Publié le 04 avril 2016 | Mis à jour le 19 décembre 2016
Nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour en direct (OTA) dans le cadre de notre processus de publication mensuelle du Bulletin de sécurité Android. Les images du micrologiciel Nexus ont également été publiées sur le site des développeurs Google . Les niveaux de correctifs de sécurité du 2 avril 2016 ou ultérieurs résolvent ces problèmes (reportez-vous à la documentation Nexus pour obtenir des instructions sur la façon de vérifier le niveau du correctif de sécurité).
Les partenaires ont été informés des problèmes décrits dans le bulletin le 16 mars 2016 ou avant. Le cas échéant, les correctifs de code source pour ces problèmes ont été publiés dans le référentiel Android Open Source Project (AOSP).
Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil concerné via plusieurs méthodes telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias. L' évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les atténuations de la plate-forme et du service soient désactivées à des fins de développement ou si elles sont contournées avec succès.
L'avis de sécurité Android du 18/03/2016 traitait précédemment de l'utilisation de CVE-2015-1805 par une application de root. CVE-2015-1805 est résolu dans cette mise à jour. Aucun cas d'exploitation ou d'abus actif des clients concernant les autres problèmes récemment signalés n'a été signalé. Reportez-vous à la section Atténuations pour plus de détails sur les protections de la plateforme de sécurité Android et les protections de services telles que SafetyNet, qui améliorent la sécurité de la plateforme Android.
Atténuations
Ceci est un résumé des atténuations fournies par la plate-forme de sécurité Android et les protections de services telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que les failles de sécurité soient exploitées avec succès sur Android.
- L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux versions les plus récentes de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour vers la dernière version d'Android lorsque cela est possible.
- L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet, qui avertiront l'utilisateur des applications potentiellement dangereuses détectées sur le point d'être installées. Les outils de rootage d'appareil sont interdits sur Google Play. Pour protéger les utilisateurs qui installent des applications en dehors de Google Play, Verify Apps est activé par défaut et avertira les utilisateurs des applications de root connues. Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'élévation de privilèges. Si une telle application a déjà été installée, Verify Apps en informera l'utilisateur et tentera de supprimer ces applications.
- Le cas échéant, les applications Google Hangouts et Messenger ne transmettent pas automatiquement les médias aux processus tels que le serveur multimédia.
Remerciements
L'équipe de sécurité Android souhaite remercier ces chercheurs pour leurs contributions :
- Abhishek Arya, Oliver Chang et Martin Barbella de l'équipe de sécurité de Google Chrome : CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
- Anestis Bechtsoudis ( @anestisb ) de CENSUS SA : CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
- Brad Ebinger et Santos Cordon de l'équipe Google Telecom : CVE-2016-0847
- Dominik Schürmann de l'Institut des systèmes d'exploitation et des réseaux informatiques , TU Braunschweig : CVE-2016-2425
- Gengjia Chen ( @chengjia4574 ), pjf , Jianqiang Zhao ( @jianqiangzhao ) de IceSword Lab, Qihoo 360 : CVE-2016-0844
- George Piskas de l'École polytechnique fédérale de Lausanne : CVE-2016-2426
- Guang Gong (龚广) ( @oldfresher ) de Qihoo 360 Technology Co.Ltd : CVE-2016-2412, CVE-2016-2416
- James Forshaw de Google Project Zero : CVE-2016-2417, CVE-2016-0846
- Jianqiang Zhao ( @jianqiangzhao ), pjf et Gengjia Chen ( @chengjia4574 ) de IceSword Lab, Qihoo 360 : CVE-2016-2410, CVE-2016-2411
- Jianqiang Zhao ( @jianqiangzhao ) et pjf d'IceSword Lab, Qihoo 360 : CVE-2016-2409
- Nancy Wang de Vertu Corporation LTD : CVE-2016-0837
- Nassim Zamir : CVE-2016-2409
- Nico Golde ( @iamnion ) de Qualcomm Product Security Initiative : CVE-2016-2420, CVE-2016-0849
- Peter Pi ( @heisecode ) de Trend Micro : CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
- Richard Shupak : CVE-2016-2415
- Romain Trouvé de MWR Labs : CVE-2016-0850
- Stuart Henderson : CVE-2016-2422
- Vishwath Mohan de la sécurité Android : CVE-2016-2424
- Weichao Sun ( @sunblate ) d'Alibaba Inc. : CVE-2016-2414
- Wish Wu ( @wish_wu ) de Trend Micro Inc. : CVE-2016-0843
- Yeonjoon Lee et Xiaofeng Wang de l'Université d'Indiana à Bloomington, Tongxin Li et Xinhui Han de l'Université de Pékin : CVE-2016-0848
L'équipe de sécurité Android remercie également Yuan-Tsung Lo , Wenke Dou , Chiachih Wu ( @chiachih_wu ) et Xuxian Jiang de l'équipe C0RE et Zimperium pour leur contribution à CVE-2015-1805.
Détails de la vulnérabilité de sécurité
Les sections ci-dessous contiennent des détails sur chacune des vulnérabilités de sécurité qui s'appliquent au niveau de correctif 2016-04-02. Il existe une description du problème, une justification de la gravité et un tableau avec le CVE, le bogue associé, la gravité, les versions concernées et la date signalée. Lorsqu'il sera disponible, nous lierons le commit AOSP qui a résolu le problème à l'ID du bogue. Lorsque plusieurs modifications concernent un seul bogue, des références AOSP supplémentaires sont liées aux numéros suivant l'ID du bogue.
Vulnérabilité d'exécution de code à distance dans DHCPCD
Une vulnérabilité dans le service Dynamic Host Configuration Protocol pourrait permettre à un attaquant de provoquer une corruption de la mémoire, ce qui pourrait conduire à l'exécution de code à distance. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance dans le contexte du client DHCP. Le service DHCP a accès à des privilèges auxquels les applications tierces ne pourraient normalement pas accéder.
| CVE | Bugs avec les liens AOSP | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2014-6060 | ANDROID-15268738 | Critique | 4.4.4 | 30 juillet 2014 |
| CVE-2014-6060 | ANDROID-16677003 | Critique | 4.4.4 | 30 juillet 2014 |
| CVE-2016-1503 | ANDROID-26461634 | Critique | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 janvier 2016 |
Vulnérabilité d'exécution de code à distance dans le codec multimédia
Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, des vulnérabilités dans un codec multimédia utilisé par le serveur multimédia pourraient permettre à un attaquant de provoquer une corruption de la mémoire et l'exécution de code à distance pendant le processus du serveur multimédia.
La fonctionnalité concernée est fournie en tant qu'élément central du système d'exploitation, et il existe plusieurs applications qui permettent d'y accéder avec du contenu à distance, notamment la lecture de médias par MMS et par navigateur.
Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance dans le contexte du service Mediaserver. Le service Mediaserver a accès aux flux audio et vidéo, ainsi qu'à des privilèges auxquels les applications tierces ne pourraient normalement pas accéder.
| CVE | Bogue | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-0834 | ANDROID-26220548* | Critique | 6.0, 6.0.1 | 16 décembre 2015 |
* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .
Vulnérabilité d'exécution de code à distance dans Mediaserver
Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, des vulnérabilités dans le serveur multimédia pourraient permettre à un attaquant de provoquer une corruption de la mémoire et l'exécution de code à distance pendant le processus du serveur multimédia.
La fonctionnalité concernée est fournie en tant qu'élément central du système d'exploitation, et il existe plusieurs applications qui permettent d'y accéder avec du contenu à distance, notamment la lecture de médias par MMS et par navigateur.
Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance dans le contexte du service Mediaserver. Le service Mediaserver a accès aux flux audio et vidéo, ainsi qu'à des privilèges auxquels les applications tierces ne pourraient normalement pas accéder.
| CVE | Bugs avec les liens AOSP | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-0835 | ANDROID-26070014 [ 2 ] | Critique | 6.0, 6.0.1 | 6 décembre 2015 |
| CVE-2016-0836 | ANDROID-25812590 | Critique | 6.0, 6.0.1 | 19 novembre 2015 |
| CVE-2016-0837 | ANDROID-27208621 | Critique | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 février 2016 |
| CVE-2016-0838 | ANDROID-26366256 [ 2 ] | Critique | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google interne |
| CVE-2016-0839 | ANDROID-25753245 | Critique | 6.0, 6.0.1 | Google interne |
| CVE-2016-0840 | ANDROID-26399350 | Critique | 6.0, 6.0.1 | Google interne |
| CVE-2016-0841 | ANDROID-26040840 | Critique | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google interne |
Vulnérabilité d'exécution de code à distance dans libstagefright
Lors du traitement d'un fichier multimédia et des données d'un fichier spécialement conçu, des vulnérabilités dans libstagefright pourraient permettre à un attaquant de provoquer une corruption de la mémoire et l'exécution de code à distance lors du processus du serveur multimédia.
La fonctionnalité concernée est fournie en tant qu'élément central du système d'exploitation, et il existe plusieurs applications qui permettent d'y accéder avec du contenu à distance, notamment la lecture de médias par MMS et par navigateur.
Ce problème est classé comme étant de gravité critique en raison de la possibilité d'exécution de code à distance dans le contexte du service mediaserver. Le service Mediaserver a accès aux flux audio et vidéo, ainsi qu'à des privilèges auxquels les applications tierces ne pourraient normalement pas accéder.
| CVE | Bug avec le lien AOSP | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-0842 | ANDROID-25818142 | Critique | 6.0, 6.0.1 | 23 novembre 2015 |
Vulnérabilité d’élévation de privilèges dans le noyau
Une vulnérabilité d'élévation de privilèges dans le noyau pourrait permettre à une application malveillante locale d'exécuter du code arbitraire au sein du noyau. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission locale permanente du périphérique, et le périphérique devra éventuellement être réparé en flashant à nouveau le système d'exploitation. Ce problème a été décrit dans l'avis de sécurité Android 2016-03-18 .
| CVE | Bogue | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2015-1805 | ANDROID-27275324* | Critique | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 février 2016 |
* Le correctif dans AOSP est disponible pour des versions spécifiques du noyau : 3.14 , 3.10 et 3.4 .
Vulnérabilité d’élévation de privilèges dans le module de performances Qualcomm
Une vulnérabilité d'élévation de privilèges dans le composant de gestion d'événements de performances pour les processeurs ARM de Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire au sein du noyau. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission locale permanente du périphérique, et le périphérique devra éventuellement être réparé en flashant à nouveau le système d'exploitation.
| CVE | Bogue | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-0843 | ANDROID-25801197* | Critique | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 novembre 2015 |
* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .
Vulnérabilité d'élévation de privilèges dans le composant Qualcomm RF
Il existe une vulnérabilité dans le pilote Qualcomm RF qui pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission locale permanente du périphérique, et le périphérique devra éventuellement être réparé en flashant à nouveau le système d'exploitation.
| CVE | Bug avec le lien AOSP | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-0844 | ANDROID-26324307 * | Critique | 6.0, 6.0.1 | 25 décembre 2015 |
* Un correctif supplémentaire pour ce problème se trouve dans Linux en amont .
Vulnérabilité d’élévation de privilèges dans le noyau
Une vulnérabilité d'élévation de privilèges dans le noyau commun pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission locale permanente du périphérique et le périphérique pourrait éventuellement devoir être réparé en flashant à nouveau le système d'exploitation.
| CVE | Bug avec les liens AOSP | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2014-9322 | ANDROID-26927260 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] | Critique | 6.0, 6.0.1 | 25 décembre 2015 |
Vulnérabilité d’élévation de privilèges dans l’interface native IMemory
Une vulnérabilité d’élévation de privilèges dans l’interface native IMemory pourrait permettre à une application malveillante locale d’exécuter du code arbitraire dans le contexte d’une application système élevée. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.
| CVE | Bug avec le lien AOSP | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-0846 | ANDROID-26877992 | Haut | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 janvier 2016 |
Vulnérabilité d’élévation de privilèges dans le composant télécom
Une vulnérabilité d'élévation de privilèges dans le composant Telecom pourrait permettre à un attaquant de faire croire que les appels proviennent de n'importe quel numéro arbitraire. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir un accès local à des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.
| CVE | Bug avec les liens AOSP | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-0847 | ANDROID-26864502 [ 2 ] | Haut | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google interne |
Vulnérabilité d'élévation de privilèges dans le gestionnaire de téléchargement
Une vulnérabilité d'élévation de privilèges dans le gestionnaire de téléchargement pourrait permettre à un attaquant d'accéder à des fichiers non autorisés dans un stockage privé. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir un accès local à des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.
| CVE | Bug avec le lien AOSP | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-0848 | ANDROID-26211054 | Haut | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 décembre 2015 |
Vulnérabilité d’élévation de privilèges dans la procédure de récupération
Une vulnérabilité d'élévation de privilèges dans la procédure de récupération pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.
| CVE | Bug avec le lien AOSP | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-0849 | ANDROID-26960931 | Haut | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 février 2016 |
Vulnérabilité d’élévation de privilèges dans Bluetooth
Une vulnérabilité d’élévation de privilèges dans Bluetooth pourrait permettre à un appareil non fiable de se coupler au téléphone lors du processus de couplage initial. Cela pourrait conduire à un accès non autorisé aux ressources de l'appareil, telles que la connexion Internet. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées qui ne sont pas accessibles aux appareils non fiables.
| CVE | Bug avec le lien AOSP | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-0850 | ANDROID-26551752 | Haut | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 13 janvier 2016 |
Vulnérabilité d’élévation de privilèges dans le pilote haptique de Texas Instruments
Il existe une vulnérabilité d'élévation de privilèges dans un pilote de noyau haptique de Texas Instruments qui pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, un bogue d'exécution de code noyau comme celui-ci serait classé critique, mais comme il nécessite d'abord de compromettre un service qui peut appeler le pilote, il est plutôt classé comme étant de gravité élevée.
| CVE | Bogue | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2409 | ANDROID-25981545* | Haut | 6.0, 6.0.1 | 25 décembre 2015 |
* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .
Vulnérabilité d’élévation de privilèges dans le pilote du noyau vidéo Qualcomm
Il existe une vulnérabilité d'élévation de privilèges dans un pilote du noyau vidéo Qualcomm qui pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, une vulnérabilité d’exécution de code du noyau serait classée critique, mais comme elle nécessite d’abord de compromettre un service capable d’appeler le pilote, elle est plutôt classée comme étant de gravité élevée.
| CVE | Bogue | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2410 | ANDROID-26291677* | Haut | 6.0, 6.0.1 | 21 décembre 2015 |
* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .
Vulnérabilité d'élévation de privilèges dans le composant Qualcomm Power Management
Il existe une vulnérabilité d'élévation de privilèges dans un pilote du noyau Qualcomm Power Management qui pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Normalement, un bogue d'exécution de code noyau comme celui-ci serait classé critique, mais comme il nécessite d'abord de compromettre le périphérique et une élévation à la racine, il est plutôt classé comme étant de gravité élevée.
| CVE | Bogue | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2411 | ANDROID-26866053* | Haut | 6.0, 6.0.1 | 28 janvier 2016 |
* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .
Vulnérabilité d'élévation de privilèges dans System_server
Une vulnérabilité d'élévation de privilèges dans System_server pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.
| CVE | Bug avec le lien AOSP | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2412 | ANDROID-26593930 | Haut | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 janvier 2016 |
Vulnérabilité d’élévation de privilèges dans Mediaserver
Une vulnérabilité d'élévation de privilèges dans Mediaserver pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité élevée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.
| CVE | Bug avec le lien AOSP | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2413 | ANDROID-26403627 | Haut | 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 janvier 2016 |
Vulnérabilité de déni de service dans Minikin
Une vulnérabilité de déni de service dans la bibliothèque Minikin pourrait permettre à un attaquant local de bloquer temporairement l'accès à un appareil affecté. Un attaquant pourrait provoquer le chargement d'une police non fiable et provoquer un débordement dans le composant Minikin, ce qui entraînerait un crash. Ce problème est classé comme étant de gravité élevée, car un déni de service entraînerait une boucle de redémarrage continue.
| CVE | Bug avec les liens AOSP | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2414 | ANDROID-26413177 [ 2 ] | Haut | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 novembre 2015 |
Vulnérabilité de divulgation d'informations dans Exchange ActiveSync
Une vulnérabilité de divulgation d'informations dans Exchange ActiveSync pourrait permettre à une application malveillante locale d'accéder aux informations privées d'un utilisateur. Ce problème est classé comme étant de gravité élevée car il permet l’accès à distance aux données protégées.
| CVE | Bug avec le lien AOSP | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2415 | ANDROID-26488455 | Haut | 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 janvier 2016 |
Vulnérabilité de divulgation d'informations dans Mediaserver
Une vulnérabilité de divulgation d'informations dans Mediaserver pourrait permettre de contourner les mesures de sécurité en place pour augmenter la difficulté pour les attaquants d'exploiter la plateforme. Ces problèmes sont classés comme étant de gravité élevée, car ils pourraient également être utilisés pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles aux applications tierces.
| CVE | Bugs avec les liens AOSP | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2416 | ANDROID-27046057 [ 2 ] | Haut | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 février 2016 |
| CVE-2016-2417 | ANDROID-26914474 | Haut | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1 février 2016 |
| CVE-2016-2418 | ANDROID-26324358 | Haut | 6.0, 6.0.1 | 24 décembre 2015 |
| CVE-2016-2419 | ANDROID-26323455 | Haut | 6.0, 6.0.1 | 24 décembre 2015 |
Vulnérabilité d'élévation de privilèges dans le composant Debuggerd
Une vulnérabilité d'élévation de privilèges dans le composant Debuggerd pourrait permettre à une application malveillante locale d'exécuter du code arbitraire pouvant conduire à une compromission permanente du périphérique. En conséquence, l'appareil devra éventuellement être réparé en flashant à nouveau le système d'exploitation. Normalement, un bug d'exécution de code comme celui-ci serait classé comme critique, mais comme il permet une élévation des privilèges du système à la racine uniquement dans la version Android 4.4.4, il est plutôt classé comme modéré. Dans les versions Android 5.0 et supérieures, les règles SELinux empêchent les applications tierces d'atteindre le code concerné.
| CVE | Bug avec les liens AOSP | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2420 | ANDROID-26403620 [ 2 ] | Modéré | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 janvier 2016 |
Vulnérabilité d'élévation de privilèges dans l'assistant d'installation
Une vulnérabilité dans l'assistant de configuration pourrait permettre à un attaquant de contourner la protection contre les réinitialisations d'usine et d'accéder à l'appareil. Ce problème est classé comme étant de gravité modérée, car il permet potentiellement à une personne ayant un accès physique à un appareil de contourner la protection contre les réinitialisations d'usine, ce qui permettrait à un attaquant de réinitialiser avec succès un appareil, effaçant ainsi toutes les données.
| CVE | Bogue | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2421 | ANDROID-26154410* | Modéré | 5.1.1, 6.0, 6.0.1 | Google interne |
* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans la dernière version binaire pour les appareils Nexus disponible sur le site des développeurs Google .
Vulnérabilité d’élévation de privilèges dans le Wi-Fi
Une vulnérabilité d’élévation de privilèges dans le Wi-Fi pourrait permettre à une application malveillante locale d’exécuter du code arbitraire dans le contexte d’une application système élevée. Ce problème est classé comme étant de gravité modérée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.
| CVE | Bug avec le lien AOSP | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2422 | ANDROID-26324357 | Modéré | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 décembre 2015 |
Vulnérabilité d’élévation de privilèges dans la téléphonie
Une vulnérabilité dans la téléphonie pourrait permettre à un attaquant de contourner la protection contre les réinitialisations d'usine et d'accéder à l'appareil. Ce problème est classé comme étant de gravité modérée, car il permet potentiellement à une personne ayant un accès physique à un appareil de contourner la protection contre les réinitialisations d'usine, ce qui permettrait à un attaquant de réinitialiser avec succès un appareil, effaçant ainsi toutes les données.
| CVE | Bug avec le lien AOSP | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2423 | ANDROID-26303187 | Modéré | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google interne |
Vulnérabilité de déni de service dans SyncStorageEngine
Une vulnérabilité de déni de service dans SyncStorageEngine pourrait permettre à une application malveillante locale de provoquer une boucle de redémarrage. Ce problème est classé comme étant de gravité modérée, car il pourrait être utilisé pour provoquer un déni de service temporaire local qui pourrait éventuellement devoir être corrigé via une réinitialisation d'usine.
| CVE | Bug avec le lien AOSP | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2424 | ANDROID-26513719 | Modéré | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google interne |
Vulnérabilité de divulgation d’informations dans AOSP Mail
Une vulnérabilité de divulgation d'informations dans AOSP Mail pourrait permettre à une application malveillante locale d'accéder aux informations privées d'un utilisateur. Ce problème est classé comme étant de gravité modérée, car il pourrait être utilisé pour obtenir de manière inappropriée des autorisations « dangereuses ».
| CVE | Bugs avec le lien AOSP | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2425 | ANDROID-26989185 | Modéré | 4.4.4, 5.1.1, 6.0, 6.0.1 | 29 janvier 2016 |
| CVE-2016-2425 | ANDROID-7154234* | Modéré | 5.0.2 | 29 janvier 2016 |
* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans la dernière version binaire pour les appareils Nexus disponible sur le site des développeurs Google .
Vulnérabilité de divulgation d’informations dans Framework
Une vulnérabilité de divulgation d'informations dans le composant Framework pourrait permettre à une application d'accéder à des informations sensibles. Ce problème est classé comme étant de gravité modérée, car il pourrait être utilisé pour accéder de manière inappropriée aux données sans autorisation.
| CVE | Bug avec le lien AOSP | Gravité | Versions mises à jour | Date de rapport |
|---|---|---|---|---|
| CVE-2016-2426 | ANDROID-26094635 | Modéré | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 8 décembre 2015 |
Questions et réponses courantes
Cette section passe en revue les réponses aux questions courantes qui peuvent survenir après la lecture de ce bulletin.
1. Comment puis-je déterminer si mon appareil est mis à jour pour résoudre ces problèmes ?
Les niveaux de correctifs de sécurité du 2 avril 2016 ou ultérieurs résolvent ces problèmes (reportez-vous à la documentation Nexus pour obtenir des instructions sur la façon de vérifier le niveau du correctif de sécurité). Les fabricants d'appareils qui incluent ces mises à jour doivent définir le niveau de chaîne de correctif sur : [ro.build.version.security_patch]:[2016-04-02]
2. Pourquoi ce niveau de correctif de sécurité est-il le 2 avril 2016 ?
Le niveau de correctif de sécurité pour la mise à jour de sécurité mensuelle est normalement défini sur le premier du mois. Pour avril, un niveau de correctif de sécurité du 1er avril 2016 indique que tous les problèmes décrits dans ce bulletin, à l'exception du CVE-2015-1805, tel que décrit dans l'avis de sécurité Android 2016-03-18, ont été résolus. Un niveau de correctif de sécurité du 2 avril 2016 indique que tous les problèmes décrits dans ce bulletin, y compris CVE-2015-1805, tels que décrits dans l'avis de sécurité Android 2016-03-18, ont été résolus.
Révisions
- 04 avril 2016 : Bulletin publié.
- 6 avril 2016 : Bulletin révisé pour inclure les liens AOSP.
- 7 avril 2016 : Bulletin révisé pour inclure un lien AOSP supplémentaire.
- 11 juillet 2016 : description mise à jour de CVE-2016-2427.
- 1er août 2016 : description mise à jour de CVE-2016-2427
- 19 décembre 2016 : mise à jour pour supprimer CVE-2016-2427, qui a été annulée.