Bulletin de sécurité Android – juin 2016

Publié le 06 juin 2016 | Mis à jour le 8 juin 2016

Le Bulletin de sécurité Android contient des détails sur les vulnérabilités de sécurité affectant les appareils Android. Parallèlement au bulletin, nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour en direct (OTA). Les images du micrologiciel Nexus ont également été publiées sur le site des développeurs Google . Les niveaux de correctifs de sécurité du 1er juin 2016 ou ultérieurs résolvent ces problèmes. Reportez-vous à la documentation Nexus pour savoir comment vérifier le niveau du correctif de sécurité.

Les partenaires ont été informés des problèmes décrits dans le bulletin le 2 mai 2016 ou avant. Le cas échéant, les correctifs de code source pour ces problèmes ont été publiés dans le référentiel Android Open Source Project (AOSP).

Le problème le plus grave est une vulnérabilité de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil concerné via plusieurs méthodes telles que le courrier électronique, la navigation Web et les MMS lors du traitement des fichiers multimédias. L' évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les atténuations de la plate-forme et du service soient désactivées à des fins de développement ou si elles sont contournées avec succès.

Nous n'avons reçu aucun rapport faisant état d'une exploitation ou d'un abus actif de la part de nos clients concernant ces problèmes récemment signalés. Reportez-vous à la section Atténuations des services Android et Google pour plus de détails sur les protections de la plate-forme de sécurité Android et les protections des services telles que SafetyNet, qui améliorent la sécurité de la plate-forme Android.

Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.

Atténuations des services Android et Google

Ceci est un résumé des mesures d'atténuation fournies par la plate-forme de sécurité Android et les protections des services, telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que les failles de sécurité soient exploitées avec succès sur Android.

  • L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux versions les plus récentes de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour vers la dernière version d'Android lorsque cela est possible.
  • L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet , conçus pour avertir les utilisateurs des applications potentiellement dangereuses . Vérifier les applications est activé par défaut sur les appareils dotés des services mobiles Google et est particulièrement important pour les utilisateurs qui installent des applications en dehors de Google Play. Les outils de rooting d'appareil sont interdits dans Google Play, mais Verify Apps avertit les utilisateurs lorsqu'ils tentent d'installer une application de rooting détectée, quelle que soit son origine. De plus, Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'élévation de privilèges. Si une telle application a déjà été installée, Verify Apps en informera l'utilisateur et tentera de supprimer l'application détectée.
  • Le cas échéant, les applications Google Hangouts et Messenger ne transmettent pas automatiquement les médias aux processus tels que Mediaserver.

Remerciements

Nous tenons à remercier ces chercheurs pour leurs contributions :

  • Di Shen ( @returnsme ) de KeenLab ( @keen_lab ), Tencent : CVE-2016-2468
  • Fille Beniamini ( @laginimaineb ) : CVE-2016-2476
  • Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) d'IceSword Lab, Qihoo 360 Technology Co. Ltd. : CVE-2016-2492
  • Hao Chen, Guang Gong et Wenlin Yang de Mobile Safe Team, Qihoo 360 Technology Co. Ltd. : CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016- 2498
  • Iwo Banas : CVE-2016-2496
  • Jianqiang Zhao ( @jianqiangzhao ) et pjf ( weibo.com/jfpan ) d'IceSword Lab, Qihoo 360 Technology Co. Ltd. : CVE-2016-2490, CVE-2016-2491
  • Lee Campbell de Google : CVE-2016-2500
  • Maciej Szawłowski de l'équipe de sécurité de Google : CVE-2016-2474
  • Marco Nelissen et Max Spector de Google : CVE-2016-2487
  • Marquer la marque de Google Project Zero : CVE-2016-2494
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) et Xuxian Jiang de l'équipe C0RE : CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481 , CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
  • Scott Bauer ( @ScottyBauer1 ) : CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
  • Vassily Vasilev : CVE-2016-2463
  • Weichao Sun ( @sunblate ) d'Alibaba Inc. : CVE-2016-2495
  • Xiling Gong du département de la plateforme de sécurité Tencent : CVE-2016-2499
  • Zach Riggle ( @ebeip90 ) de l'équipe de sécurité Android : CVE-2016-2493

Détails de la vulnérabilité de sécurité

Dans les sections ci-dessous, nous fournissons des détails sur chacune des vulnérabilités de sécuritéi qui s'appliquent au niveau de correctif du 01/06/2016. Il existe une description du problème, une justification de la gravité et un tableau avec le CVE, le bogue Android associé, la gravité, les appareils Nexus mis à jour, les versions AOSP mises à jour (le cas échéant) et la date signalée. Lorsqu'elle sera disponible, nous lierons la modification AOSP qui a résolu le problème à l'ID de bogue. Lorsque plusieurs modifications concernent un seul bogue, des références AOSP supplémentaires sont liées aux numéros suivant l'ID du bogue.

Vulnérabilité d'exécution de code à distance dans Mediaserver

Une vulnérabilité d'exécution de code à distance dans Mediaserver pourrait permettre à un attaquant utilisant un fichier spécialement conçu de provoquer une corruption de la mémoire lors du traitement des fichiers multimédias et des données. Ce problème est classé comme critique en raison de la possibilité d'exécution de code à distance dans le contexte du processus Mediaserver. Le processus Mediaserver a accès aux flux audio et vidéo, ainsi qu'à des privilèges auxquels les applications tierces ne pourraient normalement pas accéder.

La fonctionnalité concernée est fournie en tant qu'élément central du système d'exploitation, et il existe plusieurs applications qui permettent d'y accéder avec du contenu à distance, notamment la lecture de médias par MMS et par navigateur.

CVE Bogues Android Gravité Appareils Nexus mis à jour Versions AOSP mises à jour Date de rapport
CVE-2016-2463 27855419 Critique Tous les Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 25 mars 2016

Vulnérabilités d'exécution de code à distance dans libwebm

Des vulnérabilités d'exécution de code à distance avec libwebm pourraient permettre à un attaquant utilisant un fichier spécialement conçu de provoquer une corruption de la mémoire lors du traitement des fichiers multimédias et des données. Ce problème est classé comme critique en raison de la possibilité d'exécution de code à distance dans le contexte du processus Mediaserver. Le processus Mediaserver a accès aux flux audio et vidéo, ainsi qu'à des privilèges auxquels les applications tierces ne pourraient normalement pas accéder.

La fonctionnalité concernée est fournie en tant qu'élément central du système d'exploitation, et il existe plusieurs applications qui permettent d'y accéder avec du contenu à distance, notamment la lecture de médias par MMS et par navigateur.

CVE Bogues Android Gravité Appareils Nexus mis à jour Versions AOSP mises à jour Date de rapport
CVE-2016-2464 23167726 [ 2 ] Critique Tous les Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google interne

Vulnérabilité d'élévation de privilèges dans le pilote vidéo Qualcomm

Une vulnérabilité d'élévation de privilèges dans le pilote vidéo Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission locale permanente du périphérique, ce qui peut nécessiter un reflasher du système d'exploitation pour réparer le périphérique.

CVE Bogues Android Gravité Appareils Nexus mis à jour Date de rapport
CVE-2016-2465 27407865* Critique Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 21 février 2016

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d’élévation de privilèges dans le pilote audio Qualcomm

Une vulnérabilité d'élévation de privilèges dans le pilote audio Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission locale permanente du périphérique, ce qui peut nécessiter un reflasher du système d'exploitation pour réparer le périphérique.

CVE Bogues Android Gravité Appareils Nexus mis à jour Date de rapport
CVE-2016-2466 27947307* Critique Nexus 6 27 février 2016
CVE-2016-2467 28029010* Critique Nexus 5 13 mars 2014

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d'élévation de privilèges dans le pilote GPU Qualcomm

Une vulnérabilité d'élévation de privilèges dans le pilote GPU Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission locale permanente du périphérique, ce qui peut nécessiter un reflasher du système d'exploitation pour réparer le périphérique.

CVE Bogues Android Gravité Appareils Nexus mis à jour Date de rapport
CVE-2016-2468 27475454* Critique Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 2 mars 2016
CVE-2016-2062 27364029* Critique Nexus 5X, Nexus 6P 6 mars 2016

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d’élévation de privilèges dans le pilote Wi-Fi Qualcomm

Une vulnérabilité d'élévation de privilèges dans le pilote Wi-Fi Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission locale permanente du périphérique, ce qui peut nécessiter un reflasher du système d'exploitation pour réparer le périphérique.

CVE Bogues Android Gravité Appareils Nexus mis à jour Date de rapport
CVE-2016-2474 27424603* Critique Nexus 5X Google interne

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d’élévation de privilèges dans le pilote Wi-Fi Broadcom

Une vulnérabilité d'élévation de privilèges dans le pilote Wi-Fi Broadcom pourrait permettre à une application malveillante locale d'invoquer des appels système modifiant les paramètres et le comportement de l'appareil sans disposer des privilèges nécessaires. Ce problème est classé comme élevé car il pourrait être utilisé pour obtenir un accès local à des fonctionnalités élevées.

CVE Bogues Android Gravité Appareils Nexus mis à jour Date de rapport
CVE-2016-2475 26425765* Haut Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C 6 janvier 2016

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d’élévation de privilèges dans le pilote audio Qualcomm

Une vulnérabilité d'élévation de privilèges dans le pilote audio Qualcomm pourrait permettre à une application malveillante d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d'abord de compromettre un service capable d'appeler le pilote.

CVE Bogues Android Gravité Appareils Nexus mis à jour Date de rapport
CVE-2016-2066 26876409* Haut Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 29 janvier 2016
CVE-2016-2469 27531992* Haut Nexus 5, Nexus 6, Nexus 6P 4 mars 2016

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d’élévation de privilèges dans Mediaserver

Une vulnérabilité d'élévation de privilèges dans Mediaserver pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme élevé, car il pourrait être utilisé pour obtenir un accès local à des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.

CVE Bogues Android Gravité Appareils Nexus mis à jour Versions AOSP mises à jour Date de rapport
CVE-2016-2476 27207275 [ 2 ] [ 3 ] [ 4 ] Haut Tous les Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 février 2016
CVE-2016-2477 27251096 Haut Tous les Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 février 2016
CVE-2016-2478 27475409 Haut Tous les Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 mars 2016
CVE-2016-2479 27532282 Haut Tous les Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 mars 2016
CVE-2016-2480 27532721 Haut Tous les Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 mars 2016
CVE-2016-2481 27532497 Haut Tous les Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 mars 2016
CVE-2016-2482 27661749 Haut Tous les Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 mars 2016
CVE-2016-2483 27662502 Haut Tous les Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 mars 2016
CVE-2016-2484 27793163 Haut Tous les Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 mars 2016
CVE-2016-2485 27793367 Haut Tous les Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 mars 2016
CVE-2016-2486 27793371 Haut Tous les Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 mars 2016
CVE-2016-2487 27833616 [ 2 ] [ 3 ] Haut Tous les Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google interne

Vulnérabilité d'élévation de privilèges dans le pilote de caméra Qualcomm

Une vulnérabilité d'élévation de privilèges dans le pilote de caméra Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d'abord de compromettre un service capable d'appeler le pilote.

CVE Bogues Android Gravité Appareils Nexus mis à jour Date de rapport
CVE-2016-2061 27207747* Haut Nexus 5X, Nexus 6P 15 février 2016
CVE-2016-2488 27600832* Haut Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) Google interne

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d'élévation de privilèges dans le pilote vidéo Qualcomm

Une vulnérabilité d'élévation de privilèges dans le pilote vidéo Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d'abord de compromettre un service capable d'appeler le pilote.

CVE Bogues Android Gravité Appareils Nexus mis à jour Date de rapport
CVE-2016-2489 27407629* Haut Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 21 février 2016

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d'élévation de privilèges dans le pilote de caméra NVIDIA

Une vulnérabilité d'élévation de privilèges dans le pilote de caméra NVIDIA pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d’abord de compromettre un service pour appeler le pilote.

CVE Bogues Android Gravité Appareils Nexus mis à jour Date de rapport
CVE-2016-2490 27533373* Haut Nexus 9 6 mars 2016
CVE-2016-2491 27556408* Haut Nexus 9 8 mars 2016

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d’élévation de privilèges dans le pilote Wi-Fi Qualcomm

Une vulnérabilité d'élévation de privilèges dans le pilote Wi-Fi Qualcomm pourrait permettre à une application malveillante d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d'abord de compromettre un service capable d'appeler le pilote.

CVE Bogues Android Gravité Appareils Nexus mis à jour Date de rapport
CVE-2016-2470 27662174* Haut Nexus 7 (2013) 13 mars 2016
CVE-2016-2471 27773913* Haut Nexus 7 (2013) 19 mars 2016
CVE-2016-2472 27776888* Haut Nexus 7 (2013) 20 mars 2016
CVE-2016-2473 27777501* Haut Nexus 7 (2013) 20 mars 2016

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d'élévation de privilèges dans le pilote de gestion de l'alimentation MediaTek

Une élévation de privilèges dans le pilote de gestion de l'alimentation MediaTek pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d'abord de compromettre le périphérique et d'accéder à la racine pour appeler le pilote.

CVE Bogues Android Gravité Appareils Nexus mis à jour Date de rapport
CVE-2016-2492 28085410* Haut Android Un 7 avril 2016

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d’élévation de privilèges dans la couche d’émulation de carte SD

Une vulnérabilité d’élévation de privilèges dans la couche d’émulation de l’espace utilisateur de la carte SD pourrait permettre à une application malveillante locale d’exécuter du code arbitraire dans le contexte d’une application système élevée. Ce problème est classé comme élevé, car il pourrait être utilisé pour obtenir un accès local à des fonctionnalités élevées, telles que les privilèges d'autorisation Signature ou SignatureOrSystem , qui ne sont pas accessibles à une application tierce.

CVE Bogues Android Gravité Appareils Nexus mis à jour Versions AOSP mises à jour Date de rapport
CVE-2016-2494 28085658 Haut Tous les Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 avril 2016

Vulnérabilité d’élévation de privilèges dans le pilote Wi-Fi Broadcom

Une vulnérabilité d'élévation de privilèges dans le pilote Wi-Fi Broadcom pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d’abord de compromettre un service pour appeler le pilote.

CVE Bogues Android Gravité Appareils Nexus mis à jour Date de rapport
CVE-2016-2493 26571522* Haut Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Player, Pixel C Google interne

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité de déni de service à distance dans Mediaserver

Une vulnérabilité de déni de service à distance dans Mediaserver pourrait permettre à un attaquant d'utiliser un fichier spécialement conçu pour provoquer le blocage ou le redémarrage d'un appareil. Ce problème est classé comme élevé en raison de la possibilité d'un déni de service à distance.

CVE Bogues Android Gravité Appareils Nexus mis à jour Versions AOSP mises à jour Date de rapport
CVE-2016-2495 28076789 [ 2 ] Haut Tous les Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 avril 2016

Vulnérabilité d’élévation de privilèges dans l’interface utilisateur du framework

Une vulnérabilité d'élévation de privilèges dans la fenêtre de dialogue d'autorisation de Framework UI pourrait permettre à un attaquant d'accéder à des fichiers non autorisés dans le stockage privé. Ce problème est classé comme modéré car il pourrait être utilisé pour obtenir de manière inappropriée des autorisations « dangereuses ».

CVE Bogues Android Gravité Appareils Nexus mis à jour Versions AOSP mises à jour Date de rapport
CVE-2016-2496 26677796 [ 2 ] [ 3 ] Modéré Tous les Nexus 6.0, 6.1 26 mai 2015

Vulnérabilité de divulgation d'informations dans le pilote Wi-Fi Qualcomm

Une divulgation d'informations dans le pilote Wi-Fi Qualcomm pourrait permettre à une application malveillante locale d'accéder à des données en dehors de ses niveaux d'autorisation. Ce problème est classé comme modéré car il nécessite d’abord de compromettre un service capable d’appeler le pilote.

CVE Bogues Android Gravité Appareils Nexus mis à jour Date de rapport
CVE-2016-2498 27777162* Modéré Nexus 7 (2013) 20 mars 2016

* Le correctif pour ce problème n'est pas dans AOSP. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité de divulgation d'informations dans Mediaserver

Une vulnérabilité de divulgation d'informations dans Mediaserver pourrait permettre à une application d'accéder à des informations sensibles. Ce problème est classé comme modéré car il pourrait être utilisé pour accéder aux données sans autorisation.

CVE Bogues Android Gravité Appareils Nexus mis à jour Versions AOSP mises à jour Date de rapport
CVE-2016-2499 27855172 Modéré Tous les Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 mars 2016

Vulnérabilité de divulgation d’informations dans Activity Manager

Une vulnérabilité de divulgation d'informations dans le composant Activity Manager pourrait permettre à une application d'accéder à des informations sensibles. Ce problème est classé modéré car il pourrait être utilisé pour accéder aux données sans autorisation.

CVE Bogues Android Gravité Appareils Nexus mis à jour Versions AOSP mises à jour Date de rapport
CVE-2016-2500 19285814 Modéré Tous les Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 Google interne

Questions et réponses courantes

Cette section répond aux questions courantes qui peuvent survenir après la lecture de ce bulletin.

1. Comment puis-je déterminer si mon appareil est mis à jour pour résoudre ces problèmes ?

Les niveaux de correctifs de sécurité du 1er juin 2016 ou ultérieurs résolvent ces problèmes (reportez-vous à la documentation Nexus pour obtenir des instructions sur la façon de vérifier le niveau du correctif de sécurité). Les fabricants d'appareils qui incluent ces mises à jour doivent définir le niveau de chaîne de correctif sur : [ro.build.version.security_patch]:[2016-06-01]

2. Comment puis-je déterminer quels appareils Nexus sont concernés par chaque problème ?

Dans la section Détails de la vulnérabilité de sécurité , chaque tableau comporte une colonne Appareils Nexus mis à jour qui couvre la gamme d'appareils Nexus concernés mis à jour pour chaque problème. Cette colonne propose quelques options :

  • Tous les appareils Nexus : si un problème affecte tous les appareils Nexus, le tableau affichera « Tous les appareils Nexus » dans la colonne Appareils Nexus mis à jour . « Tous les Nexus » regroupe les appareils pris en charge suivants : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player et Pixel C.
  • Certains appareils Nexus : si un problème n'affecte pas tous les appareils Nexus, les appareils Nexus concernés sont répertoriés dans la colonne Appareils Nexus mis à jour .
  • Aucun appareil Nexus : si aucun appareil Nexus n'est concerné par le problème, le tableau affichera « Aucun » dans la colonne Appareils Nexus mis à jour .

Révisions

  • 06 juin 2016 : Bulletin publié.
  • 07 juin 2016 :
    • Bulletin révisé pour inclure des liens AOSP.
    • CVE-2016-2496 supprimé du bulletin.
  • 8 juin 2016 : CVE-2016-2496 ajouté au bulletin.