le pilote, il est classé comme étant de gravité élevée.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2444 | 27208332* | Élevée | Nexus 9 | 16 février 2016 |
| CVE-2016-2445 | 27253079* | Élevée | Nexus 9 | 17 février 2016 |
| CVE-2016-2446 | 27441354* | Élevée | Nexus 9 | Mar 1, 2016 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Faille d'élévation des droits dans le Wi-Fi
Une faille d'élévation des privilèges dans le Wi-Fi peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. La gravité de ce problème est élevée, car il peut également être utilisé pour obtenir des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles aux applications tierces.
Remarque:Sur demande de MITRE, le numéro CVE a été modifié de CVE-2016-2447 à CVE-2016-4477.
| CVE | Bug Android | Niveau | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de signalement |
|---|---|---|---|---|---|
| CVE-2016-4477 | 27371366 [2] | Élevée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 février 2016 |
Faille d'élévation des droits dans Mediaserver
Une faille d'escalade de privilèges dans mediaserver peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles à une application tierce.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de signalement |
|---|---|---|---|---|---|
| CVE-2016-2448 | 27533704 | Élevée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Mar 7, 2016 |
| CVE-2016-2449 | 27568958 | Élevée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Mar 9, 2016 |
| CVE-2016-2450 | 27569635 | Élevée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Mar 9, 2016 |
| CVE-2016-2451 | 27597103 | Élevée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Mar 10, 2016 |
| CVE-2016-2452 | 27662364 [2] [3] | Élevée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Mar 14, 2016 |
Faille d'élévation de privilège dans le pilote Wi-Fi MediaTek
Une faille d'escalade de privilèges dans le pilote Wi-Fi MediaTek peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, un bug d'exécution de code de kernel comme celui-ci serait classé comme critique, mais comme il nécessite d'abord de compromettre un service pouvant appeler le pilote, il est classé comme étant de gravité élevée.
| CVE | Bug Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2453 | 27549705* | Élevée | Android One | Mar 8, 2016 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Faille de déni de service à distance dans le codec matériel Qualcomm
Lors du traitement des fichiers multimédias et des données d'un fichier spécialement conçu, une faille de déni de service à distance dans le codec vidéo matériel Qualcomm peut permettre à un pirate informatique à distance de bloquer l'accès à un appareil affecté en provoquant son redémarrage. La gravité de cette faille est évaluée comme élevée en raison de la possibilité d'un déni de service à distance.
| CVE | Bug Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2454 | 26221024* | Élevée | Nexus 5 | 16 décembre 2015 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Faille d'élévation des droits dans Conscrypt
Une faille d'escalade de privilèges dans Conscrypt pourrait permettre à une application locale de penser qu'un message a été authentifié alors qu'il ne l'était pas. Ce problème est classé comme étant de gravité modérée, car il nécessite des étapes coordonnées sur plusieurs appareils.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de signalement |
|---|---|---|---|---|---|
| CVE-2016-2461 | 27324690 [2] | Modérée | Tous les Nexus | 6.0, 6.0.1 | Interne Google |
| CVE-2016-2462 | 27371173 | Modérée | Tous les Nexus | 6.0, 6.0.1 | Interne Google |
Faille d'élévation de privilège dans OpenSSL et BoringSSL
Une faille d'escalade de privilèges dans OpenSSL et BoringSSL pourrait permettre à une application malveillante locale d'accéder à des données en dehors de ses niveaux d'autorisation. En règle générale, cette erreur est classée comme grave, mais comme elle nécessite une configuration manuelle inhabituelle, elle est classée comme modérée.
| CVE | Bug Android | Niveau | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de signalement |
|---|---|---|---|---|---|
| CVE-2016-0705 | 27449871 | Modérée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 février 2016 |
Faille d'élévation de privilège dans le pilote Wi-Fi MediaTek
Une faille d'élévation de privilège dans le pilote Wi-Fi MediaTek peut permettre à une application malveillante locale de provoquer un déni de service. Normalement, un bug d'élévation de privilèges comme celui-ci serait classé comme grave, mais comme il nécessite d'abord de compromettre un service système, il est classé comme étant de gravité modérée.
| CVE | Bug Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2456 | 27275187* | Modérée | Android One | 19 février 2016 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Faille d'élévation des droits dans le Wi-Fi
Une faille d'escalade de privilèges dans le Wi-Fi peut permettre à un compte invité de modifier les paramètres Wi-Fi qui persistent pour l'utilisateur principal. Ce problème est classé comme étant de gravité modérée, car il permet d'accéder localement à des fonctionnalités dangereuses sans autorisation.
| CVE | Bug Android | Niveau | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de signalement |
|---|---|---|---|---|---|
| CVE-2016-2457 | 27411179 | Modérée | Tous les Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 février 2016 |
Faille de divulgation d'informations dans AOSP Mail
Une faille de divulgation d'informations dans AOSP Mail peut permettre à une application malveillante locale d'accéder aux informations privées de l'utilisateur. Ce problème est classé comme étant de gravité modérée, car il pourrait être utilisé pour accéder de manière inappropriée à des données sans autorisation.
| CVE | Bug Android | Niveau | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de signalement |
|---|---|---|---|---|---|
| CVE-2016-2458 | 27335139 [2] | Modérée | Tous les Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 février 2016 |
Faille de divulgation d'informations dans Mediaserver
Une faille de divulgation d'informations dans Mediaserver peut permettre à une application d'accéder à des informations sensibles. Ce problème est classé comme étant de gravité modérée, car il pourrait être utilisé pour accéder de manière inappropriée à des données sans autorisation.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de signalement |
|---|---|---|---|---|---|
| CVE-2016-2459 | 27556038 | Modérée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Mar 7, 2016 |
| CVE-2016-2460 | 27555981 | Modérée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Mar 7, 2016 |
Faille de déni de service dans le noyau
Une faille de déni de service dans le noyau peut permettre à une application malveillante locale de provoquer le redémarrage d'un appareil. Ce problème est classé comme étant de faible gravité, car il entraîne un déni de service temporaire.
| CVE | Bug Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0774 | 27721803* | Faible | Tous les Nexus | Mar 17, 2016 |
* Le correctif de ce problème est disponible dans le flux principal Linux.
Questions fréquentes et réponses
Cette section répond aux questions fréquentes qui peuvent se poser après la lecture de ce bulletin.
1. Comment savoir si mon appareil a été mis à jour pour résoudre ces problèmes ?
Les niveaux de correctif de sécurité du 1er mai 2016 ou version ultérieure résolvent ces problèmes (consultez la documentation Nexus pour savoir comment vérifier le niveau du correctif de sécurité). Les fabricants d'appareils qui incluent ces mises à jour doivent définir le niveau de la chaîne de correctif sur : [ro.build.version.security_patch]:[2016-05-01]
2. Comment déterminer les appareils Nexus concernés par chaque problème ?
Dans la section Détails de la faille de sécurité, chaque tableau comporte une colonne "Appareils Nexus mis à jour" qui couvre la plage d'appareils Nexus concernés mis à jour pour chaque problème. Cette colonne propose plusieurs options:
- Tous les appareils Nexus: si un problème affecte tous les appareils Nexus, la colonne Appareils Nexus mis à jour indique "Tous les Nexus". Tous les Nexus encapsulent les appareils compatibles suivants: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player et Pixel C.
- Certains appareils Nexus: si un problème n'affecte pas tous les appareils Nexus, les appareils Nexus concernés sont listés dans la colonne Appareils Nexus mis à jour.
- Aucun appareil Nexus: si aucun appareil Nexus n'est concerné par le problème, la colonne Appareils Nexus mis à jour indique "Aucun".
3. Pourquoi la faille CVE-2015-1805 est-elle incluse dans ce bulletin ?
La faille CVE-2015-1805 est incluse dans ce bulletin, car l' Avis de sécurité Android - 18/03/2016 a été publié très peu de temps avant la publication du bulletin d'avril. En raison du délai serré, les fabricants d'appareils ont eu la possibilité de déployer les correctifs du Bulletin de sécurité Nexus d'avril 2016, sans le correctif de CVE-2015-1805, s'ils utilisaient le niveau de correctif de sécurité du 1er avril 2016. Il est à nouveau inclus dans ce bulletin, car il doit être corrigé pour utiliser le niveau du correctif de sécurité du 1er mai 2016.
Révisions
- 2 mai 2016: publication du bulletin.
- 4 mai 2016 :
- Bulletin mis à jour pour inclure des liens vers AOSP.
- Liste de tous les appareils Nexus mis à jour pour inclure le Nexus Player et le Pixel C.
- CVE-2016-2447 a été remplacé par CVE-2016-4477, conformément à la demande de MITRE.