Google s'est engagé à promouvoir l'équité raciale pour les communautés noires. Regarde comment.
Cette page a été traduite par l'API Cloud Translation.
Switch to English

Bulletin de sécurité Android - Mai 2016

Publié le 02 mai 2016 | Mis à jour le 04 mai 2016

Le bulletin de sécurité Android contient des détails sur les vulnérabilités de sécurité affectant les appareils Android. Parallèlement au bulletin, nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour OTA (over-the-air). Les images du micrologiciel Nexus ont également été publiées sur le site des développeurs Google . Les niveaux de correctif de sécurité du 1er mai 2016 ou version ultérieure résolvent ces problèmes (reportez-vous à la documentation Nexus pour obtenir des instructions sur la façon de vérifier le niveau du correctif de sécurité).

Les partenaires ont été informés des problèmes décrits dans le bulletin le 4 avril 2016 ou avant. Le cas échéant, des correctifs de code source pour ces problèmes ont été publiés dans le référentiel Android Open Source Project (AOSP).

Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil affecté via plusieurs méthodes telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias. L' évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité aurait éventuellement sur un périphérique affecté, en supposant que les atténuations de plate-forme et de service sont désactivées à des fins de développement ou si elles sont contournées avec succès.

Nous n'avons eu aucun rapport d'exploitation active ou d'abus de la part des clients de ces problèmes récemment signalés. Reportez-vous à la section Atténuations des services Android et Google pour plus de détails sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet, qui améliorent la sécurité de la plate-forme Android.

Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.

Annonces

  • Pour refléter un objectif plus large, nous avons renommé ce bulletin (et tous les suivants de la série) en Bulletin de sécurité Android. Ces bulletins englobent une gamme plus large de vulnérabilités pouvant affecter les appareils Android, même si elles n'affectent pas les appareils Nexus.
  • Nous avons mis à jour les cotes de gravité de la sécurité Android. Ces changements sont le résultat de données collectées au cours des six derniers mois sur les vulnérabilités de sécurité signalées et visent à aligner plus étroitement les gravités avec l'impact réel sur les utilisateurs.

Atténuations des services Android et Google

Ceci est un résumé des atténuations fournies par la plate - forme de sécurité Android et les protections de service telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que les vulnérabilités de sécurité puissent être exploitées avec succès sur Android.

  • L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux nouvelles versions de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour vers la dernière version d'Android lorsque cela est possible.
  • L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet , qui sont conçus pour avertir les utilisateurs des applications potentiellement dangereuses . La vérification des applications est activée par défaut sur les appareils dotés des services mobiles Google et est particulièrement importante pour les utilisateurs qui installent des applications en dehors de Google Play. Les outils d'enracinement des appareils sont interdits dans Google Play, mais Verify Apps avertit les utilisateurs lorsqu'ils tentent d'installer une application d'enracinement détectée, peu importe d'où elle vient. En outre, Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'escalade de privilèges. Si une telle application a déjà été installée, Verify Apps informera l'utilisateur et tentera de supprimer l'application détectée.
  • Le cas échéant, les applications Google Hangouts et Messenger ne transmettent pas automatiquement le contenu multimédia à des processus tels que mediaserver.

Remerciements

Nous remercions ces chercheurs pour leurs contributions:

  • Abhishek Arya, Oliver Chang et Martin Barbella de l'équipe de sécurité de Google Chrome: CVE-2016-2454
  • Andy Tyler ( @ticarpi ) de e2e-assure : CVE-2016-2457
  • Chiachih Wu ( @chiachih_wu ) et Xuxian Jiang de l' équipe C0RE : CVE-2016-2441, CVE-2016-2442
  • Dzmitry Lukyanenka ( www.linkedin.com/in/dzima ): CVE-2016-2458
  • Gal Beniamini: CVE-2016-2431
  • Hao Chen de l'équipe Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2016-2456
  • Jake Valletta de Mandiant, une entreprise FireEye: CVE-2016-2060
  • Jianqiang Zhao ( @jianqiangzhao ) et pjf ( weibo.com/jfpan ) de IceSword Lab, Qihoo 360 Technology Co.Ltd: CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, CVE-2016-2442, CVE-2016-2444, CVE-2016-2445, CVE-2016-2446
  • Imre Rad de Search-Lab Ltd .: CVE-2016-4477
  • Jeremy C. Joslin de Google: CVE-2016-2461
  • Kenny Racine de Google: CVE-2016-2462
  • Marco Grassi ( @marcograss ) de KeenLab ( @keen_lab ), Tencent: CVE-2016-2443
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2016-2440
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) et Xuxian Jiang de l' équipe C0RE : CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451, CVE-2016-2452
  • Peter Pi ( @heisecode ) de Trend Micro: CVE-2016-2459, CVE-2016-2460
  • Weichao Sun ( @sunblate ) d'Alibaba Inc.: CVE-2016-2428, CVE-2016-2429
  • Yuan-Tsung Lo , Lubo Zhang , Chiachih Wu ( @chiachih_wu ) et Xuxian Jiang de l' équipe C0RE : CVE-2016-2437
  • Yulong Zhang et Tao (Lenx) Wei de Baidu X-Lab: CVE-2016-2439
  • Zach Riggle ( @ ebeip90 ) de l'équipe de sécurité Android: CVE-2016-2430

Détails de la vulnérabilité de sécurité

Dans les sections ci-dessous, nous fournissons des détails pour chacune des vulnérabilités de sécurité qui s'appliquent au niveau de correctif 2016-05-01. Il y a une description du problème, une justification de la gravité et un tableau avec la CVE, le bogue associé, la gravité, les appareils Nexus mis à jour, les versions AOSP mises à jour (le cas échéant) et la date signalée. Lorsqu'il sera disponible, nous lierons la modification d'AOSP qui a résolu le problème à l'ID de bogue. Lorsque plusieurs modifications concernent un seul bogue, des références AOSP supplémentaires sont liées à des numéros suivant l'ID de bogue.

Vulnérabilité d'exécution de code à distance dans Mediaserver

Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, une vulnérabilité dans mediaserver pourrait permettre à un attaquant de provoquer une corruption de la mémoire et l'exécution de code à distance en tant que processus mediaserver.

La fonctionnalité affectée est fournie en tant qu'élément central du système d'exploitation et il existe plusieurs applications qui permettent de l'atteindre avec du contenu distant, notamment les MMS et la lecture de contenu multimédia par navigateur.

Ce problème est considéré comme critique en raison de la possibilité d'exécution de code à distance dans le contexte du service mediaserver. Le service mediaserver a accès aux flux audio et vidéo, ainsi qu'à des privilèges auxquels les applications tierces ne pourraient normalement pas accéder.

CVE Bogues Android Gravité Appareils Nexus mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-2428 26751339 Critique Tout Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 janv.2016
CVE-2016-2429 27211885 Critique Tout Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 février 2016

Vulnérabilité d'élévation de privilège dans Debuggerd

Une vulnérabilité d'élévation de privilège dans le débogueur Android intégré pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du débogueur Android. Ce problème est évalué comme étant de gravité critique en raison de la possibilité d'une compromission permanente de l'appareil local, ce qui peut nécessiter de reflasher le système d'exploitation pour réparer l'appareil.

CVE Bogue Android Gravité Appareils Nexus mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-2430 27299236 Critique Tout Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 février 2016

Vulnérabilité d'élévation de privilège dans Qualcomm TrustZone

Une vulnérabilité d'élévation de privilège dans le composant Qualcomm TrustZone pourrait permettre à une application malveillante locale sécurisée d'exécuter du code arbitraire dans le contexte du noyau TrustZone. Ce problème est évalué comme étant de gravité critique en raison de la possibilité d'une compromission permanente de l'appareil local, ce qui peut nécessiter de reflasher le système d'exploitation pour réparer l'appareil.

CVE Bogues Android Gravité Appareils Nexus mis à jour Date signalée
CVE-2016-2431 24968809 * Critique Nexus 5, Nexus 6, Nexus 7 (2013), Android One 15 octobre 2015
CVE-2016-2432 25913059 * Critique Nexus 6, Android One 28 novembre 2015

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilège dans le pilote Wi-Fi Qualcomm

Une vulnérabilité d'élévation de privilège dans le pilote Wi-Fi Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est évalué comme étant de gravité critique en raison de la possibilité d'une élévation des privilèges locaux et de l'exécution de code arbitraire conduisant à la possibilité d'une compromission permanente de l'appareil local, ce qui peut nécessiter de reflasher le système d'exploitation pour réparer l'appareil.

CVE Bogues Android Gravité Appareils Nexus mis à jour Date signalée
CVE-2015-0569 26754117 * Critique Nexus 5X, Nexus 7 (2013) 23 janv.2016
CVE-2015-0570 26764809 * Critique Nexus 5X, Nexus 7 (2013) 25 janv.2016

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilège dans le pilote vidéo NVIDIA

Une vulnérabilité d'élévation de privilège dans le pilote vidéo NVIDIA pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est évalué comme étant de gravité critique en raison de la possibilité d'une compromission permanente de l'appareil local, ce qui peut nécessiter de reflasher le système d'exploitation pour réparer l'appareil.

CVE Bogues Android Gravité Appareils Nexus mis à jour Date signalée
CVE-2016-2434 27251090 * Critique Nexus 9 17 février 2016
CVE-2016-2435 27297988 * Critique Nexus 9 20 février 2016
CVE-2016-2436 27299111 * Critique Nexus 9 22 février 2016
CVE-2016-2437 27436822 * Critique Nexus 9 1 mars 2016

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilège dans le noyau

Une vulnérabilité d'élévation de privilèges dans le noyau pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est évalué comme étant de gravité critique en raison de la possibilité d'une élévation des privilèges locaux et de l'exécution de code arbitraire conduisant à la possibilité d'une compromission permanente de l'appareil local, ce qui peut nécessiter de reflasher le système d'exploitation pour réparer l'appareil. Ce problème a été décrit dans l' Avis de sécurité Android 2016-03-18 .

CVE Bogue Android Gravité Appareils Nexus mis à jour Date signalée
CVE-2015-1805 27275324 * Critique Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9 19 février 2016

* Le correctif dans AOSP est disponible pour des versions spécifiques du noyau: 3.14 , 3.10 et 3.4 .

Vulnérabilité d'exécution de code à distance dans le noyau

Une vulnérabilité d'exécution de code à distance dans le sous-système audio pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, un bogue d'exécution de code de noyau comme celui-ci serait classé Critique, mais comme il nécessite d'abord de compromettre un service privilégié afin d'appeler le sous-système audio, il est noté de gravité élevée.

CVE Bogue Android Gravité Appareils Nexus mis à jour Date signalée
CVE-2016-2438 26636060 * Haute Nexus 9 Google interne

* Le correctif pour ce problème est disponible sous Linux en amont .

Vulnérabilité de divulgation d'informations dans Qualcomm Tethering Controller

Une vulnérabilité de divulgation d'informations dans le contrôleur Qualcomm Tethering pourrait permettre à une application malveillante locale d'accéder à des informations personnelles identifiables sans les privilèges pour le faire. Ce problème est classé comme étant de gravité élevée car il peut être utilisé pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.

CVE Bogue Android Gravité Appareils Nexus mis à jour Date signalée
CVE-2016-2060 27942588 * Haute Aucun 23 mars 2016

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour doit être contenue dans les derniers pilotes des périphériques concernés.

Vulnérabilité d'exécution de code à distance dans Bluetooth

Lors du couplage d'un périphérique Bluetooth, une vulnérabilité dans Bluetooth pourrait permettre à un attaquant proximal d'exécuter du code arbitraire pendant le processus de couplage. Ce problème est classé comme étant de gravité élevée en raison de la possibilité d'exécution de code à distance lors de l'initialisation d'un périphérique Bluetooth.

CVE Bogue Android Gravité Appareils Nexus mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-2439 27411268 Haute Tout Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 février 2016

Vulnérabilité d'élévation de privilège dans le classeur

Une vulnérabilité d'élévation de privilège dans Binder pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du processus d'une autre application. Tout en libérant de la mémoire, une vulnérabilité dans le Binder pourrait permettre à un attaquant de provoquer l'exécution de code local. Ce problème est classé comme étant de gravité élevée en raison de la possibilité d'exécution de code local pendant le processus de mémoire libre dans le classeur.

CVE Bogue Android Gravité Appareils Nexus mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-2440 27252896 Haute Tout Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 18 févr.2016

Vulnérabilité d'élévation de privilège dans le pilote Qualcomm Buspm

Une vulnérabilité d'élévation de privilège dans le pilote buspm de Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, un bogue d'exécution de code de noyau comme celui-ci serait classé Critique, mais comme il nécessite d'abord de compromettre un service qui peut appeler le pilote, il est évalué comme étant de gravité élevée.

CVE Bogues Android Gravité Appareils Nexus mis à jour Date signalée
CVE-2016-2441 26354602 * Haute Nexus 5X, Nexus 6, Nexus 6P 30 déc.2015
CVE-2016-2442 26494907 * Haute Nexus 5X, Nexus 6, Nexus 6P 30 déc.2015

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilège dans le pilote Qualcomm MDP

Une vulnérabilité d'élévation de privilège dans le pilote Qualcomm MDP pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, un bogue d'exécution de code de noyau comme celui-ci serait classé Critique, mais comme il nécessite d'abord de compromettre un service qui peut appeler le pilote, il est évalué comme étant de gravité élevée.

CVE Bogue Android Gravité Appareils Nexus mis à jour Date signalée
CVE-2016-2443 26404525 * Haute Nexus 5, Nexus 7 (2013) 5 janv.2016

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilège dans le pilote Wi-Fi Qualcomm

Une vulnérabilité d'élévation de privilèges dans le composant Wi-Fi de Qualcomm pourrait permettre à une application malveillante locale d'appeler des appels système en modifiant les paramètres et le comportement de l'appareil sans les privilèges nécessaires. Ce problème est classé comme étant de gravité élevée car il pourrait être utilisé pour obtenir un accès local à des fonctionnalités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.

CVE Bogue Android Gravité Appareils Nexus mis à jour Date signalée
CVE-2015-0571 26763920 * Haute Nexus 5X, Nexus 7 (2013) 25 janv.2016

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilège dans le pilote vidéo NVIDIA

Une vulnérabilité d'élévation de privilège dans le pilote de média NVIDIA pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, un bogue d'exécution de code du noyau comme celui-ci serait classé Critique, mais comme il nécessite d'abord de compromettre un service à privilèges élevés pour appeler le pilote, il est évalué à Haute gravité.

CVE Bogues Android Gravité Appareils Nexus mis à jour Date signalée
CVE-2016-2444 27208332 * Haute Nexus 9 16 février 2016
CVE-2016-2445 27253079 * Haute Nexus 9 17 février 2016
CVE-2016-2446 27441354 * Haute Nexus 9 1 mars 2016

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilège dans le Wi-Fi

Une vulnérabilité d'élévation de privilèges dans le Wi-Fi pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité élevée, car il pourrait également être utilisé pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.

Remarque : Le numéro CVE a été mis à jour, par requête MITRE, de CVE-2016-2447 à CVE-2016-4477.

CVE Bogue Android Gravité Appareils Nexus mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-4477 27371366 [ 2 ] Haute Tout Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 février 2016

Vulnérabilité d'élévation de privilège dans Mediaserver

Une vulnérabilité d'élévation de privilèges dans mediaserver pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité élevée car il pourrait être utilisé pour obtenir des capacités élevées, telles que les privilèges d'autorisations Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.

CVE Bogues Android Gravité Appareils Nexus mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-2448 27533704 Haute Tout Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 mars 2016
CVE-2016-2449 27568958 Haute Tout Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9 mars 2016
CVE-2016-2450 27569635 Haute Tout Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9 mars 2016
CVE-2016-2451 27597103 Haute Tout Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 mars 2016
CVE-2016-2452 27662364 [ 2 ] [ 3 ] Haute Tout Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 mars 2016

Vulnérabilité d'élévation de privilège dans le pilote Wi-Fi MediaTek

Une vulnérabilité d'élévation de privilège dans le pilote Wi-Fi MediaTek pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, un bogue d'exécution de code de noyau comme celui-ci serait classé Critique, mais comme il nécessite d'abord de compromettre un service qui peut appeler le pilote, il est évalué comme étant de gravité élevée.

CVE Bogue Android Gravité Appareils Nexus mis à jour Date signalée
CVE-2016-2453 27549705 * Haute Android One 8 mars 2016

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité de déni de service à distance dans le codec matériel Qualcomm

Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, une vulnérabilité de déni de service à distance dans le codec vidéo matériel Qualcomm pourrait permettre à un attaquant distant de bloquer l'accès à un périphérique affecté en provoquant un redémarrage de l'appareil. Ceci est considéré comme étant de gravité élevée en raison de la possibilité d'un déni de service à distance.

CVE Bogue Android Gravité Appareils Nexus mis à jour Date signalée
CVE-2016-2454 26221024 * Haute Nexus 5 16 déc.2015

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilège dans Conscrypt

Une vulnérabilité d'élévation de privilège dans Conscrypt pourrait permettre à une application locale de croire qu'un message a été authentifié alors qu'il ne l'était pas. Ce problème est de gravité modérée car il nécessite des étapes coordonnées sur plusieurs appareils.

CVE Bogues Android Gravité Appareils Nexus mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-2461 27324690 [ 2 ] Modérer Tout Nexus 6.0, 6.0.1 Google interne
CVE-2016-2462 27371173 Modérer Tout Nexus 6.0, 6.0.1 Google interne

Vulnérabilité d'élévation de privilège dans OpenSSL et BoringSSL

Une vulnérabilité d'élévation de privilèges dans OpenSSL et BoringSSL pourrait permettre à une application malveillante locale d'accéder à des données en dehors de ses niveaux d'autorisation. Normalement, cela serait noté élevé, mais comme il nécessite une configuration manuelle inhabituelle, il est évalué comme étant de gravité modérée.

CVE Bogue Android Gravité Appareils Nexus mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-0705 27449871 Modérer Tout Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 février 2016

Vulnérabilité d'élévation de privilège dans le pilote Wi-Fi MediaTek

Une vulnérabilité d'élévation de privilège dans le pilote Wi-Fi MediaTek pourrait permettre à une application malveillante locale de provoquer un déni de service. Normalement, un bogue d'élévation de privilèges comme celui-ci serait classé Élevé, mais comme il nécessite d'abord de compromettre un service système, il est évalué comme étant de gravité modérée.

CVE Bogue Android Gravité Appareils Nexus mis à jour Date signalée
CVE-2016-2456 27275187 * Modérer Android One 19 février 2016

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilège dans le Wi-Fi

Une vulnérabilité d'élévation de privilèges dans le Wi-Fi pourrait permettre à un compte invité de modifier les paramètres Wi-Fi qui persistent pour l'utilisateur principal. Ce problème est de gravité modérée car il permet un accès local aux fonctionnalités « dangereuses » sans autorisation.

CVE Bogue Android Gravité Appareils Nexus mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-2457 27411179 Modérer Tout Nexus 5.0.2, 5.1.1, 6.0 et 6.0.1 29 février 2016

Vulnérabilité de divulgation d'informations dans la messagerie AOSP

Une vulnérabilité de divulgation d'informations dans AOSP Mail pourrait permettre à une application malveillante locale d'accéder aux informations privées de l'utilisateur. Ce problème est de gravité modérée, car il pourrait être utilisé pour accéder de manière incorrecte aux données sans autorisation.

CVE Bogue Android Gravité Appareils Nexus mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-2458 27335139 [ 2 ] Modérer Tout Nexus 5.0.2, 5.1.1, 6.0 et 6.0.1 23 février 2016

Vulnérabilité de divulgation d'informations dans Mediaserver

Une vulnérabilité de divulgation d'informations dans Mediaserver pourrait permettre à une application d'accéder à des informations sensibles. Ce problème est de gravité modérée car il pourrait être utilisé pour accéder de manière incorrecte aux données sans autorisation.

CVE Bogues Android Gravité Appareils Nexus mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-2459 27556038 Modérer Tout Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 mars 2016
CVE-2016-2460 27555981 Modérer Tout Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 mars 2016

Vulnérabilité de déni de service dans le noyau

Une vulnérabilité de déni de service dans le noyau pourrait permettre à une application malveillante locale de provoquer le redémarrage d'un appareil. Ce problème est de faible gravité car il s’agit d’un déni de service temporaire.

CVE Bogue Android Gravité Appareils Nexus mis à jour Date signalée
CVE-2016-0774 27721803 * Faible Tout Nexus 17 mars 2016

* Le correctif pour ce problème est disponible sous Linux en amont .

Questions et réponses courantes

Cette section examine les réponses aux questions courantes qui peuvent survenir après la lecture de ce bulletin.

1. Comment déterminer si mon appareil est mis à jour pour résoudre ces problèmes?

Les niveaux de correctif de sécurité du 1er mai 2016 ou version ultérieure résolvent ces problèmes (reportez-vous à la documentation Nexus pour obtenir des instructions sur la façon de vérifier le niveau du correctif de sécurité). Les fabricants de périphériques qui incluent ces mises à jour doivent définir le niveau de la chaîne de correctif sur: [ro.build.version.security_patch]: [2016-05-01]

2. Comment déterminer quels appareils Nexus sont concernés par chaque problème?

Dans la section Détails des vulnérabilités de sécurité , chaque tableau contient une colonne Appareils Nexus mis à jour qui couvre la gamme des appareils Nexus concernés mis à jour pour chaque problème. Cette colonne a quelques options:

  • Tous les appareils Nexus : si un problème affecte tous les appareils Nexus, le tableau affichera Tous les Nexus dans la colonne Appareils Nexus mis à jour . Tous les Nexus incluent les appareils pris en charge suivants: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player et Pixel C.
  • Certains appareils Nexus : si un problème n'affecte pas tous les appareils Nexus, les appareils Nexus concernés sont répertoriés dans la colonne Appareils Nexus mis à jour .
  • Aucun appareil Nexus : si aucun appareil Nexus n'est concerné par le problème, le tableau affichera «Aucun» dans la colonne Appareils Nexus mis à jour .

3. Pourquoi la CVE-2015-1805 est-elle incluse dans ce bulletin?

La CVE-2015-1805 est incluse dans ce bulletin car l' Avis de sécurité Android - 18/03/2016 a été publié très près de la publication du bulletin d'avril. En raison du délai serré, les fabricants de périphériques ont eu la possibilité d'envoyer des correctifs du Nexus Security Bulletin - avril 2016 , sans le correctif pour CVE-2015-1805, s'ils utilisaient le niveau de correctif de sécurité du 1er avril 2016. Il est de nouveau inclus dans ce bulletin car il doit être corrigé pour pouvoir utiliser le niveau de correctif de sécurité du 1er mai 2016.

Révisions

  • 02 mai 2016: Bulletin publié.
  • 04 mai 2016:
    • Bulletin révisé pour inclure les liens AOSP.
    • Liste de tous les appareils Nexus mis à jour pour inclure Nexus Player et Pixel C.
    • CVE-2016-2447 mis à jour vers CVE-2016-4477, par requête MITRE.