Google s'est engagé à promouvoir l'équité raciale pour les communautés noires. Regarde comment.
Cette page a été traduite par l'API Cloud Translation.
Switch to English

Bulletin de sécurité Nexus - avril 2016

Publié le 04 avril 2016 | Mis à jour le 19 décembre 2016

Nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour OTA (over-the-air) dans le cadre de notre processus de publication mensuelle du bulletin de sécurité Android. Les images du micrologiciel Nexus ont également été publiées sur le site des développeurs Google . Les niveaux de correctif de sécurité du 2 avril 2016 ou version ultérieure résolvent ces problèmes (reportez-vous à la documentation Nexus pour obtenir des instructions sur la façon de vérifier le niveau du correctif de sécurité).

Les partenaires ont été informés des problèmes décrits dans le bulletin le 16 mars 2016 ou avant. Le cas échéant, des correctifs de code source pour ces problèmes ont été publiés dans le référentiel Android Open Source Project (AOSP).

Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil affecté via plusieurs méthodes telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias. L' évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité aurait éventuellement sur un périphérique affecté, en supposant que les atténuations de plate-forme et de service sont désactivées à des fins de développement ou si elles sont contournées avec succès.

L'avis de sécurité Android 2016-03-18 a déjà discuté de l'utilisation de CVE-2015-1805 par une application d'enracinement. La CVE-2015-1805 est résolue dans cette mise à jour. Il n'y a eu aucun rapport d'exploitation active des clients ou d'abus des autres problèmes récemment signalés. Reportez-vous à la section Atténuations pour plus de détails sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet, qui améliorent la sécurité de la plate-forme Android.

Atténuations

Ceci est un résumé des atténuations fournies par la plate - forme de sécurité Android et les protections de service telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que les vulnérabilités de sécurité puissent être exploitées avec succès sur Android.

  • L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux nouvelles versions de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour vers la dernière version d'Android lorsque cela est possible.
  • L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet, qui avertiront l'utilisateur des applications potentiellement dangereuses détectées sur le point d'être installées. Les outils de rooting d'appareils sont interdits dans Google Play. Pour protéger les utilisateurs qui installent des applications en dehors de Google Play, Verify Apps est activé par défaut et avertit les utilisateurs des applications d'enracinement connues. Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'escalade de privilèges. Si une telle application a déjà été installée, Verify Apps en informera l'utilisateur et tentera de supprimer ces applications.
  • Le cas échéant, les applications Google Hangouts et Messenger ne transmettent pas automatiquement le contenu multimédia à des processus tels que mediaserver.

Remerciements

L'équipe de sécurité Android tient à remercier ces chercheurs pour leurs contributions:

L'équipe de sécurité Android remercie également Yuan-Tsung Lo , Wenke Dou , Chiachih Wu ( @chiachih_wu ) et Xuxian Jiang de l' équipe C0RE et Zimperium pour leur contribution à CVE-2015-1805.

Détails de la vulnérabilité de sécurité

Les sections ci-dessous contiennent des détails sur chacune des vulnérabilités de sécurité qui s'appliquent au niveau de correctif 2016-04-02. Il y a une description du problème, une justification de la gravité et un tableau avec la CVE, le bogue associé, la gravité, les versions affectées et la date signalée. Lorsque disponible, nous lierons le commit AOSP qui a résolu le problème à l'ID de bogue. Lorsque plusieurs modifications concernent un seul bogue, des références AOSP supplémentaires sont liées à des numéros suivant l'ID de bogue.

Vulnérabilité d'exécution de code à distance dans DHCPCD

Une vulnérabilité dans le service Dynamic Host Configuration Protocol pourrait permettre à un attaquant de provoquer une corruption de la mémoire, ce qui pourrait conduire à l'exécution de code à distance. Ce problème est évalué comme étant de gravité critique en raison de la possibilité d'exécution de code à distance dans le contexte du client DHCP. Le service DHCP a accès à des privilèges auxquels les applications tierces ne pourraient normalement pas accéder.

CVE Bogues avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2014-6060 ANDROID-15268738 Critique 4.4.4 30 juillet 2014
CVE-2014-6060 ANDROID-16677003 Critique 4.4.4 30 juillet 2014
CVE-2016-1503 ANDROID-26461634 Critique 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 4 janv.2016

Vulnérabilité d'exécution de code à distance dans le codec multimédia

Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, les vulnérabilités d'un codec multimédia utilisé par mediaserver pourraient permettre à un attaquant de provoquer une corruption de la mémoire et l'exécution de code à distance en tant que processus mediaserver.

La fonctionnalité affectée est fournie en tant qu'élément central du système d'exploitation, et il existe plusieurs applications qui permettent de l'atteindre avec du contenu distant, notamment les MMS et la lecture de contenu multimédia par navigateur.

Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance dans le contexte du service mediaserver. Le service mediaserver a accès aux flux audio et vidéo, ainsi qu'à des privilèges auxquels les applications tierces ne pourraient normalement pas accéder.

CVE Punaise Gravité Versions mises à jour Date signalée
CVE-2016-0834 ANDROID-26220548 * Critique 6.0, 6.0.1 16 déc.2015

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'exécution de code à distance dans Mediaserver

Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, des vulnérabilités dans mediaserver pourraient permettre à un attaquant de provoquer une corruption de la mémoire et l'exécution de code à distance en tant que processus mediaserver.

La fonctionnalité affectée est fournie en tant qu'élément central du système d'exploitation, et il existe plusieurs applications qui permettent de l'atteindre avec du contenu distant, notamment les MMS et la lecture de contenu multimédia par navigateur.

Ce problème est considéré comme critique en raison de la possibilité d'exécution de code à distance dans le contexte du service mediaserver. Le service mediaserver a accès aux flux audio et vidéo, ainsi qu'à des privilèges auxquels les applications tierces ne pourraient normalement pas accéder.

CVE Bogues avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2016-0835 ANDROID-26070014 [ 2 ] Critique 6.0, 6.0.1 6 déc.2015
CVE-2016-0836 ANDROID-25812590 Critique 6.0, 6.0.1 19 novembre 2015
CVE-2016-0837 ANDROID-27208621 Critique 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 février 2016
CVE-2016-0838 ANDROID-26366256 [ 2 ] Critique 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google interne
CVE-2016-0839 ANDROID-25753245 Critique 6.0, 6.0.1 Google interne
CVE-2016-0840 ANDROID-26399350 Critique 6.0, 6.0.1 Google interne
CVE-2016-0841 ANDROID-26040840 Critique 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google interne

Vulnérabilité d'exécution de code à distance dans libstagefright

Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, des vulnérabilités dans libstagefright pourraient permettre à un attaquant de provoquer une corruption de la mémoire et l'exécution de code à distance en tant que processus mediaserver.

La fonctionnalité affectée est fournie en tant qu'élément central du système d'exploitation, et il existe plusieurs applications qui permettent de l'atteindre avec du contenu distant, notamment les MMS et la lecture de contenu multimédia par navigateur.

Ce problème est considéré comme une gravité critique en raison de la possibilité d'exécution de code à distance dans le contexte du service mediaserver. Le service mediaserver a accès aux flux audio et vidéo, ainsi qu'à des privilèges auxquels les applications tierces ne pourraient normalement pas accéder.

CVE Bug avec lien AOSP Gravité Versions mises à jour Date signalée
CVE-2016-0842 ANDROID-25818142 Critique 6.0, 6.0.1 23 novembre 2015

Vulnérabilité d'élévation de privilège dans le noyau

Une vulnérabilité d'élévation de privilèges dans le noyau pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est évalué comme étant de gravité critique en raison de la possibilité d'une compromission permanente du périphérique local, et le périphérique devra peut-être être réparé en relançant le système d'exploitation. Ce problème a été décrit dans l' Avis de sécurité Android 2016-03-18 .

CVE Punaise Gravité Versions mises à jour Date signalée
CVE-2015-1805 ANDROID-27275324 * Critique 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19 février 2016

* Le correctif dans AOSP est disponible pour des versions spécifiques du noyau: 3.14 , 3.10 et 3.4 .

Vulnérabilité d'élévation de privilège dans le module de performance Qualcomm

Une vulnérabilité d'élévation de privilège dans le composant de gestionnaire d'événements de performance pour les processeurs ARM de Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est évalué comme étant de gravité critique en raison de la possibilité d'une compromission permanente du périphérique local, et le périphérique devra peut-être être réparé en relançant le système d'exploitation.

CVE Punaise Gravité Versions mises à jour Date signalée
CVE-2016-0843 ANDROID-25801197 * Critique 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19 novembre 2015

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilège dans le composant RF de Qualcomm

Il existe une vulnérabilité dans le pilote Qualcomm RF qui pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est évalué comme étant de gravité critique en raison de la possibilité d'une compromission permanente du périphérique local, et le périphérique devra peut-être être réparé en relançant le système d'exploitation.

CVE Bug avec lien AOSP Gravité Versions mises à jour Date signalée
CVE-2016-0844 ANDROID-26324307 * Critique 6.0, 6.0.1 25 déc.2015

* Un correctif supplémentaire pour ce problème se trouve dans Linux en amont .

Vulnérabilité d'élévation de privilège dans le noyau

Une vulnérabilité d'élévation de privilèges dans le noyau commun pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est évalué comme étant de gravité critique en raison de la possibilité d'une compromission permanente du périphérique local et le périphérique devra peut-être être réparé en relançant le système d'exploitation.

CVE Bug avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2014-9322 ANDROID-26927260 [ 2 ] [ 3 ]
[ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ]
Critique 6.0, 6.0.1 25 déc.2015

Vulnérabilité d'élévation de privilège dans l'interface native IMemory

Une vulnérabilité d'élévation de privilège dans l'interface native IMemory pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité élevée car il pourrait être utilisé pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.

CVE Bug avec lien AOSP Gravité Versions mises à jour Date signalée
CVE-2016-0846 ANDROID-26877992 Haute 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 janv.2016

Vulnérabilité d'élévation de privilège dans le composant Telecom

Une vulnérabilité d'élévation de privilèges dans le composant Telecom pourrait permettre à un attaquant de faire des appels qui semblent provenir de n'importe quel numéro arbitraire. Ce problème est classé comme étant de gravité élevée car il pourrait être utilisé pour obtenir un accès local à des fonctionnalités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.

CVE Bug avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2016-0847 ANDROID-26864502 [ 2 ] Haute 5.0.2, 5.1.1, 6.0 et 6.0.1 Google interne

Vulnérabilité d'élévation de privilège dans Download Manager

Une vulnérabilité d'élévation de privilèges dans le gestionnaire de téléchargement pourrait permettre à un attaquant d'accéder à des fichiers non autorisés dans le stockage privé. Ce problème est classé comme étant de gravité élevée car il pourrait être utilisé pour obtenir un accès local à des fonctionnalités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.

CVE Bug avec lien AOSP Gravité Versions mises à jour Date signalée
CVE-2016-0848 ANDROID-26211054 Haute 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 déc.2015

Vulnérabilité d'élévation de privilège dans la procédure de récupération

Une vulnérabilité d'élévation de privilège dans la procédure de récupération pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité élevée car il pourrait être utilisé pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.

CVE Bug avec lien AOSP Gravité Versions mises à jour Date signalée
CVE-2016-0849 ANDROID-26960931 Haute 5.0.2, 5.1.1, 6.0 et 6.0.1 3 février 2016

Vulnérabilité d'élévation de privilège dans Bluetooth

Une vulnérabilité d'élévation de privilège dans Bluetooth pourrait permettre à un appareil non approuvé de se coupler avec le téléphone pendant le processus de couplage initial. Cela pourrait entraîner un accès non autorisé aux ressources de l'appareil, telles que la connexion Internet. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des capacités élevées qui ne sont pas accessibles aux périphériques non approuvés.

CVE Bug avec lien AOSP Gravité Versions mises à jour Date signalée
CVE-2016-0850 ANDROID-26551752 Haute 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 13 janv.2016

Vulnérabilité d'élévation de privilège dans Texas Instruments Haptic Driver

Il existe une vulnérabilité d'élévation de privilège dans un pilote de noyau haptique Texas Instruments qui pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, un bogue d'exécution de code du noyau comme celui-ci serait classé Critique, mais comme il nécessite d'abord de compromettre un service qui peut appeler le pilote, il est plutôt classé comme étant de gravité élevée.

CVE Punaise Gravité Versions mises à jour Date signalée
CVE-2016-2409 ANDROID-25981545 * Haute 6.0, 6.0.1 25 déc.2015

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilège dans le pilote de noyau vidéo Qualcomm

Il existe une vulnérabilité d'élévation de privilège dans un pilote de noyau vidéo Qualcomm qui pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, une vulnérabilité d'exécution de code du noyau serait classée Critique, mais comme elle nécessite d'abord de compromettre un service qui peut appeler le pilote, elle est plutôt classée comme étant de gravité élevée.

CVE Punaise Gravité Versions mises à jour Date signalée
CVE-2016-2410 ANDROID-26291677 * Haute 6.0, 6.0.1 21 déc.2015

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilège dans le composant Qualcomm Power Management

Il existe une vulnérabilité d'élévation de privilèges dans un pilote de noyau Qualcomm Power Management qui pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, un bogue d'exécution de code du noyau comme celui-ci serait classé Critique, mais comme il nécessite d'abord de compromettre le périphérique et l'élévation vers la racine, il est plutôt classé comme étant de gravité élevée.

CVE Punaise Gravité Versions mises à jour Date signalée
CVE-2016-2411 ANDROID-26866053 * Haute 6.0, 6.0.1 28 janv.2016

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilège dans System_server

Une vulnérabilité d'élévation de privilège dans System_server pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité élevée car il pourrait être utilisé pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.

CVE Bug avec lien AOSP Gravité Versions mises à jour Date signalée
CVE-2016-2412 ANDROID-26593930 Haute 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 15 janv.2016

Vulnérabilité d'élévation de privilège dans Mediaserver

Une vulnérabilité d'élévation de privilèges dans mediaserver pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité élevée car il pourrait être utilisé pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.

CVE Bug avec lien AOSP Gravité Versions mises à jour Date signalée
CVE-2016-2413 ANDROID-26403627 Haute 5.0.2, 5.1.1, 6.0 et 6.0.1 5 janv.2016

Vulnérabilité de déni de service dans Minikin

Une vulnérabilité de déni de service dans la bibliothèque Minikin pourrait permettre à un attaquant local de bloquer temporairement l'accès à un appareil affecté. Un attaquant pourrait provoquer le chargement d'une police non approuvée et provoquer un débordement dans le composant Minikin, ce qui entraînerait un plantage. Il s'agit d'un problème de gravité élevée car un déni de service entraînerait une boucle de redémarrage continue.

CVE Bug avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2016-2414 ANDROID-26413177 [ 2 ] Haute 5.0.2, 5.1.1, 6.0 et 6.0.1 3 novembre 2015

Vulnérabilité de divulgation d'informations dans Exchange ActiveSync

Une vulnérabilité de divulgation d'informations dans Exchange ActiveSync pourrait permettre à une application malveillante locale d'accéder aux informations privées d'un utilisateur. Ce problème est classé comme étant de gravité élevée car il permet l'accès à distance aux données protégées.

CVE Bug avec lien AOSP Gravité Versions mises à jour Date signalée
CVE-2016-2415 ANDROID-26488455 Haute 5.0.2, 5.1.1, 6.0 et 6.0.1 11 janvier 2016

Vulnérabilité de divulgation d'informations dans Mediaserver

Une vulnérabilité de divulgation d'informations dans Mediaserver pourrait permettre de contourner les mesures de sécurité en place pour augmenter la difficulté des attaquants exploitant la plateforme. Ces problèmes sont classés comme étant de gravité élevée car ils peuvent également être utilisés pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.

CVE Bogues avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2016-2416 ANDROID-27046057 [ 2 ] Haute 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 février 2016
CVE-2016-2417 ANDROID-26914474 Haute 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 1 février 2016
CVE-2016-2418 ANDROID-26324358 Haute 6.0, 6.0.1 24 déc.2015
CVE-2016-2419 ANDROID-26323455 Haute 6.0, 6.0.1 24 déc.2015

Vulnérabilité d'élévation de privilège dans le composant Debuggerd

Une vulnérabilité d'élévation de privilège dans le composant Debuggerd pourrait permettre à une application malveillante locale d'exécuter du code arbitraire qui pourrait conduire à une compromission permanente de l'appareil. En conséquence, le périphérique devrait éventuellement être réparé en ré-clignotant le système d'exploitation. Normalement, un bogue d'exécution de code comme celui-ci serait classé comme critique, mais comme il permet une élévation de privilèges du système à la racine uniquement dans la version Android 4.4.4, il est plutôt considéré comme modéré. Dans les versions Android 5.0 et supérieures, les règles SELinux empêchent les applications tierces d'atteindre le code concerné.

CVE Bug avec les liens AOSP Gravité Versions mises à jour Date signalée
CVE-2016-2420 ANDROID-26403620 [ 2 ] Modérer 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 janv.2016

Vulnérabilité d'élévation de privilège dans l'assistant de configuration

Une vulnérabilité dans l'assistant de configuration pourrait permettre à un attaquant de contourner la protection contre la réinitialisation d'usine et d'accéder à l'appareil. Cela est considéré comme de gravité modérée car il permet potentiellement à une personne ayant un accès physique à un appareil de contourner la protection contre la réinitialisation d'usine, ce qui permettrait à un attaquant de réinitialiser avec succès un appareil, effaçant toutes les données.

CVE Punaise Gravité Versions mises à jour Date signalée
CVE-2016-2421 ANDROID-26154410 * Modérer 5.1.1, 6.0, 6.0.1 Google interne

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans la dernière version binaire pour les appareils Nexus disponible sur le site Google Developer .

Vulnérabilité d'élévation de privilège dans le Wi-Fi

Une vulnérabilité d'élévation de privilèges dans le Wi-Fi pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est de gravité modérée car il peut être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.

CVE Bug avec lien AOSP Gravité Versions mises à jour Date signalée
CVE-2016-2422 ANDROID-26324357 Modérer 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 23 déc.2015

Vulnérabilité d'élévation de privilège dans la téléphonie

Une vulnérabilité dans la téléphonie pourrait permettre à un attaquant de contourner la protection contre la réinitialisation d'usine et d'accéder à l'appareil. Cela est considéré comme de gravité modérée car il permet potentiellement à une personne ayant un accès physique à un appareil de contourner la protection contre la réinitialisation d'usine, ce qui permettrait à un attaquant de réinitialiser avec succès un appareil, effaçant toutes les données.

CVE Bug avec lien AOSP Gravité Versions mises à jour Date signalée
CVE-2016-2423 ANDROID-26303187 Modérer 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google interne

Vulnérabilité de déni de service dans SyncStorageEngine

Une vulnérabilité de déni de service dans SyncStorageEngine pourrait permettre à une application malveillante locale de provoquer une boucle de redémarrage. Ce problème est de gravité modérée car il pourrait être utilisé pour provoquer un déni de service temporaire local qui devrait éventuellement être résolu par une réinitialisation d'usine.

CVE Bug avec lien AOSP Gravité Versions mises à jour Date signalée
CVE-2016-2424 ANDROID-26513719 Modérer 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google interne

Vulnérabilité de divulgation d'informations dans la messagerie AOSP

Une vulnérabilité de divulgation d'informations dans AOSP Mail pourrait permettre à une application malveillante locale d'accéder aux informations privées d'un utilisateur. Ce problème est de gravité modérée, car il pourrait être utilisé pour obtenir de manière incorrecte des autorisations «dangereuses».

CVE Bogues avec lien AOSP Gravité Versions mises à jour Date signalée
CVE-2016-2425 ANDROID-26989185 Modérer 4.4.4, 5.1.1, 6.0, 6.0.1 29 janv.2016
CVE-2016-2425 ANDROID-7154234 * Modérer 5.0.2 29 janv.2016

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans la dernière version binaire pour les appareils Nexus disponible sur le site Google Developer .

Vulnérabilité de divulgation d'informations dans le cadre

Une vulnérabilité de divulgation d'informations dans le composant Framework pourrait permettre à une application d'accéder à des informations sensibles. Ce problème est de gravité modérée, car il pourrait être utilisé pour accéder de manière incorrecte aux données sans autorisation.

CVE Bug avec lien AOSP Gravité Versions mises à jour Date signalée
CVE-2016-2426 ANDROID-26094635 Modérer 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 8 déc.2015

Questions et réponses courantes

Cette section examine les réponses aux questions courantes qui peuvent survenir après la lecture de ce bulletin.

1. Comment déterminer si mon appareil est mis à jour pour résoudre ces problèmes?

Les niveaux de correctif de sécurité du 2 avril 2016 ou d'une version ultérieure résolvent ces problèmes (reportez-vous à la documentation Nexus pour obtenir des instructions sur la façon de vérifier le niveau du correctif de sécurité). Les fabricants de périphériques qui incluent ces mises à jour doivent définir le niveau de la chaîne de correctif sur: [ro.build.version.security_patch]: [2016-04-02]

2. Pourquoi ce correctif de sécurité est-il de niveau 2 avril 2016?

Le niveau de correctif de sécurité pour la mise à jour de sécurité mensuelle est normalement défini sur le premier du mois. Pour avril, un niveau de correctif de sécurité du 1er avril 2016 indique que tous les problèmes décrits dans ce bulletin à l'exception de CVE-2015-1805, comme décrit dans l' Avis de sécurité Android 2016-03-18, ont été résolus. Un niveau de correctif de sécurité du 2 avril 2016 indique que tous les problèmes décrits dans ce bulletin, y compris CVE-2015-1805, comme décrit dans l' Avis de sécurité Android 2016-03-18, ont été résolus.

Révisions

  • 04 avril 2016: Bulletin publié.
  • 06 avril 2016: Bulletin mis à jour pour inclure les liens AOSP.
  • 7 avril 2016: Bulletin mis à jour pour inclure un lien AOSP supplémentaire.
  • 11 juillet 2016: Description mise à jour de CVE-2016-2427.
  • 01 août 2016: Description mise à jour de CVE-2016-2427
  • 19 décembre 2016: mise à jour pour supprimer CVE-2016-2427, qui a été rétablie.