Publié le 06 juin 2016 | Mis à jour le 08 juin 2016
Le bulletin de sécurité Android contient des détails sur les vulnérabilités de sécurité affectant les appareils Android. Parallèlement au bulletin, nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour en direct (OTA). Les images du micrologiciel Nexus ont également été publiées sur le site Google Developer . Les niveaux de correctifs de sécurité du 1er juin 2016 ou ultérieurs résolvent ces problèmes. Reportez-vous à la documentation Nexus pour savoir comment vérifier le niveau du correctif de sécurité.
Les partenaires ont été informés des problèmes décrits dans le bulletin le 2 mai 2016 ou avant. Le cas échéant, des correctifs de code source pour ces problèmes ont été publiés dans le référentiel Android Open Source Project (AOSP).
Le problème le plus grave est une vulnérabilité de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil affecté via plusieurs méthodes telles que la messagerie électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias. L' évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les atténuations de la plate-forme et du service sont désactivées à des fins de développement ou si elles sont contournées avec succès.
Nous n'avons eu aucun rapport d'exploitation ou d'abus actif de la part des clients de ces problèmes nouvellement signalés. Reportez-vous à la section Android et Google Service Mitigations pour plus de détails sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet, qui améliorent la sécurité de la plate-forme Android.
Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.
Atténuations des services Android et Google
Il s'agit d'un résumé des mesures d'atténuation fournies par la plate- forme de sécurité Android et les protections de service, telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que les vulnérabilités de sécurité puissent être exploitées avec succès sur Android.
- L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux nouvelles versions de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour la dernière version d'Android dans la mesure du possible.
- L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet , qui sont conçus pour avertir les utilisateurs des applications potentiellement dangereuses . Vérifier les applications est activé par défaut sur les appareils avec Google Mobile Services et est particulièrement important pour les utilisateurs qui installent des applications en dehors de Google Play. Les outils d'enracinement d'appareil sont interdits dans Google Play, mais Verify Apps avertit les utilisateurs lorsqu'ils tentent d'installer une application d'enracinement détectée, quelle que soit son origine. De plus, Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'élévation de privilèges. Si une telle application a déjà été installée, Verify Apps avertira l'utilisateur et tentera de supprimer l'application détectée.
- Le cas échéant, les applications Google Hangouts et Messenger ne transmettent pas automatiquement les médias à des processus tels que Mediaserver.
Remerciements
Nous tenons à remercier ces chercheurs pour leurs contributions :
- Di Shen ( @returnsme ) de KeenLab ( @keen_lab ), Tencent : CVE-2016-2468
- Gal Beniamini ( @laginimaineb ): CVE-2016-2476
- Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) de IceSword Lab, Qihoo 360 Technology Co. Ltd. : CVE-2016-2492
- Hao Chen, Guang Gong et Wenlin Yang de Mobile Safe Team, Qihoo 360 Technology Co. Ltd. : CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016- 2498
- Iwo Banas : CVE-2016-2496
- Jianqiang Zhao( @jianqiangzhao ) et pjf ( weibo.com/jfpan ) de IceSword Lab, Qihoo 360 Technology Co. Ltd. : CVE-2016-2490, CVE-2016-2491
- Lee Campbell de Google : CVE-2016-2500
- Maciej Szawłowski de l'équipe de sécurité de Google : CVE-2016-2474
- Marco Nelissen et Max Spector de Google : CVE-2016-2487
- Marque de Google Project Zero : CVE-2016-2494
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) et Xuxian Jiang de l'équipe C0RE : CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481 , CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
- Scott Bauer ( @ScottyBauer1 ): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
- Vasily Vasilev : CVE-2016-2463
- Weichao Sun ( @sunblate ) d'Alibaba Inc. : CVE-2016-2495
- Xiling Gong du département de la plate-forme de sécurité de Tencent : CVE-2016-2499
- Zach Riggle ( @ebeip90 ) de l'équipe de sécurité Android : CVE-2016-2493
Détails de la vulnérabilité de sécurité
Dans les sections ci-dessous, nous fournissons des détails pour chacune des vulnérabilités de sécuritéi qui s'appliquent au niveau de correctif 2016-06-01. Il y a une description du problème, une justification de la gravité et un tableau avec le CVE, le bogue Android associé, la gravité, les appareils Nexus mis à jour, les versions AOSP mises à jour (le cas échéant) et la date signalée. Lorsqu'il sera disponible, nous lierons le changement AOSP qui a résolu le problème à l'ID de bogue. Lorsque plusieurs modifications concernent un seul bogue, des références AOSP supplémentaires sont liées aux numéros suivant l'ID de bogue.
Vulnérabilité d'exécution de code à distance dans Mediaserver
Une vulnérabilité d'exécution de code à distance dans Mediaserver pourrait permettre à un attaquant utilisant un fichier spécialement conçu de provoquer une corruption de la mémoire lors du traitement du fichier multimédia et des données. Ce problème est classé critique en raison de la possibilité d'exécution de code à distance dans le contexte du processus Mediaserver. Le processus Mediaserver a accès aux flux audio et vidéo, ainsi qu'à des privilèges auxquels les applications tierces ne pourraient normalement pas accéder.
La fonctionnalité affectée est fournie en tant que partie centrale du système d'exploitation, et il existe plusieurs applications qui permettent d'y accéder avec du contenu distant, notamment la lecture de médias par MMS et navigateur.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date du rapport |
|---|---|---|---|---|---|
| CVE-2016-2463 | 27855419 | Critique | Tout Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 mars 2016 |
Vulnérabilités d'exécution de code à distance dans libwebm
Les vulnérabilités d'exécution de code à distance avec libwebm pourraient permettre à un attaquant utilisant un fichier spécialement conçu de provoquer une corruption de la mémoire lors du traitement des fichiers multimédias et des données. Ce problème est classé critique en raison de la possibilité d'exécution de code à distance dans le contexte du processus Mediaserver. Le processus Mediaserver a accès aux flux audio et vidéo, ainsi qu'à des privilèges auxquels les applications tierces ne pourraient normalement pas accéder.
La fonctionnalité affectée est fournie en tant que partie centrale du système d'exploitation, et il existe plusieurs applications qui permettent d'y accéder avec du contenu distant, notamment la lecture de médias par MMS et navigateur.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date du rapport |
|---|---|---|---|---|---|
| CVE-2016-2464 | 23167726 [ 2 ] | Critique | Tout Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interne Google |
Vulnérabilité d'élévation de privilèges dans le pilote vidéo Qualcomm
Une vulnérabilité d'élévation des privilèges dans le pilote vidéo Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission permanente de l'appareil local, qui peut nécessiter un reflashage du système d'exploitation pour réparer l'appareil.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-2465 | 27407865* | Critique | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 21 février 2016 |
* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .
Vulnérabilité d'élévation de privilèges dans le pilote audio Qualcomm
Une vulnérabilité d'élévation des privilèges dans le pilote audio Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission permanente de l'appareil local, qui peut nécessiter un reflashage du système d'exploitation pour réparer l'appareil.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-2466 | 27947307* | Critique | Nexus 6 | 27 février 2016 |
| CVE-2016-2467 | 28029010* | Critique | Nexus 5 | 13 mars 2014 |
* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .
Vulnérabilité d'élévation de privilèges dans le pilote GPU Qualcomm
Une vulnérabilité d'élévation des privilèges dans le pilote GPU Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission permanente de l'appareil local, qui peut nécessiter un reflashage du système d'exploitation pour réparer l'appareil.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-2468 | 27475454* | Critique | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 | 2 mars 2016 |
| CVE-2016-2062 | 27364029* | Critique | Nexus 5X, Nexus 6P | 6 mars 2016 |
* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .
Vulnérabilité d'élévation de privilèges dans le pilote Wi-Fi Qualcomm
Une vulnérabilité d'élévation des privilèges dans le pilote Wi-Fi Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission permanente de l'appareil local, qui peut nécessiter un reflashage du système d'exploitation pour réparer l'appareil.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-2474 | 27424603* | Critique | Nexus 5X | Interne Google |
* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .
Vulnérabilité d'élévation de privilèges dans le pilote Wi-Fi Broadcom
Une vulnérabilité d'élévation des privilèges dans le pilote Wi-Fi Broadcom pourrait permettre à une application malveillante locale d'invoquer des appels système modifiant les paramètres et le comportement de l'appareil sans les privilèges pour le faire. Ce problème est classé comme élevé car il pourrait être utilisé pour obtenir un accès local à des fonctionnalités élevées.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-2475 | 26425765* | Haute | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 6 janvier 2016 |
* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .
Vulnérabilité d'élévation de privilèges dans le pilote audio Qualcomm
Une vulnérabilité d'élévation des privilèges dans le pilote audio Qualcomm pourrait permettre à une application malveillante d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d'abord de compromettre un service qui peut appeler le conducteur.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-2066 | 26876409* | Haute | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 29 janvier 2016 |
| CVE-2016-2469 | 27531992* | Haute | Nexus 5, Nexus 6, Nexus 6P | 4 mars 2016 |
* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .
Vulnérabilité d'élévation de privilèges dans Mediaserver
Une vulnérabilité d'élévation des privilèges dans Mediaserver pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme élevé car il pourrait être utilisé pour obtenir un accès local à des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date du rapport |
|---|---|---|---|---|---|
| CVE-2016-2476 | 27207275 [ 2 ] [ 3 ] [ 4 ] | Haute | Tout Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 février 2016 |
| CVE-2016-2477 | 27251096 | Haute | Tout Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 février 2016 |
| CVE-2016-2478 | 27475409 | Haute | Tout Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 mars 2016 |
| CVE-2016-2479 | 27532282 | Haute | Tout Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 mars 2016 |
| CVE-2016-2480 | 27532721 | Haute | Tout Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 mars 2016 |
| CVE-2016-2481 | 27532497 | Haute | Tout Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 mars 2016 |
| CVE-2016-2482 | 27661749 | Haute | Tout Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 mars 2016 |
| CVE-2016-2483 | 27662502 | Haute | Tout Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 mars 2016 |
| CVE-2016-2484 | 27793163 | Haute | Tout Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 mars 2016 |
| CVE-2016-2485 | 27793367 | Haute | Tout Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 mars 2016 |
| CVE-2016-2486 | 27793371 | Haute | Tout Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 mars 2016 |
| CVE-2016-2487 | 27833616 [ 2 ] [ 3 ] | Haute | Tout Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interne Google |
Vulnérabilité d'élévation de privilèges dans le pilote de caméra Qualcomm
Une vulnérabilité d'élévation des privilèges dans le pilote de caméra Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d'abord de compromettre un service qui peut appeler le conducteur.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-2061 | 27207747* | Haute | Nexus 5X, Nexus 6P | 15 février 2016 |
| CVE-2016-2488 | 27600832* | Haute | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | Interne Google |
* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .
Vulnérabilité d'élévation de privilèges dans le pilote vidéo Qualcomm
Une vulnérabilité d'élévation des privilèges dans le pilote vidéo Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d'abord de compromettre un service qui peut appeler le conducteur.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-2489 | 27407629* | Haute | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 21 février 2016 |
* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .
Vulnérabilité d'élévation de privilèges dans le pilote de caméra NVIDIA
Une vulnérabilité d'élévation des privilèges dans le pilote de caméra NVIDIA pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d'abord de compromettre un service pour appeler le conducteur.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-2490 | 27533373* | Haute | Nexus 9 | 6 mars 2016 |
| CVE-2016-2491 | 27556408* | Haute | Nexus 9 | 8 mars 2016 |
* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .
Vulnérabilité d'élévation de privilèges dans le pilote Wi-Fi Qualcomm
Une vulnérabilité d'élévation des privilèges dans le pilote Wi-Fi Qualcomm pourrait permettre à une application malveillante d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d'abord de compromettre un service qui peut appeler le conducteur.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-2470 | 27662174* | Haute | Nexus 7 (2013) | 13 mars 2016 |
| CVE-2016-2471 | 27773913* | Haute | Nexus 7 (2013) | 19 mars 2016 |
| CVE-2016-2472 | 27776888* | Haute | Nexus 7 (2013) | 20 mars 2016 |
| CVE-2016-2473 | 27777501* | Haute | Nexus 7 (2013) | 20 mars 2016 |
* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .
Vulnérabilité d'élévation de privilèges dans le pilote de gestion de l'alimentation MediaTek
Une élévation de privilèges dans le pilote de gestion de l'alimentation MediaTek pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d'abord de compromettre l'appareil et une élévation à la racine pour appeler le pilote.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-2492 | 28085410* | Haute | Android 1 | 7 avril 2016 |
* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .
Vulnérabilité d'élévation de privilèges dans la couche d'émulation de carte SD
Une vulnérabilité d'élévation des privilèges dans la couche d'émulation de l'espace utilisateur de la carte SD pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme élevé car il pourrait être utilisé pour obtenir un accès local à des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date du rapport |
|---|---|---|---|---|---|
| CVE-2016-2494 | 28085658 | Haute | Tout Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 avril 2016 |
Vulnérabilité d'élévation de privilèges dans le pilote Wi-Fi Broadcom
Une vulnérabilité d'élévation des privilèges dans le pilote Wi-Fi Broadcom pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d'abord de compromettre un service pour appeler le conducteur.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-2493 | 26571522* | Haute | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Player, Pixel C | Interne Google |
* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .
Vulnérabilité de déni de service à distance dans Mediaserver
Une vulnérabilité de déni de service à distance dans Mediaserver pourrait permettre à un attaquant d'utiliser un fichier spécialement conçu pour provoquer le blocage ou le redémarrage d'un appareil. Ce problème est classé comme élevé en raison de la possibilité d'un déni de service à distance.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date du rapport |
|---|---|---|---|---|---|
| CVE-2016-2495 | 28076789 [ 2 ] | Haute | Tout Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 avril 2016 |
Vulnérabilité d'élévation de privilèges dans l'interface utilisateur de Framework
Une vulnérabilité d'élévation des privilèges dans la fenêtre de dialogue d'autorisation de l'interface utilisateur de Framework pourrait permettre à un attaquant d'accéder à des fichiers non autorisés dans un stockage privé. Ce problème est classé comme modéré car il pourrait être utilisé pour obtenir de manière inappropriée des autorisations « dangereuses ».
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date du rapport |
|---|---|---|---|---|---|
| CVE-2016-2496 | 26677796 [ 2 ] [ 3 ] | Modéré | Tout Nexus | 6.0, 6.1 | 26 mai 2015 |
Vulnérabilité de divulgation d'informations dans le pilote Wi-Fi Qualcomm
Une divulgation d'informations dans le pilote Wi-Fi Qualcomm pourrait permettre à une application malveillante locale d'accéder à des données en dehors de ses niveaux d'autorisation. Ce problème est classé comme modéré car il nécessite d'abord de compromettre un service qui peut appeler le pilote.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Date du rapport |
|---|---|---|---|---|
| CVE-2016-2498 | 27777162* | Modéré | Nexus 7 (2013) | 20 mars 2016 |
* Le patch pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .
Vulnérabilité de divulgation d'informations dans Mediaserver
Une vulnérabilité de divulgation d'informations dans Mediaserver pourrait permettre à une application d'accéder à des informations sensibles. Ce problème est classé comme modéré, car il pourrait être utilisé pour accéder à des données sans autorisation.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date du rapport |
|---|---|---|---|---|---|
| CVE-2016-2499 | 27855172 | Modéré | Tout Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 mars 2016 |
Vulnérabilité de divulgation d'informations dans Activity Manager
Une vulnérabilité de divulgation d'informations dans le composant Activity Manager pourrait permettre à une application d'accéder à des informations sensibles. Ce problème est classé modéré car il pourrait être utilisé pour accéder à des données sans autorisation.
| CVE | Bogues Android | Gravité | Appareils Nexus mis à jour | Versions AOSP mises à jour | Date du rapport |
|---|---|---|---|---|---|
| CVE-2016-2500 | 19285814 | Modéré | Tout Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | Interne Google |
Questions et réponses courantes
Cette section répond aux questions courantes qui peuvent survenir après la lecture de ce bulletin.
1. Comment puis-je déterminer si mon appareil est mis à jour pour résoudre ces problèmes ?
Les niveaux de correctif de sécurité du 1er juin 2016 ou ultérieurs résolvent ces problèmes (reportez-vous à la documentation Nexus pour savoir comment vérifier le niveau du correctif de sécurité). Les fabricants d'appareils qui incluent ces mises à jour doivent définir le niveau de chaîne de correctif sur : [ro.build.version.security_patch] : [2016-06-01]
2. Comment déterminer quels appareils Nexus sont concernés par chaque problème ?
Dans la section Détails de la vulnérabilité de sécurité , chaque tableau comporte une colonne Appareils Nexus mis à jour qui couvre la gamme d'appareils Nexus concernés mis à jour pour chaque problème. Cette colonne a quelques options :
- Tous les appareils Nexus : si un problème affecte tous les appareils Nexus, le tableau indique "Tous les appareils Nexus" dans la colonne Appareils Nexus mis à jour . "All Nexus" encapsule les appareils compatibles suivants : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player et Pixel C.
- Certains appareils Nexus : si un problème ne concerne pas tous les appareils Nexus, les appareils Nexus concernés sont répertoriés dans la colonne Appareils Nexus mis à jour .
- Aucun appareil Nexus : si aucun appareil Nexus n'est concerné par le problème, le tableau indique "Aucun" dans la colonne Appareils Nexus mis à jour .
Révisions
- 06 juin 2016 : Bulletin publié.
- 07 juin 2016 :
- Bulletin révisé pour inclure les liens AOSP.
- CVE-2016-2496 supprimé du bulletin.
- 08 juin 2016 : CVE-2016-2496 rajouté au bulletin.