Publié le 6 juin 2016 | Mis à jour le 8 juin 2016
Le bulletin de sécurité Android contient des informations sur les failles de sécurité affectant les appareils Android. En plus de ce bulletin, nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour Over The Air (OTA). Les images du micrologiciel Nexus ont également été publiées sur le site Google Developers. Les niveaux de correctifs de sécurité du 1er juin 2016 ou ultérieurs résolvent ces problèmes. Consultez la documentation Nexus pour savoir comment vérifier le niveau du correctif de sécurité.
Les partenaires ont été informés des problèmes décrits dans le bulletin le 2 mai 2016 ou avant. Le cas échéant, des correctifs de code source pour ces problèmes ont été publiés dans le dépôt du projet Android Open Source (AOSP).
Le problème le plus grave est une faille de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil affecté via plusieurs méthodes, telles que la messagerie, la navigation Web et les MMS lors du traitement de fichiers multimédias. L'évaluation de la gravité est basée sur l'impact potentiel de l'exploitation de la faille sur un appareil concerné, en supposant que les mesures d'atténuation de la plate-forme et du service soient désactivées à des fins de développement ou qu'elles soient contournées.
Nous n'avons reçu aucun signalement d'exploitation ou d'utilisation abusive active de ces problèmes récemment signalés par les clients. Consultez la section Atténuations des services Android et Google pour en savoir plus sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet, qui améliorent la sécurité de la plate-forme Android.
Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.
Stratégies d'atténuation pour les services Android et Google
Voici un résumé des mesures d'atténuation fournies par la plate-forme de sécurité Android et les protections de service, telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que des failles de sécurité puissent être exploitées sur Android.
- L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux versions plus récentes de la plate-forme Android. Nous encourageons tous les utilisateurs à passer à la dernière version d'Android dans la mesure du possible.
- L'équipe Android Security surveille activement les utilisations abusives à l'aide de Verify Apps et SafetyNet, qui sont conçus pour avertir les utilisateurs des applications potentiellement dangereuses. Vérifier les applications est activé par défaut sur les appareils équipés des services mobiles Google. Il est particulièrement important pour les utilisateurs qui installent des applications en dehors de Google Play. Les outils de rootage d'appareils sont interdits sur Google Play, mais la fonctionnalité "Vérifier les applications" avertit les utilisateurs lorsqu'ils tentent d'installer une application de rootage détectée, quelle que soit son origine. De plus, Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une faille d'escalade de privilèges. Si une telle application a déjà été installée, Vérifier les applications en informe l'utilisateur et tente de la supprimer.
- Le cas échéant, les applications Google Hangouts et Messenger ne transfèrent pas automatiquement les contenus multimédias à des processus tels que Mediaserver.
Remerciements
Nous tenons à remercier ces chercheurs pour leur contribution:
- Di Shen (@returnsme) de KeenLab (@keen_lab), Tencent: CVE-2016-2468
- Gal Beniamini (@laginimaineb): CVE-2016-2476
- Gengjia Chen (@chengjia4574), pjf (weibo.com/jfpan) du laboratoire IceSword, Qihoo 360 Technology Co., Ltd.: CVE-2016-2492
- Hao Chen, Guang Gong et Wenlin Yang de l'équipe Mobile Safe de Qihoo 360 Technology Co., Ltd.: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016-2498
- Iwo Banas: CVE-2016-2496
- Jianqiang Zhao(@jianqiangzhao) et pjf (weibo.com/jfpan) du laboratoire IceSword, Qihoo 360 Technology Co., Ltd.: CVE-2016-2490, CVE-2016-2491
- Lee Campbell de Google: CVE-2016-2500
- Maciej Szawłowski de l'équipe de sécurité Google: CVE-2016-2474
- Marco Nelissen et Max Spector de Google: CVE-2016-2487
- Mark Brand de Google Project Zero: CVE-2016-2494
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) et Xuxian Jiang de l'équipe C0RE: CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481, CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485 et CVE-2016-2486
- Scott Bauer (@ScottyBauer1) : CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
- Vasily Vasilev: CVE-2016-2463
- Weichao Sun (@sunblate) d'Alibaba Inc.: CVE-2016-2495
- Xiling Gong du département de la plate-forme de sécurité de Tencent: CVE-2016-2499
- Zach Riggle (@ebeip90) de l'équipe de sécurité Android: CVE-2016-2493
Détails de la faille de sécurité
Dans les sections ci-dessous, nous fournissons des informations sur chacune des failles de sécurité qui s'appliquent au niveau de correctif 2016-06-01. Vous trouverez une description du problème, une justification de la gravité et un tableau contenant l'ID de la faille CVE, le bug Android associé, la gravité, les appareils Nexus mis à jour, les versions AOSP mises à jour (le cas échéant) et la date de signalement. Lorsque nous le pourrons, nous associerons la modification AOSP qui a résolu le problème à l'ID du bug. Lorsque plusieurs modifications concernent un même bug, des références AOSP supplémentaires sont associées aux numéros qui suivent l'ID du bug.
Vulnérabilité d'exécution de code à distance dans Mediaserver
Une faille d'exécution de code à distance dans Mediaserver peut permettre à un pirate informatique utilisant un fichier spécialement conçu de corrompre la mémoire lors du traitement des fichiers multimédias et des données. Ce problème est classé comme critique en raison de la possibilité d'exécution de code à distance dans le contexte du processus Mediaserver. Le processus Mediaserver a accès aux flux audio et vidéo, ainsi qu'aux droits d'accès auxquels les applications tierces ne peuvent normalement pas accéder.
La fonctionnalité concernée est fournie en tant que composante de base du système d'exploitation. Plusieurs applications permettent d'y accéder avec du contenu à distance, en particulier les MMS et la lecture multimédia dans le navigateur.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de signalement |
|---|---|---|---|---|---|
| CVE-2016-2463 | 27855419 | Critical (Critique) | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Mar 25, 2016 |
Failles d'exécution de code à distance dans libwebm
Les failles d'exécution de code à distance avec libwebm peuvent permettre à un pirate informatique d'utiliser un fichier spécialement conçu pour corrompre la mémoire lors du traitement des fichiers multimédias et des données. Ce problème est classé comme critique en raison de la possibilité d'exécution de code à distance dans le contexte du processus Mediaserver. Le processus Mediaserver a accès aux flux audio et vidéo, ainsi qu'aux droits d'accès auxquels les applications tierces ne peuvent normalement pas accéder.
La fonctionnalité concernée est fournie en tant que composante de base du système d'exploitation. Plusieurs applications permettent d'y accéder avec du contenu à distance, en particulier les MMS et la lecture multimédia dans le navigateur.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de signalement |
|---|---|---|---|---|---|
| CVE-2016-2464 | 23167726 [2] | Critical (Critique) | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interne Google |
Faille d'élévation des privilèges dans le pilote vidéo Qualcomm
Une faille d'élévation des privilèges dans le pilote vidéo Qualcomm peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission locale permanente de l'appareil, ce qui peut nécessiter de flasher à nouveau le système d'exploitation pour réparer l'appareil.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2465 | 27407865* | Critical (Critique) | Nexus 5, Nexus 5X, Nexus 6 et Nexus 6P | 21 février 2016 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developers.
Faille d'élévation des privilèges dans le pilote audio Qualcomm
Une faille d'élévation des privilèges dans le pilote audio Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission locale permanente de l'appareil, ce qui peut nécessiter de flasher à nouveau le système d'exploitation pour réparer l'appareil.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2466 | 27947307* | Critical (Critique) | Nexus 6 | 27 février 2016 |
| CVE-2016-2467 | 28029010* | Critical (Critique) | Nexus 5 | 13 mars 2014 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developers.
Faille d'élévation des privilèges dans le pilote de GPU Qualcomm
Une faille d'élévation des privilèges dans le pilote de GPU Qualcomm peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission locale permanente de l'appareil, ce qui peut nécessiter de flasher à nouveau le système d'exploitation pour réparer l'appareil.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2468 | 27475454* | Critical (Critique) | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P et Nexus 7 | Mar 2, 2016 |
| CVE-2016-2062 | 27364029* | Critical (Critique) | Nexus 5X, Nexus 6P | Mar 6, 2016 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developers.
Faille d'élévation des privilèges dans le pilote Wi-Fi Qualcomm
Une faille d'élévation des privilèges dans le pilote Wi-Fi Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission locale permanente de l'appareil, ce qui peut nécessiter de flasher à nouveau le système d'exploitation pour réparer l'appareil.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2474 | 27424603* | Critical (Critique) | Nexus 5X | Interne Google |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developers.
Vulnérabilité d'élévation de privilège dans le pilote Wi-Fi Broadcom
Une faille d'élévation des privilèges dans le pilote Wi-Fi Broadcom peut permettre à une application malveillante locale d'appeler des appels système modifiant les paramètres et le comportement de l'appareil sans en avoir les droits. Ce problème est classé comme "Élevé", car il peut être utilisé pour obtenir un accès local à des fonctionnalités élevées.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2475 | 26425765* | Élevée | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player et Pixel C | Jan 6, 2016 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developers.
Faille d'élévation des privilèges dans le pilote audio Qualcomm
Une faille d'escalade de privilèges dans le pilote audio Qualcomm pourrait permettre à une application malveillante d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme "Élevé", car il nécessite d'abord de compromettre un service pouvant appeler le pilote.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2066 | 26876409* | Élevée | Nexus 5, Nexus 5X, Nexus 6 et Nexus 6P | Jan 29, 2016 |
| CVE-2016-2469 | 27531992* | Élevée | Nexus 5, Nexus 6, Nexus 6P | Mar 4, 2016 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developers.
Faille d'élévation des droits dans Mediaserver
Une faille d'escalade de privilèges dans Mediaserver peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme "Élevé", car il pourrait être utilisé pour obtenir un accès local à des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles à une application tierce.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de signalement |
|---|---|---|---|---|---|
| CVE-2016-2476 | 27207275 [2] [3] [4] | Élevée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 février 2016 |
| CVE-2016-2477 | 27251096 | Élevée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 février 2016 |
| CVE-2016-2478 | 27475409 | Élevée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Mar 3, 2016 |
| CVE-2016-2479 | 27532282 | Élevée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Mar 6, 2016 |
| CVE-2016-2480 | 27532721 | Élevée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Mar 6, 2016 |
| CVE-2016-2481 | 27532497 | Élevée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Mar 6, 2016 |
| CVE-2016-2482 | 27661749 | Élevée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Mar 14, 2016 |
| CVE-2016-2483 | 27662502 | Élevée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Mar 14, 2016 |
| CVE-2016-2484 | 27793163 | Élevée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 mars 2016 |
| CVE-2016-2485 | 27793367 | Élevée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 mars 2016 |
| CVE-2016-2486 | 27793371 | Élevée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 mars 2016 |
| CVE-2016-2487 | 27833616 [2] [3] | Élevée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interne Google |
Faille d'élévation des droits dans le pilote de l'appareil photo Qualcomm
Une faille d'élévation des privilèges dans le pilote de la caméra Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme "Élevé", car il nécessite d'abord de compromettre un service pouvant appeler le pilote.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2061 | 27207747* | Élevée | Nexus 5X, Nexus 6P | Fév 15, 2016 |
| CVE-2016-2488 | 27600832* | Élevée | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P et Nexus 7 (2013) | Interne Google |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developers.
Faille d'élévation des privilèges dans le pilote vidéo Qualcomm
Une faille d'élévation des privilèges dans le pilote vidéo Qualcomm peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme "Élevé", car il nécessite d'abord de compromettre un service pouvant appeler le pilote.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2489 | 27407629* | Élevée | Nexus 5, Nexus 5X, Nexus 6 et Nexus 6P | 21 février 2016 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developers.
Vulnérabilité d'escalade de privilèges dans le pilote de la caméra NVIDIA
Une faille d'élévation des privilèges dans le pilote de la caméra NVIDIA pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique, car il nécessite d'abord de compromettre un service pour appeler le pilote.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2490 | 27533373* | Élevée | Nexus 9 | Mar 6, 2016 |
| CVE-2016-2491 | 27556408* | Élevée | Nexus 9 | Mar 8, 2016 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developers.
Faille d'élévation des privilèges dans le pilote Wi-Fi Qualcomm
Une faille d'escalade de privilèges dans le pilote Wi-Fi Qualcomm pourrait permettre à une application malveillante d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme "Élevé", car il nécessite d'abord de compromettre un service pouvant appeler le pilote.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2470 | 27662174* | Élevée | Nexus 7 (2013) | 13 mars 2016 |
| CVE-2016-2471 | 27773913* | Élevée | Nexus 7 (2013) | Mar 19, 2016 |
| CVE-2016-2472 | 27776888* | Élevée | Nexus 7 (2013) | Mar 20, 2016 |
| CVE-2016-2473 | 27777501* | Élevée | Nexus 7 (2013) | Mar 20, 2016 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developers.
Vulnérabilité d'élévation des droits dans le pilote de gestion de l'alimentation MediaTek
Une élévation des privilèges dans le pilote de gestion de l'alimentation MediaTek peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique, car il nécessite d'abord de compromettre l'appareil et d'obtenir un accès racine pour appeler le pilote.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2492 | 28085410* | Élevée | Android One | 7 avril 2016 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developers.
Vulnérabilité d'escalade de privilèges dans la couche d'émulation de carte SD
Une faille d'élévation des privilèges dans la couche d'émulation de l'espace utilisateur de la carte SD peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de niveau élevé, car il pourrait être utilisé pour obtenir un accès local à des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles à une application tierce.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de signalement |
|---|---|---|---|---|---|
| CVE-2016-2494 | 28085658 | Élevée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 avril 2016 |
Vulnérabilité d'élévation de privilège dans le pilote Wi-Fi Broadcom
Une faille d'élévation des privilèges dans le pilote Wi-Fi Broadcom peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique, car il nécessite d'abord de compromettre un service pour appeler le pilote.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2493 | 26571522* | Élevée | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Player et Pixel C | Interne Google |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Vulnérabilité de déni de service à distance dans Mediaserver
Une faille de déni de service à distance dans Mediaserver peut permettre à un pirate informatique d'utiliser un fichier spécialement conçu pour provoquer le blocage ou le redémarrage d'un appareil. Ce problème est classé comme grave en raison de la possibilité d'un déni de service à distance.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de signalement |
|---|---|---|---|---|---|
| CVE-2016-2495 | 28076789 [2] | Élevée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 avril 2016 |
Faille d'élévation des droits dans l'interface utilisateur du framework
Une faille d'élévation des privilèges dans la boîte de dialogue d'autorisation de l'UI du Framework peut permettre à un pirate informatique d'accéder à des fichiers non autorisés dans un espace de stockage privé. Ce problème est classé comme modéré, car il pourrait être utilisé pour obtenir de manière incorrecte des autorisations dangereuses.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de signalement |
|---|---|---|---|---|---|
| CVE-2016-2496 | 26677796 [2] [3] | Modérée | Tous les Nexus | 6.0, 6.1 | 26 mai 2015 |
Faille de divulgation d'informations dans le pilote Wi-Fi Qualcomm
Une divulgation d'informations dans le pilote Wi-Fi Qualcomm peut permettre à une application malveillante locale d'accéder aux données en dehors de ses niveaux d'autorisation. Ce problème est classé comme modéré, car il nécessite d'abord de compromettre un service pouvant appeler le pilote.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-2498 | 27777162* | Modérée | Nexus 7 (2013) | Mar 20, 2016 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developers.
Faille de divulgation d'informations dans Mediaserver
Une faille de divulgation d'informations dans Mediaserver peut permettre à une application d'accéder à des informations sensibles. Ce problème est classé comme modéré, car il pourrait être utilisé pour accéder aux données sans autorisation.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de signalement |
|---|---|---|---|---|---|
| CVE-2016-2499 | 27855172 | Modérée | Tous les Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Mar 24, 2016 |
Faille de divulgation d'informations dans Activity Manager
Une faille de divulgation d'informations dans le composant Gestionnaire d'activités peut permettre à une application d'accéder à des informations sensibles. Ce problème est classé comme modéré, car il pourrait être utilisé pour accéder aux données sans autorisation.
| CVE | Bugs Android | Niveau | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date de signalement |
|---|---|---|---|---|---|
| CVE-2016-2500 | 19285814 | Modérée | Tous les Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | Interne Google |
Questions fréquentes et réponses
Cette section répond aux questions fréquentes qui peuvent se poser après la lecture de ce bulletin.
1. Comment savoir si mon appareil a été mis à jour pour résoudre ces problèmes ?
Les niveaux de correctif de sécurité du 1er juin 2016 ou version ultérieure résolvent ces problèmes (consultez la documentation Nexus pour savoir comment vérifier le niveau du correctif de sécurité). Les fabricants d'appareils qui incluent ces mises à jour doivent définir le niveau de la chaîne de correctif sur : [ro.build.version.security_patch]:[2016-06-01]
2. Comment savoir quels appareils Nexus sont concernés par chaque problème ?
Dans la section Détails de la faille de sécurité, chaque tableau comporte une colonne "Appareils Nexus mis à jour" qui couvre la plage d'appareils Nexus concernés mis à jour pour chaque problème. Cette colonne propose plusieurs options:
- Tous les appareils Nexus: si un problème affecte tous les appareils Nexus, la colonne Appareils Nexus mis à jour indique "Tous les Nexus". "Tous les Nexus" englobe les appareils compatibles suivants: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player et Pixel C.
- Certains appareils Nexus: si un problème ne concerne pas tous les appareils Nexus, les appareils Nexus concernés sont listés dans la colonne Appareils Nexus mis à jour.
- Aucun appareil Nexus: si aucun appareil Nexus n'est concerné par le problème, la colonne Appareils Nexus mis à jour indique "Aucun".
Révisions
- 6 juin 2016: publication du bulletin.
- 7 juin 2016 :
- Bulletin mis à jour pour inclure des liens vers AOSP.
- CVE-2016-2496 supprimé du bulletin.
- 8 juin 2016: CVE-2016-2496 réintégré au bulletin.