Publié le 02 mai 2016 | Mis à jour le 4 mai 2016
Le Bulletin de sécurité Android contient des détails sur les vulnérabilités de sécurité affectant les appareils Android. Parallèlement au bulletin, nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour en direct (OTA). Les images du micrologiciel Nexus ont également été publiées sur le site des développeurs Google . Les niveaux de correctifs de sécurité du 1er mai 2016 ou ultérieurs résolvent ces problèmes (reportez-vous à la documentation Nexus pour obtenir des instructions sur la façon de vérifier le niveau du correctif de sécurité).
Les partenaires ont été informés des problèmes décrits dans le bulletin le 4 avril 2016 ou avant. Le cas échéant, les correctifs de code source pour ces problèmes ont été publiés dans le référentiel Android Open Source Project (AOSP).
Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil concerné via plusieurs méthodes telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias. L' évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les atténuations de la plate-forme et du service soient désactivées à des fins de développement ou si elles sont contournées avec succès.
Nous n'avons reçu aucun rapport faisant état d'une exploitation ou d'un abus actif de la part de nos clients concernant ces problèmes récemment signalés. Reportez-vous à la section Atténuations des services Android et Google pour plus de détails sur les protections de la plate-forme de sécurité Android et les protections des services telles que SafetyNet, qui améliorent la sécurité de la plate-forme Android.
Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.
Annonces
- Pour refléter une vision plus large, nous avons renommé ce bulletin (et tous les suivants de la série) en Bulletin de sécurité Android. Ces bulletins couvrent un plus large éventail de vulnérabilités pouvant affecter les appareils Android, même si elles n'affectent pas les appareils Nexus.
- Nous avons mis à jour les évaluations de gravité de la sécurité Android. Ces changements sont le résultat de données collectées au cours des six derniers mois sur les vulnérabilités de sécurité signalées et visent à aligner plus étroitement les gravités sur l'impact réel sur les utilisateurs.
Atténuations des services Android et Google
Ceci est un résumé des atténuations fournies par la plate-forme de sécurité Android et les protections de services telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que les failles de sécurité soient exploitées avec succès sur Android.
- L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux versions les plus récentes de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour vers la dernière version d'Android lorsque cela est possible.
- L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet , conçus pour avertir les utilisateurs des applications potentiellement dangereuses . Vérifier les applications est activé par défaut sur les appareils dotés des services mobiles Google et est particulièrement important pour les utilisateurs qui installent des applications en dehors de Google Play. Les outils de rooting d'appareil sont interdits dans Google Play, mais Verify Apps avertit les utilisateurs lorsqu'ils tentent d'installer une application de rooting détectée, quelle que soit son origine. De plus, Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'élévation de privilèges. Si une telle application a déjà été installée, Verify Apps en informera l'utilisateur et tentera de supprimer l'application détectée.
- Le cas échéant, les applications Google Hangouts et Messenger ne transmettent pas automatiquement les médias aux processus tels que le serveur multimédia.
Remerciements
Nous tenons à remercier ces chercheurs pour leurs contributions :
- Abhishek Arya, Oliver Chang et Martin Barbella de l'équipe de sécurité de Google Chrome : CVE-2016-2454
- Andy Tyler ( @ticarpi ) de e2e-assure : CVE-2016-2457
- Chiachih Wu ( @chiachih_wu ) et Xuxian Jiang de l'équipe C0RE : CVE-2016-2441, CVE-2016-2442
- Dzmitri Loukyanenka ( www.linkedin.com/in/dzima ) : CVE-2016-2458
- Fille Beniamini: CVE-2016-2431
- Hao Chen de l'équipe Vulpecker, Qihoo 360 Technology Co. Ltd : CVE-2016-2456
- Jake Valletta de Mandiant, une société FireEye : CVE-2016-2060
- Jianqiang Zhao ( @jianqiangzhao ) et pjf ( weibo.com/jfpan ) d'IceSword Lab, Qihoo 360 Technology Co. Ltd : CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, CVE-2016-2442, CVE-2016-2444, CVE-2016-2445, CVE-2016-2446
- Imre Rad de Search-Lab Ltd. : CVE-2016-4477
- Jeremy C. Joslin de Google : CVE-2016-2461
- Kenny Racine de Google : CVE-2016-2462
- Marco Grassi ( @marcograss ) de KeenLab ( @keen_lab ), Tencent : CVE-2016-2443
- Michał Bednarski ( https://github.com/michalbednarski ) : CVE-2016-2440
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) et Xuxian Jiang de l'équipe C0RE : CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451, CVE-2016-2452
- Peter Pi ( @heisecode ) de Trend Micro : CVE-2016-2459, CVE-2016-2460
- Weichao Sun ( @sunblate ) d'Alibaba Inc. : CVE-2016-2428, CVE-2016-2429
- Yuan-Tsung Lo , Lubo Zhang , Chiachih Wu ( @chiachih_wu ) et Xuxian Jiang de l'équipe C0RE : CVE-2016-2437
- Yulong Zhang et Tao (Lenx) Wei de Baidu X-Lab : CVE-2016-2439
- Zach Riggle ( @ebeip90 ) de l'équipe de sécurité Android : CVE-2016-2430
Détails de la vulnérabilité de sécurité
Dans les sections ci-dessous, nous fournissons des détails sur chacune des vulnérabilités de sécurité qui s'appliquent au niveau de correctif du 01/05/2016. Il existe une description du problème, une justification de la gravité et un tableau avec le CVE, le bogue associé, la gravité, les appareils Nexus mis à jour, les versions AOSP mises à jour (le cas échéant) et la date signalée. Lorsqu'elle sera disponible, nous lierons la modification AOSP qui a résolu le problème à l'ID de bogue. Lorsque plusieurs modifications concernent un seul bogue, des références AOSP supplémentaires sont liées aux numéros suivant l'ID du bogue.
Vulnérabilité d'exécution de code à distance dans Mediaserver
Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, une vulnérabilité dans le serveur multimédia pourrait permettre à un attaquant de provoquer une corruption de la mémoire et l'exécution de code à distance en tant que processus du serveur multimédia.
La fonctionnalité concernée est fournie en tant qu'élément central du système d'exploitation et il existe plusieurs applications qui permettent d'y accéder avec du contenu à distance, notamment la lecture de médias par MMS et par navigateur.
Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance dans le contexte du service Mediaserver. Le service Mediaserver a accès aux flux audio et vidéo, ainsi qu'à des privilèges auxquels les applications tierces ne pourraient normalement pas accéder.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de rapport |
|---|---|---|---|---|---|
| CVE-2016-2428 | 26751339 | Critique | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 janvier 2016 |
| CVE-2016-2429 | 27211885 | Critique | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 février 2016 |
Vulnérabilité d’élévation de privilèges dans Debuggerd
Une vulnérabilité d'élévation de privilèges dans le débogueur Android intégré pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du débogueur Android. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission locale permanente du périphérique, ce qui peut nécessiter un reflasher du système d'exploitation pour réparer le périphérique.
| CVE | Bogue Android | Gravité | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de rapport |
|---|---|---|---|---|---|
| CVE-2016-2430 | 27299236 | Critique | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 février 2016 |
Vulnérabilité d’élévation de privilèges dans Qualcomm TrustZone
Une vulnérabilité d'élévation de privilèges dans le composant Qualcomm TrustZone pourrait permettre à une application malveillante locale sécurisée d'exécuter du code arbitraire dans le contexte du noyau TrustZone. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission locale permanente du périphérique, ce qui peut nécessiter un reflasher du système d'exploitation pour réparer le périphérique.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2431 | 24968809* | Critique | Nexus 5, Nexus 6, Nexus 7 (2013), Android One | 15 octobre 2015 |
| CVE-2016-2432 | 25913059* | Critique | Nexus 6, Android One | 28 novembre 2015 |
* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .
Vulnérabilité d’élévation de privilèges dans le pilote Wi-Fi Qualcomm
Une vulnérabilité d'élévation de privilèges dans le pilote Wi-Fi Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une élévation de privilèges locale et de l'exécution de code arbitraire conduisant à la possibilité d'une compromission locale permanente du périphérique, ce qui peut nécessiter un reflasher du système d'exploitation pour réparer le périphérique.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2015-0569 | 26754117* | Critique | Nexus 5X, Nexus 7 (2013) | 23 janvier 2016 |
| CVE-2015-0570 | 26764809* | Critique | Nexus 5X, Nexus 7 (2013) | 25 janvier 2016 |
* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .
Vulnérabilité d'élévation de privilèges dans le pilote vidéo NVIDIA
Une vulnérabilité d'élévation de privilèges dans le pilote vidéo NVIDIA pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission locale permanente du périphérique, ce qui peut nécessiter un reflasher du système d'exploitation pour réparer le périphérique.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2434 | 27251090* | Critique | Nexus 9 | 17 février 2016 |
| CVE-2016-2435 | 27297988* | Critique | Nexus 9 | 20 février 2016 |
| CVE-2016-2436 | 27299111* | Critique | Nexus 9 | 22 février 2016 |
| CVE-2016-2437 | 27436822* | Critique | Nexus 9 | 1 mars 2016 |
* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .
Vulnérabilité d’élévation de privilèges dans le noyau
Une vulnérabilité d'élévation de privilèges dans le noyau pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une élévation de privilèges locale et de l'exécution de code arbitraire conduisant à la possibilité d'une compromission locale permanente du périphérique, ce qui peut nécessiter un reflasher du système d'exploitation pour réparer le périphérique. Ce problème a été décrit dans l'avis de sécurité Android 2016-03-18 .
| CVE | Bogue Android | Gravité | Appareils Nexus mis à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2015-1805 | 27275324* | Critique | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9 | 19 février 2016 |
* Le correctif dans AOSP est disponible pour des versions spécifiques du noyau : 3.14 , 3.10 et 3.4 .
Vulnérabilité d'exécution de code à distance dans le noyau
Une vulnérabilité d'exécution de code à distance dans le sous-système audio pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, un bogue d'exécution de code noyau comme celui-ci serait classé critique, mais comme il nécessite d'abord de compromettre un service privilégié afin d'appeler le sous-système audio, il est classé de gravité élevée.
| CVE | Bogue Android | Gravité | Appareils Nexus mis à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2438 | 26636060* | Haut | Nexus 9 | Google interne |
* Le correctif pour ce problème est disponible en amont sous Linux .
Vulnérabilité de divulgation d’informations dans le contrôleur Qualcomm Tethering
Une vulnérabilité de divulgation d'informations dans le contrôleur Qualcomm Tethering pourrait permettre à une application malveillante locale d'accéder à des informations personnelles identifiables sans les privilèges nécessaires pour le faire. Ce problème est classé comme étant de gravité élevée, car il peut être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.
| CVE | Bogue Android | Gravité | Appareils Nexus mis à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2060 | 27942588* | Haut | Aucun | 23 mars 2016 |
* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour doit être contenue dans les derniers pilotes des appareils concernés.
Vulnérabilité d'exécution de code à distance dans Bluetooth
Lors du couplage d'un appareil Bluetooth, une vulnérabilité dans Bluetooth pourrait permettre à un attaquant proximal d'exécuter du code arbitraire pendant le processus de couplage. Ce problème est classé comme étant de gravité élevée en raison de la possibilité d'exécution de code à distance lors de l'initialisation d'un périphérique Bluetooth.
| CVE | Bogue Android | Gravité | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de rapport |
|---|---|---|---|---|---|
| CVE-2016-2439 | 27411268 | Haut | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 février 2016 |
Vulnérabilité d’élévation de privilèges dans Binder
Une vulnérabilité d'élévation de privilèges dans Binder pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du processus d'une autre application. Tout en libérant de la mémoire, une vulnérabilité dans le Binder pourrait permettre à un attaquant de provoquer l'exécution de code local. Ce problème est classé comme étant de gravité élevée en raison de la possibilité d’exécution de code local pendant le processus de mémoire libre dans le classeur.
| CVE | Bogue Android | Gravité | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de rapport |
|---|---|---|---|---|---|
| CVE-2016-2440 | 27252896 | Haut | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 18 février 2016 |
Vulnérabilité d’élévation de privilèges dans le pilote Qualcomm Buspm
Une vulnérabilité d'élévation de privilèges dans le pilote buspm Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, un bogue d'exécution de code noyau comme celui-ci serait classé critique, mais comme il nécessite d'abord de compromettre un service capable d'appeler le pilote, il est classé comme étant de gravité élevée.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2441 | 26354602* | Haut | Nexus 5X, Nexus 6, Nexus 6P | 30 décembre 2015 |
| CVE-2016-2442 | 26494907* | Haut | Nexus 5X, Nexus 6, Nexus 6P | 30 décembre 2015 |
* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .
Vulnérabilité d’élévation de privilèges dans le pilote Qualcomm MDP
Une vulnérabilité d'élévation de privilèges dans le pilote Qualcomm MDP pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, un bogue d'exécution de code noyau comme celui-ci serait classé critique, mais comme il nécessite d'abord de compromettre un service capable d'appeler le pilote, il est classé comme étant de gravité élevée.
| CVE | Bogue Android | Gravité | Appareils Nexus mis à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2443 | 26404525* | Haut | Nexus 5, Nexus 7 (2013) | 5 janvier 2016 |
* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .
Vulnérabilité d’élévation de privilèges dans le pilote Wi-Fi Qualcomm
Une vulnérabilité d'élévation de privilèges dans le composant Wi-Fi de Qualcomm pourrait permettre à une application malveillante locale d'appeler des appels système modifiant les paramètres et le comportement de l'appareil sans disposer des privilèges nécessaires pour le faire. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir un accès local à des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.
| CVE | Bogue Android | Gravité | Appareils Nexus mis à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2015-0571 | 26763920* | Haut | Nexus 5X, Nexus 7 (2013) | 25 janvier 2016 |
* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .
Vulnérabilité d'élévation de privilèges dans le pilote vidéo NVIDIA
Une vulnérabilité d'élévation de privilèges dans le pilote multimédia NVIDIA pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, un bogue d'exécution de code noyau comme celui-ci serait classé critique, mais comme il nécessite d'abord de compromettre un service à privilèges élevés pour appeler le pilote, il est classé de gravité élevée.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2444 | 27208332* | Haut | Nexus 9 | 16 février 2016 |
| CVE-2016-2445 | 27253079* | Haut | Nexus 9 | 17 février 2016 |
| CVE-2016-2446 | 27441354* | Haut | Nexus 9 | 1 mars 2016 |
* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .
Vulnérabilité d’élévation de privilèges dans le Wi-Fi
Une vulnérabilité d’élévation de privilèges dans le Wi-Fi pourrait permettre à une application malveillante locale d’exécuter du code arbitraire dans le contexte d’une application système élevée. Ce problème est classé comme étant de gravité élevée, car il pourrait également être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.
Remarque : Le numéro CVE a été mis à jour, conformément à la demande MITRE, de CVE-2016-2447 à CVE-2016-4477.
| CVE | Bogue Android | Gravité | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de rapport |
|---|---|---|---|---|---|
| CVE-2016-4477 | 27371366 [ 2 ] | Haut | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 février 2016 |
Vulnérabilité d’élévation de privilèges dans Mediaserver
Une vulnérabilité d'élévation de privilèges dans Mediaserver pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de rapport |
|---|---|---|---|---|---|
| CVE-2016-2448 | 27533704 | Haut | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 mars 2016 |
| CVE-2016-2449 | 27568958 | Haut | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 mars 2016 |
| CVE-2016-2450 | 27569635 | Haut | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 mars 2016 |
| CVE-2016-2451 | 27597103 | Haut | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 mars 2016 |
| CVE-2016-2452 | 27662364 [ 2 ] [ 3 ] | Haut | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 mars 2016 |
Vulnérabilité d'élévation de privilèges dans le pilote Wi-Fi MediaTek
Une vulnérabilité d'élévation de privilèges dans le pilote Wi-Fi MediaTek pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, un bogue d'exécution de code noyau comme celui-ci serait classé critique, mais comme il nécessite d'abord de compromettre un service capable d'appeler le pilote, il est classé comme étant de gravité élevée.
| CVE | Bogue Android | Gravité | Appareils Nexus mis à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2453 | 27549705* | Haut | Android Un | 8 mars 2016 |
* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .
Vulnérabilité de déni de service à distance dans le codec matériel Qualcomm
Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, une vulnérabilité de déni de service à distance dans le codec vidéo matériel Qualcomm pourrait permettre à un attaquant distant de bloquer l'accès à un appareil affecté en provoquant son redémarrage. Ceci est classé comme étant de gravité élevée en raison de la possibilité d’un déni de service à distance.
| CVE | Bogue Android | Gravité | Appareils Nexus mis à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2454 | 26221024* | Haut | Nexus 5 | 16 décembre 2015 |
* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .
Vulnérabilité d’élévation de privilèges dans Conscrypt
Une vulnérabilité d'élévation de privilèges dans Conscrypt pourrait permettre à une application locale de croire qu'un message a été authentifié alors qu'il ne l'est pas. Ce problème est classé comme étant de gravité modérée, car il nécessite des étapes coordonnées sur plusieurs appareils.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de rapport |
|---|---|---|---|---|---|
| CVE-2016-2461 | 27324690 [ 2 ] | Modéré | Tous les Nexus | 6.0, 6.0.1 | Google interne |
| CVE-2016-2462 | 27371173 | Modéré | Tous les Nexus | 6.0, 6.0.1 | Google interne |
Vulnérabilité d’élévation de privilèges dans OpenSSL et BoringSSL
Une vulnérabilité d'élévation de privilèges dans OpenSSL et BoringSSL pourrait permettre à une application malveillante locale d'accéder à des données en dehors de ses niveaux d'autorisation. Normalement, ce problème serait classé comme étant élevé, mais comme il nécessite une configuration manuelle peu courante, il est classé comme étant de gravité modérée.
| CVE | Bogue Android | Gravité | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de rapport |
|---|---|---|---|---|---|
| CVE-2016-0705 | 27449871 | Modéré | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 février 2016 |
Vulnérabilité d'élévation de privilèges dans le pilote Wi-Fi MediaTek
Une vulnérabilité d'élévation de privilèges dans le pilote Wi-Fi MediaTek pourrait permettre à une application malveillante locale de provoquer un déni de service. Normalement, un bogue d’élévation de privilèges comme celui-ci serait classé comme étant élevé, mais comme il nécessite d’abord de compromettre un service système, il est classé comme étant de gravité modérée.
| CVE | Bogue Android | Gravité | Appareils Nexus mis à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2456 | 27275187* | Modéré | Android Un | 19 février 2016 |
* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .
Vulnérabilité d’élévation de privilèges dans le Wi-Fi
Une vulnérabilité d’élévation de privilèges dans le Wi-Fi pourrait permettre à un compte invité de modifier les paramètres Wi-Fi qui persistent pour l’utilisateur principal. Ce problème est classé comme étant de gravité modérée car il permet un accès local à des fonctionnalités « dangereuses » sans autorisation.
| CVE | Bogue Android | Gravité | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de rapport |
|---|---|---|---|---|---|
| CVE-2016-2457 | 27411179 | Modéré | Tous les Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 février 2016 |
Vulnérabilité de divulgation d’informations dans AOSP Mail
Une vulnérabilité de divulgation d'informations dans AOSP Mail pourrait permettre à une application malveillante locale d'accéder aux informations privées de l'utilisateur. Ce problème est classé comme étant de gravité modérée, car il pourrait être utilisé pour accéder de manière inappropriée aux données sans autorisation.
| CVE | Bogue Android | Gravité | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de rapport |
|---|---|---|---|---|---|
| CVE-2016-2458 | 27335139 [ 2 ] | Modéré | Tous les Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 février 2016 |
Vulnérabilité de divulgation d'informations dans Mediaserver
Une vulnérabilité de divulgation d'informations dans Mediaserver pourrait permettre à une application d'accéder à des informations sensibles. Ce problème est classé comme étant de gravité modérée, car il pourrait être utilisé pour accéder de manière inappropriée aux données sans autorisation.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de rapport |
|---|---|---|---|---|---|
| CVE-2016-2459 | 27556038 | Modéré | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 mars 2016 |
| CVE-2016-2460 | 27555981 | Modéré | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 mars 2016 |
Vulnérabilité de déni de service dans le noyau
Une vulnérabilité de déni de service dans le noyau pourrait permettre à une application malveillante locale de provoquer un redémarrage de l'appareil. Ce problème est classé comme étant de faible gravité car il a pour effet un déni de service temporaire.
| CVE | Bogue Android | Gravité | Appareils Nexus mis à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-0774 | 27721803* | Faible | Tous les Nexus | 17 mars 2016 |
* Le correctif pour ce problème est disponible en amont sous Linux .
Questions et réponses courantes
Cette section passe en revue les réponses aux questions courantes qui peuvent survenir après la lecture de ce bulletin.
1. Comment puis-je déterminer si mon appareil est mis à jour pour résoudre ces problèmes ?
Les niveaux de correctifs de sécurité du 1er mai 2016 ou ultérieurs résolvent ces problèmes (reportez-vous à la documentation Nexus pour obtenir des instructions sur la façon de vérifier le niveau du correctif de sécurité). Les fabricants d'appareils qui incluent ces mises à jour doivent définir le niveau de chaîne de correctif sur : [ro.build.version.security_patch]:[2016-05-01]
2. Comment puis-je déterminer quels appareils Nexus sont concernés par chaque problème ?
Dans la section Détails de la vulnérabilité de sécurité , chaque tableau comporte une colonne Appareils Nexus mis à jour qui couvre la gamme d'appareils Nexus concernés mis à jour pour chaque problème. Cette colonne propose quelques options :
- Tous les appareils Nexus : si un problème affecte tous les appareils Nexus, le tableau affichera Tous les appareils Nexus dans la colonne Appareils Nexus mis à jour . Tous les Nexus encapsulent les appareils pris en charge suivants : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player et Pixel C.
- Certains appareils Nexus : si un problème n'affecte pas tous les appareils Nexus, les appareils Nexus concernés sont répertoriés dans la colonne Appareils Nexus mis à jour .
- Aucun appareil Nexus : si aucun appareil Nexus n'est concerné par le problème, le tableau affichera « Aucun » dans la colonne Appareils Nexus mis à jour .
3. Pourquoi CVE-2015-1805 est-il inclus dans ce bulletin ?
CVE-2015-1805 est inclus dans ce bulletin car l' avis de sécurité Android 2016-03-18 a été publié très peu de temps après la publication du bulletin d'avril. En raison du calendrier serré, les fabricants d'appareils ont eu la possibilité de fournir les correctifs du Nexus Security Bulletin d'avril 2016 , sans le correctif pour CVE-2015-1805, s'ils utilisaient le niveau de correctif de sécurité du 1er avril 2016. Il est à nouveau inclus dans ce bulletin car il doit être corrigé afin d'utiliser le niveau de correctif de sécurité du 1er mai 2016.
Révisions
- 02 mai 2016 : Bulletin publié.
- 04 mai 2016 :
- Bulletin révisé pour inclure des liens AOSP.
- Liste de tous les appareils Nexus mis à jour pour inclure Nexus Player et Pixel C.
- CVE-2016-2447 mis à jour vers CVE-2016-4477, par demande MITRE.