Bulletin de sécurité Android – mars 2017

Publié le 06 mars 2017 | Mis à jour le 7 mars 2017

Le Bulletin de sécurité Android contient des détails sur les vulnérabilités de sécurité affectant les appareils Android. Parallèlement à ce bulletin, nous avons publié une mise à jour de sécurité pour les appareils Google via une mise à jour en direct (OTA). Les images du micrologiciel des appareils Google ont également été publiées sur le site des développeurs Google . Les niveaux de correctifs de sécurité du 5 mars 2017 ou ultérieurs résolvent tous ces problèmes. Reportez-vous au calendrier de mise à jour des Pixel et Nexus pour savoir comment vérifier le niveau de correctif de sécurité d'un appareil.

Les partenaires ont été informés des problèmes décrits dans le bulletin le 6 février 2017 ou avant. Les correctifs de code source pour ces problèmes ont été publiés dans le référentiel Android Open Source Project (AOSP) et liés à partir de ce bulletin. Ce bulletin comprend également des liens vers des correctifs en dehors de l'AOSP.

Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil concerné via plusieurs méthodes telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias. L' évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les atténuations de la plate-forme et du service soient désactivées à des fins de développement ou si elles sont contournées avec succès.

Nous n'avons reçu aucun rapport faisant état d'une exploitation ou d'un abus actif de la part de nos clients concernant ces problèmes récemment signalés. Reportez-vous à la section Atténuations des services Android et Google pour plus de détails sur les protections de la plate-forme de sécurité Android et les protections des services telles que SafetyNet , qui améliorent la sécurité de la plate-forme Android.

Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.

Annonces

  • Ce bulletin comporte deux niveaux de correctifs de sécurité pour offrir aux partenaires Android la flexibilité de corriger plus rapidement un sous-ensemble de vulnérabilités similaires sur tous les appareils Android. Voir Questions et réponses courantes pour plus d'informations :
    • 01/03/2017 : Chaîne de niveau de correctif de sécurité partiel. Cette chaîne de niveau de correctif de sécurité indique que tous les problèmes associés au 01/03/2017 (et toutes les chaînes de niveau de correctif de sécurité précédentes) sont résolus.
    • 05/03/2017 : Chaîne complète du niveau du correctif de sécurité. Cette chaîne de niveau de correctif de sécurité indique que tous les problèmes associés au 01/03/2017 et au 05/03/2017 (et toutes les chaînes de niveau de correctif de sécurité précédentes) sont résolus.
  • Les appareils Google pris en charge recevront une seule mise à jour OTA avec le niveau de correctif de sécurité du 5 mars 2017.

Atténuations des services Android et Google

Ceci est un résumé des mesures d'atténuation fournies par la plate-forme de sécurité Android et les protections des services, telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que les failles de sécurité soient exploitées avec succès sur Android.

  • L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux versions les plus récentes de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour vers la dernière version d'Android lorsque cela est possible.
  • L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet , conçus pour avertir les utilisateurs des applications potentiellement dangereuses . Vérifier les applications est activé par défaut sur les appareils dotés des services mobiles Google et est particulièrement important pour les utilisateurs qui installent des applications en dehors de Google Play. Les outils de rooting d'appareil sont interdits dans Google Play, mais Verify Apps avertit les utilisateurs lorsqu'ils tentent d'installer une application de rooting détectée, quelle que soit son origine. De plus, Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'élévation de privilèges. Si une telle application a déjà été installée, Verify Apps en informera l'utilisateur et tentera de supprimer l'application détectée.
  • Le cas échéant, les applications Google Hangouts et Messenger ne transmettent pas automatiquement les médias aux processus tels que Mediaserver.

Remerciements

Nous tenons à remercier ces chercheurs pour leurs contributions :

  • Alexander Potapenko de l'équipe Google Dynamic Tools : CVE-2017-0537
  • Baozeng Ding, Chengming Yang, Peng Xiao et Yang Song du groupe Alibaba Mobile Security : CVE-2017-0506
  • Baozeng Ding, Ning You, Chengming Yang, Peng Xiao et Yang Song du groupe Alibaba Mobile Security : CVE-2017-0463
  • Billy Lau de la sécurité Android : CVE-2017-0335, CVE-2017-0336, CVE-2017-0338, CVE-2017-0460
  • derrek ( @derrekr6 ) : CVE-2016-8413, CVE-2016-8477, CVE-2017-0531
  • derrek ( @derrekr6 ) et Scott Bauer ( @ScottyBauer1 ) : CVE-2017-0521
  • Di Shen ( @returnsme ) de KeenLab ( @keen_lab ), Tencent : CVE-2017-0334, CVE-2017-0456, CVE-2017-0457, CVE-2017-0525
  • En He ( @heeeeen4x ) et Bo Liu de MS509Team : CVE-2017-0490
  • Gengjia Chen ( @chengjia4574 ) et pjf d'IceSword Lab, Qihoo 360 Technology Co. Ltd. : CVE-2017-0500, CVE-2017-0501, CVE-2017-0502, CVE-2017-0503, CVE-2017-0509, CVE-2017-0524, CVE-2017-0529, CVE-2017-0536
  • Hao Chen et Guang Gong de l'équipe Alpha, Qihoo 360 Technology Co. Ltd. : CVE-2017-0453, CVE-2017-0461, CVE-2017-0464
  • Hiroki Yamamoto et Fang Chen de Sony Mobile Communications Inc. : CVE-2017-0481
  • Sagi Kedmi et Roee Hay, chercheurs IBM Security X-Force : CVE-2017-0510
  • Jianjun Dai ( @Jioun_dai ) de Qihoo 360 Skyeye Labs : CVE-2017-0478
  • Jianqiang Zhao ( @jianqiangzhao ) et pjf d'IceSword Lab, Qihoo 360 : CVE-2016-8416, CVE-2016-8478, CVE-2017-0458, CVE-2017-0459, CVE-2017-0518, CVE-2017-0519 , CVE-2017-0533, CVE-2017-0534
  • Lubo Zhang , Tong Lin , Yuan-Tsung Lo et Xuxian Jiang de l'équipe C0RE : CVE-2016-8479
  • Makoto Onuki de Google : CVE-2017-0491
  • Mingjian Zhou ( @Mingjian_Zhou ), Hanxiang Wen et Xuxian Jiang de l'équipe C0RE : CVE-2017-0479, CVE-2017-0480
  • Nathan Crandall ( @natecray ) : CVE-2017-0535
  • Nathan Crandall ( @natecray ) de l'équipe de sécurité des produits de Tesla Motors : CVE-2017-0306
  • Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Lenx Wei (韦韬) de Baidu X-Lab (百度安全实验室) : CVE-2016-8417
  • Qidan He (何淇丹) ( @flanker_hqd ) de KeenLab, Tencent : CVE-2017-0337, CVE-2017-0476
  • Qing Zhang de Qihoo 360 et Guangdong Bai de l'Institut de technologie de Singapour (SIT) : CVE-2017-0496
  • Quhe et wanchouchou du laboratoire de sécurité Ant-financial Light-Year (蚂蚁金服巴斯光年安全实验室) : CVE-2017-0522
  • Sahara des communications sécurisées dans DarkMatter : CVE-2017-0528
  • Salls ( @chris_salls ) de l'équipe Shellphish Grill, UC Santa Barbara : CVE-2017-0505
  • Scott Bauer ( @ScottyBauer1 ) : CVE-2017-0504, CVE-2017-0516
  • Sean Beaupré (beaups) : CVE-2017-0455
  • Seven Shen ( @lingtongshen ) de Trend Micro : CVE-2017-0452
  • Shinichi Matsumoto de Fujitsu : CVE-2017-0498
  • Stéphane Marques de ByteRev : CVE-2017-0489
  • Svetoslav Ganov de Google : CVE-2017-0492
  • Tong Lin , Yuan-Tsung Lo et Xuxian Jiang de l' équipe C0RE : CVE-2017-0333
  • VEO ( @VYSEa ) de l'équipe de réponse aux menaces mobiles , Trend Micro : CVE-2017-0466, CVE-2017-0467, CVE-2017-0468, CVE-2017-0469, CVE-2017-0470, CVE-2017-0471, CVE-2017-0472, CVE-2017-0473, CVE-2017-0482, CVE-2017-0484, CVE-2017-0485, CVE-2017-0486, CVE-2017-0487, CVE-2017-0494, CVE- 2017-0495
  • Wish Wu (吴潍浠 此彼) ( @wish_wu ) du laboratoire de sécurité Ant-financial Light-Year (蚂蚁金服巴斯光年安全实验室) : CVE-2017-0477
  • Yu Pan de l'équipe Vulpecker, Qihoo 360 Technology Co. Ltd : CVE-2017-0517, CVE-2017-0532
  • Yuan-Tsung Lo et Xuxian Jiang de l'équipe C0RE : CVE-2017-0526, CVE-2017-0527
  • Yuqi Lu ( @nikos233 ), Wenke Dou , Dacheng Shao , Mingjian Zhou ( @Mingjian_Zhou ) et Xuxian Jiang de l'équipe C0RE : CVE-2017-0483
  • Zinuo Han ( weibo.com/ele7enxxh ) du Centre de réponse de sécurité de Chengdu, Qihoo 360 Technology Co. Ltd. : CVE-2017-0475, CVE-2017-0497

Niveau du correctif de sécurité du 01/03/2017 : détails de la vulnérabilité

Dans les sections ci-dessous, nous fournissons des détails sur chacune des vulnérabilités de sécurité qui s'appliquent au niveau de correctif 2017-03-01. Il existe une description du problème, une justification de la gravité et un tableau avec le CVE, les références associées, la gravité, les appareils Google mis à jour, les versions AOSP mises à jour (le cas échéant) et la date signalée. Lorsqu'elle sera disponible, nous lierons la modification publique qui a résolu le problème à l'ID de bogue, comme la liste des modifications AOSP. Lorsque plusieurs modifications concernent un seul bug, des références supplémentaires sont liées aux numéros suivant l'ID du bug.

Vulnérabilité d'exécution de code à distance dans OpenSSL et BoringSSL

Une vulnérabilité d'exécution de code à distance dans OpenSSL et BoringSSL pourrait permettre à un attaquant utilisant un fichier spécialement conçu de provoquer une corruption de la mémoire lors du traitement des fichiers et des données. Ce problème est classé comme critique en raison de la possibilité d'exécution de code à distance dans le contexte d'un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date de rapport
CVE-2016-2182 A-32096880 Critique Tous 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 5 août 2016

Vulnérabilité d'exécution de code à distance dans Mediaserver

Une vulnérabilité d'exécution de code à distance dans Mediaserver pourrait permettre à un attaquant utilisant un fichier spécialement conçu de provoquer une corruption de la mémoire lors du traitement des fichiers multimédias et des données. Ce problème est classé comme critique en raison de la possibilité d'exécution de code à distance dans le contexte du processus Mediaserver.

CVE Les références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date de rapport
CVE-2017-0466 A-33139050 [ 2 ] Critique Tous 6.0, 6.0.1, 7.0, 7.1.1 25 novembre 2016
CVE-2017-0467 A-33250932 [ 2 ] Critique Tous 6.0, 6.0.1, 7.0, 7.1.1 30 novembre 2016
CVE-2017-0468 A-33351708 [ 2 ] Critique Tous 6.0, 6.0.1, 7.0, 7.1.1 5 décembre 2016
CVE-2017-0469 A-33450635 Critique Tous 6.0, 6.0.1, 7.0, 7.1.1 8 décembre 2016
CVE-2017-0470 A-33818500 Critique Tous 6.0, 6.0.1, 7.0, 7.1.1 21 décembre 2016
CVE-2017-0471 A-33816782 Critique Tous 6.0, 6.0.1, 7.0, 7.1.1 21 décembre 2016
CVE-2017-0472 A-33862021 Critique Tous 6.0, 6.0.1, 7.0, 7.1.1 23 décembre 2016
CVE-2017-0473 A-33982658 Critique Tous 6.0, 6.0.1, 7.0, 7.1.1 30 décembre 2016
CVE-2017-0474 A-32589224 Critique Tous 7.0, 7.1.1 Google interne

Vulnérabilité d'élévation de privilèges dans le vérificateur de récupération

Une vulnérabilité d'élévation de privilèges dans le vérificateur de récupération pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission locale permanente du périphérique, ce qui peut nécessiter un reflasher du système d'exploitation pour réparer le périphérique.

CVE Les références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date de rapport
CVE-2017-0475 A-31914369 Critique Tous 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 octobre 2016

Vulnérabilité d'exécution de code à distance dans la messagerie AOSP

Une vulnérabilité d'exécution de code à distance dans la messagerie AOSP pourrait permettre à un attaquant utilisant un fichier spécialement conçu de provoquer une corruption de la mémoire lors du traitement des fichiers multimédias et des données. Ce problème est classé comme élevé en raison de la possibilité d'exécution de code à distance dans le contexte d'un processus non privilégié.

CVE Les références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date de rapport
CVE-2017-0476 A-33388925 Haut Tous 6.0, 6.0.1, 7.0, 7.1.1 6 décembre 2016

Vulnérabilité d'exécution de code à distance dans libgdx

Une vulnérabilité d'exécution de code à distance dans libgdx pourrait permettre à un attaquant utilisant un fichier spécialement conçu d'exécuter du code arbitraire dans le contexte d'un processus non privilégié. Ce problème est classé comme élevé en raison de la possibilité d'exécution de code à distance dans une application qui utilise cette bibliothèque.

CVE Les références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date de rapport
CVE-2017-0477 A-33621647 Haut Tous 7.1.1 14 décembre 2016

Vulnérabilité d'exécution de code à distance dans la bibliothèque Framesequence

Une vulnérabilité d'exécution de code à distance dans la bibliothèque Framesequence pourrait permettre à un attaquant utilisant un fichier spécialement conçu d'exécuter du code arbitraire dans le contexte d'un processus non privilégié. Ce problème est classé comme élevé en raison de la possibilité d'exécution de code à distance dans une application qui utilise la bibliothèque Framesequence.

CVE Les références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date de rapport
CVE-2017-0478 A-33718716 Haut Tous 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 16 décembre 2016

Vulnérabilité d’élévation de privilèges dans NFC

Une vulnérabilité d’élévation de privilèges dans NFC pourrait permettre à un attaquant immédiat d’exécuter du code arbitraire dans le contexte d’un processus privilégié. Ce problème est classé comme élevé car il pourrait être utilisé pour obtenir un accès local à des fonctionnalités élevées, qui ne sont normalement pas accessibles à une application tierce.

CVE Les références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date de rapport
CVE-2017-0481 A-33434992 Haut Tous 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 6 novembre 2016

Vulnérabilité d'élévation de privilèges dans Audioserver

Une vulnérabilité d'élévation de privilèges dans Audioserver pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'un processus privilégié. Ce problème est classé comme élevé car il pourrait être utilisé pour obtenir un accès local à des fonctionnalités élevées, qui ne sont normalement pas accessibles à une application tierce.

CVE Les références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date de rapport
CVE-2017-0479 A-32707507 [ 2 ] Haut Tous 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 novembre 2016
CVE-2017-0480 A-32705429 [ 2 ] Haut Tous 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 novembre 2016

Vulnérabilité de déni de service dans Mediaserver

Une vulnérabilité de déni de service dans Mediaserver pourrait permettre à un attaquant d'utiliser un fichier spécialement conçu pour provoquer le blocage ou le redémarrage d'un appareil. Ce problème est classé comme étant de gravité élevée en raison de la possibilité d'un déni de service à distance.

CVE Les références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date de rapport
CVE-2017-0482 A-33090864 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] Haut Tous 6.0, 6.0.1, 7.0, 7.1.1 22 novembre 2016
CVE-2017-0483 A-33137046 [ 2 ] Haut Tous 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 24 novembre 2016
CVE-2017-0484 A-33298089 [ 2 ] Haut Tous 6.0, 6.0.1, 7.0, 7.1.1 1 décembre 2016
CVE-2017-0485 A-33387820 Haut Tous 6.0, 6.0.1, 7.0, 7.1.1 6 décembre 2016
CVE-2017-0486 A-33621215 Haut Tous 6.0, 6.0.1, 7.0, 7.1.1 14 décembre 2016
CVE-2017-0487 A-33751193 Haut Tous 6.0, 6.0.1, 7.0, 7.1.1 19 décembre 2016
CVE-2017-0488 A-34097213 Haut Tous 6.0, 6.0.1, 7.0, 7.1.1 Google interne

Vulnérabilité d'élévation de privilèges dans Location Manager

Une vulnérabilité d’élévation de privilèges dans Location Manager pourrait permettre à une application malveillante locale de contourner les protections du système d’exploitation pour les données de localisation. Ce problème est classé comme modéré car il pourrait être utilisé pour générer des données inexactes.

CVE Les références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date de rapport
CVE-2017-0489 A-33091107 Modéré Tous 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 20 novembre 2016

Vulnérabilité d’élévation de privilèges dans le Wi-Fi

Une vulnérabilité d’élévation de privilèges dans le Wi-Fi pourrait permettre à une application malveillante locale de supprimer les données utilisateur. Ce problème est classé comme modéré, car il s'agit d'un contournement local des exigences d'interaction utilisateur qui nécessiteraient normalement l'initiation ou l'autorisation de l'utilisateur.

CVE Les références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date de rapport
CVE-2017-0490 A-33178389 [ 2 ] [ 3 ] Modéré Tous 6.0, 6.0.1, 7.0, 7.1.1 25 novembre 2016

Vulnérabilité d'élévation de privilèges dans le gestionnaire de packages

Une vulnérabilité d'élévation de privilèges dans Package Manager pourrait permettre à une application malveillante locale d'empêcher les utilisateurs de désinstaller des applications ou de supprimer des autorisations d'applications. Ce problème est classé comme modéré car il s’agit d’un contournement local des exigences d’interaction utilisateur.

CVE Les références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date de rapport
CVE-2017-0491 A-32553261 Modéré Tous 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Google interne

Vulnérabilité d'élévation de privilèges dans l'interface utilisateur du système

Une vulnérabilité d’élévation de privilèges dans l’interface utilisateur du système pourrait permettre à une application malveillante locale de créer une superposition d’interface utilisateur couvrant tout l’écran. Ce problème est classé comme modéré, car il s'agit d'un contournement local des exigences d'interaction utilisateur qui nécessiteraient normalement l'initiation ou l'autorisation de l'utilisateur.

CVE Les références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date de rapport
CVE-2017-0492 A-30150688 Modéré Tous 7.1.1 Google interne

Vulnérabilité de divulgation d’informations dans la messagerie AOSP

Une vulnérabilité de divulgation d'informations dans AOSP Messaging pourrait permettre à un attaquant distant utilisant un fichier spécialement conçu d'accéder à des données en dehors de ses niveaux d'autorisation. Ce problème est classé comme modéré car il pourrait être utilisé pour accéder à des données sensibles sans autorisation.

CVE Les références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date de rapport
CVE-2017-0494 A-32764144 Modéré Tous 6.0, 6.0.1, 7.0, 7.1.1 9 novembre 2016

Vulnérabilité de divulgation d'informations dans Mediaserver

Une vulnérabilité de divulgation d'informations dans Mediaserver pourrait permettre à une application malveillante locale d'accéder à des données en dehors de ses niveaux d'autorisation. Ce problème est classé comme modéré car il pourrait être utilisé pour accéder à des données sensibles sans autorisation.

CVE Les références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date de rapport
CVE-2017-0495 A-33552073 Modéré Tous 6.0, 6.0.1, 7.0, 7.1.1 11 décembre 2016

Vulnérabilité de déni de service dans l'assistant d'installation

Une vulnérabilité de déni de service dans l'assistant d'installation pourrait permettre à une application malveillante locale de bloquer temporairement l'accès à un appareil affecté. Ce problème est classé comme modéré car il peut nécessiter une réinitialisation des paramètres d'usine pour réparer l'appareil.

CVE Les références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date de rapport
CVE-2017-0496 A-31554152* Modéré Aucun** 5.0.2, 5.1.1, 6.0, 6.0.1 14 septembre 2016

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Google disponibles sur le site Google Developer .

** Les appareils Google pris en charge sur Android 7.0 ou version ultérieure qui ont installé toutes les mises à jour disponibles ne sont pas concernés par cette vulnérabilité.

Vulnérabilité de déni de service dans Mediaserver

Une vulnérabilité de déni de service dans Mediaserver pourrait permettre à un attaquant d'utiliser un fichier spécialement conçu pour provoquer le blocage ou le redémarrage d'un appareil. Ce problème est classé comme modéré car il nécessite une configuration de périphérique inhabituelle.

CVE Les références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date de rapport
CVE-2017-0497 A-33300701 Modéré Tous 7.0, 7.1.1 2 décembre 2016

Vulnérabilité de déni de service dans l'assistant d'installation

Une vulnérabilité de déni de service dans l'assistant de configuration pourrait permettre à un attaquant local d'exiger une connexion au compte Google après une réinitialisation d'usine. Ce problème est classé comme modéré car il peut nécessiter une réinitialisation des paramètres d'usine pour réparer l'appareil.

CVE Les références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date de rapport
CVE-2017-0498 A-30352311 [ 2 ] Modéré Tous 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Google interne

Vulnérabilité de déni de service dans Audioserver

Une vulnérabilité de déni de service dans Audioserver pourrait permettre à une application malveillante locale de provoquer le blocage ou le redémarrage d'un appareil. Ce problème est considéré comme faible en raison de la possibilité d'un déni de service temporaire.

CVE Les références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date de rapport
CVE-2017-0499 A-32095713 Faible Tous 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 11 octobre 2016

Niveau du correctif de sécurité du 05/03/2017 : détails de la vulnérabilité

Dans les sections ci-dessous, nous fournissons des détails sur chacune des vulnérabilités de sécurité qui s'appliquent au niveau de correctif 2017-03-05. Il existe une description du problème, une justification de la gravité et un tableau avec le CVE, les références associées, la gravité, les appareils Google mis à jour, les versions AOSP mises à jour (le cas échéant) et la date signalée. Lorsqu'elle sera disponible, nous lierons la modification publique qui a résolu le problème à l'ID de bogue, comme la liste des modifications AOSP. Lorsque plusieurs modifications concernent un seul bug, des références supplémentaires sont liées aux numéros suivant l'ID du bug.

Vulnérabilité d'élévation de privilèges dans les composants MediaTek

Une vulnérabilité d'élévation de privilèges dans les composants MediaTek, notamment le pilote M4U, le pilote audio, le pilote d'écran tactile, le pilote GPU et le pilote Command Queue, pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission locale permanente du périphérique, ce qui peut nécessiter un reflasher du système d'exploitation pour réparer le périphérique.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0500 A-28429685*
M-ALPS02710006
Critique Aucun** 27 avril 2016
CVE-2017-0501 A-28430015*
M-ALPS02708983
Critique Aucun** 27 avril 2016
CVE-2017-0502 A-28430164*
M-ALPS02710027
Critique Aucun** 27 avril 2016
CVE-2017-0503 A-28449045*
M-ALPS02710075
Critique Aucun** 28 avril 2016
CVE-2017-0504 A-30074628*
M-ALPS02829371
Critique Aucun** 9 juillet 2016
CVE-2017-0505 A-31822282*
M-ALPS02992041
Critique Aucun** 28 septembre 2016
CVE-2017-0506 A-32276718*
M-ALPS03006904
Critique Aucun** 18 octobre 2016

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

** Les appareils Google pris en charge sur Android 7.0 ou version ultérieure qui ont installé toutes les mises à jour disponibles ne sont pas concernés par cette vulnérabilité.

Vulnérabilité d'élévation de privilèges dans le pilote GPU NVIDIA

Une vulnérabilité d'élévation de privilèges dans le pilote GPU NVIDIA pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission locale permanente du périphérique, ce qui peut nécessiter un reflasher du système d'exploitation pour réparer le périphérique.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0337 A-31992762*
N-CVE-2017-0337
Critique Pixel C 6 octobre 2016
CVE-2017-0338 A-33057977*
N-CVE-2017-0338
Critique Pixel C 21 novembre 2016
CVE-2017-0333 A-33899363*
N-CVE-2017-0333
Critique Pixel C 25 décembre 2016
CVE-2017-0306 A-34132950*
N-CVE-2017-0306
Critique Nexus 9 6 janvier 2017
CVE-2017-0335 A-33043375*
N-CVE-2017-0335
Critique Pixel C Google interne

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d'élévation de privilèges dans le sous-système ION du noyau

Une vulnérabilité d'élévation de privilèges dans le sous-système ION du noyau pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission locale permanente du périphérique, ce qui peut nécessiter un reflasher du système d'exploitation pour réparer le périphérique.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0507 A-31992382* Critique Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL 6 octobre 2016
CVE-2017-0508 A-33940449* Critique Pixel C 28 décembre 2016

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d'élévation de privilèges dans le pilote Wi-Fi Broadcom

Une vulnérabilité d'élévation de privilèges dans le pilote Wi-Fi Broadcom pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission locale permanente du périphérique, ce qui peut nécessiter un reflasher du système d'exploitation pour réparer le périphérique.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0509 A-32124445*
B-RB#110688
Critique Aucun** 12 octobre 2016

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

** Les appareils Google pris en charge sur Android 7.0 ou version ultérieure qui ont installé toutes les mises à jour disponibles ne sont pas concernés par cette vulnérabilité.

Vulnérabilité d'élévation de privilèges dans le débogueur FIQ du noyau

Une vulnérabilité d'élévation de privilèges dans le débogueur FIQ du noyau pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission locale permanente du périphérique, ce qui peut nécessiter un reflasher du système d'exploitation pour réparer le périphérique.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0510 A-32402555* Critique Nexus 9 25 octobre 2016

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d'élévation de privilèges dans le pilote GPU Qualcomm

Une vulnérabilité d'élévation de privilèges dans le pilote GPU Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission locale permanente du périphérique, ce qui peut nécessiter un reflasher du système d'exploitation pour réparer le périphérique.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2016-8479 A-31824853*
QC-CR#1093687
Critique Android One, Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL 29 septembre 2016

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d'élévation de privilèges dans le sous-système réseau du noyau

Une vulnérabilité d'élévation de privilèges dans le sous-système réseau du noyau pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission locale permanente du périphérique, ce qui peut nécessiter un reflasher du système d'exploitation pour réparer le périphérique.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2016-9806 A-33393474
Noyau en amont
Critique Pixel C, Pixel, Pixel XL 4 décembre 2016
CVE-2016-10200 A-33753815
Noyau en amont
Critique Nexus 5X, Nexus 6P, Pixel, Pixel XL 19 décembre 2016

Vulnérabilités dans les composants Qualcomm

La vulnérabilité suivante affecte les composants Qualcomm et est décrite plus en détail dans le bulletin de sécurité Qualcomm AMSS de septembre 2016.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2016-8484 A-28823575** Critique Aucun*** Qualcomm interne
CVE-2016-8485 A-28823681** Critique Aucun*** Qualcomm interne
CVE-2016-8486 A-28823691** Critique Aucun*** Qualcomm interne
CVE-2016-8487 A-28823724** Critique Aucun*** Qualcomm interne
CVE-2016-8488 A-31625756** Critique Aucun*** Qualcomm interne

* L'indice de gravité de ces vulnérabilités a été déterminé par le fournisseur.

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

*** Les appareils Google pris en charge sous Android 7.0 ou version ultérieure qui ont installé toutes les mises à jour disponibles ne sont pas concernés par cette vulnérabilité.

Vulnérabilité d'élévation de privilèges dans le sous-système réseau du noyau

Une vulnérabilité d'élévation de privilèges dans le sous-système réseau du noyau pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d’abord de compromettre un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2016-8655 A-33358926
Noyau en amont
Haut Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL 12 octobre 2016
CVE-2016-9793 A-33363517
Noyau en amont
Haut Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL 2 décembre 2016

Vulnérabilité d'élévation de privilèges dans le pilote matériel d'entrée Qualcomm

Une vulnérabilité d'élévation de privilèges dans le pilote matériel d'entrée Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d’abord de compromettre un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0516 A-32341680*
QC-CR#1096301
Haut Android One, Pixel, Pixel XL 21 octobre 2016

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d'élévation de privilèges dans le pilote de capteur matériel MediaTek

Une vulnérabilité d'élévation de privilèges dans le pilote du capteur matériel MediaTek pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d’abord de compromettre un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0517 A-32372051*
M-ALPS02973195
Haut Aucun** 22 octobre 2016

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

** Les appareils Google pris en charge sur Android 7.0 ou version ultérieure qui ont installé toutes les mises à jour disponibles ne sont pas concernés par cette vulnérabilité.

Vulnérabilité d'élévation de privilèges dans le pilote Qualcomm ADSPRPC

Une vulnérabilité d'élévation de privilèges dans le pilote Qualcomm ADSPRPC pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d’abord de compromettre un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0457 A-31695439*
QC-CR#1086123
QC-CR#1100695
Haut Nexus 5X, Nexus 6P, Pixel, Pixel XL 22 septembre 2016

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d'élévation de privilèges dans le pilote du capteur d'empreintes digitales Qualcomm

Une vulnérabilité d'élévation de privilèges dans le pilote du capteur d'empreintes digitales Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d’abord de compromettre un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0518 A-32370896*
QC-CR#1086530
Haut Pixel, PixelXL 24 octobre 2016
CVE-2017-0519 A-32372915*
QC-CR#1086530
Haut Pixel, PixelXL 24 octobre 2016

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d'élévation de privilèges dans le pilote du moteur de chiffrement Qualcomm

Une vulnérabilité d'élévation de privilèges dans le pilote du moteur de chiffrement Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d’abord de compromettre un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0520 A-31750232
QC-CR#1082636
Haut Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 24 septembre 2016

Vulnérabilité d'élévation de privilèges dans le pilote de caméra Qualcomm

Une vulnérabilité d'élévation de privilèges dans le pilote de caméra Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d’abord de compromettre un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0458 A-32588962
QC-CR#1089433
Haut Pixel, PixelXL 31 octobre 2016
CVE-2017-0521 A-32919951
QC-CR#1097709
Haut Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 15 novembre 2016

Vulnérabilité d’élévation de privilèges dans MediaTek APK

Une vulnérabilité d’élévation de privilèges dans un APK MediaTek pourrait permettre à une application malveillante locale d’exécuter du code arbitraire dans le contexte d’un processus privilégié. Ce problème est classé comme élevé en raison de la possibilité d’exécution de code arbitraire local dans un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0522 A-32916158*
M-ALPS03032516
Haut Aucun** 15 novembre 2016

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

** Les appareils Google pris en charge sur Android 7.0 ou version ultérieure qui ont installé toutes les mises à jour disponibles ne sont pas concernés par cette vulnérabilité.

Vulnérabilité d'élévation de privilèges dans le pilote Wi-Fi Qualcomm

Une vulnérabilité d'élévation de privilèges dans le pilote Wi-Fi Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d’abord de compromettre un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0464 A-32940193
QC-CR#1102593
Haut Nexus 5X, Pixel, Pixel XL 15 novembre 2016
CVE-2017-0453 A-33979145
QC-CR#1105085
Haut Nexus 5X, Android One 30 décembre 2016
CVE-2017-0523 A-32835279
QC-CR#1096945
Haut Aucun* Google interne

* Les appareils Google pris en charge sur Android 7.0 ou version ultérieure qui ont installé toutes les mises à jour disponibles ne sont pas concernés par cette vulnérabilité.

Vulnérabilité d'élévation de privilèges dans le pilote d'écran tactile Synaptics

Une vulnérabilité d'élévation de privilèges dans le pilote d'écran tactile Synaptics pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d’abord de compromettre un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0524 A-33002026 Haut Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL 18 novembre 2016

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d'élévation de privilèges dans le pilote Qualcomm IPA

Une vulnérabilité d'élévation de privilèges dans le pilote Qualcomm IPA pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d’abord de compromettre un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0456 A-33106520*
QC-CR#1099598
Haut Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 23 novembre 2016
CVE-2017-0525 A-33139056*
QC-CR#1097714
Haut Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 25 novembre 2016

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d'élévation de privilèges dans le pilote HTC Sensor Hub

Une vulnérabilité d'élévation de privilèges dans le pilote HTC Sensor Hub pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d’abord de compromettre un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0526 A-33897738* Haut Nexus 9 25 décembre 2016
CVE-2017-0527 A-33899318* Haut Nexus 9, Pixel, Pixel XL 25 décembre 2016

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d'élévation de privilèges dans le pilote GPU NVIDIA

Une vulnérabilité d'élévation de privilèges dans le pilote GPU NVIDIA pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission locale permanente du périphérique, ce qui peut nécessiter un reflasher du système d'exploitation pour réparer le périphérique.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0307 A-33177895*
N-CVE-2017-0307
Haut Aucun** 28 novembre 2016

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

** Les appareils Google pris en charge sur Android 7.0 ou version ultérieure qui ont installé toutes les mises à jour disponibles ne sont pas concernés par cette vulnérabilité.

Vulnérabilité d'élévation de privilèges dans le pilote réseau Qualcomm

Une vulnérabilité d'élévation de privilèges dans le pilote réseau Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d’abord de compromettre un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0463 A-33277611
QC-CR#1101792
Haut Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 30 novembre 2016
CVE-2017-0460 A-31252965*
QC-CR#1098801
Haut Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL Google interne

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d'élévation de privilèges dans le sous-système de sécurité du noyau

Une vulnérabilité d'élévation de privilèges dans le sous-système de sécurité du noyau pourrait permettre à une application malveillante locale d'exécuter du code dans le contexte d'un processus privilégié. Ce problème est classé comme élevé car il s’agit d’un contournement général pour une défense en profondeur au niveau du noyau ou une technologie d’atténuation des exploits.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0528 A-33351919* Haut Pixel, PixelXL 4 décembre 2016

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité d'élévation de privilèges dans le pilote Qualcomm SPCom

Une vulnérabilité d'élévation de privilèges dans le pilote Qualcomm SPCom pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme élevé car il nécessite d’abord de compromettre un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2016-5856 A-32610665
QC-CR#1094078
Haut Aucun* Google interne
CVE-2016-5857 A-34386529
QC-CR#1094140
Haut Aucun* Google interne

* Les appareils Google pris en charge sur Android 7.0 ou version ultérieure qui ont installé toutes les mises à jour disponibles ne sont pas concernés par cette vulnérabilité.

Vulnérabilité de divulgation d'informations dans le sous-système réseau du noyau

Une vulnérabilité de divulgation d'informations dans le sous-système réseau du noyau pourrait permettre à un attaquant local et proche d'accéder à des informations sensibles. Ce problème est classé comme élevé car il pourrait être utilisé pour accéder aux données sans autorisation.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2014-8709 A-34077221
Noyau en amont
Haut Joueur Nexus 9 novembre 2014

Vulnérabilité de divulgation d'informations dans le pilote MediaTek

Une vulnérabilité de divulgation d'informations dans le pilote MediaTek pourrait permettre à une application malveillante locale d'accéder à des données en dehors de ses niveaux d'autorisation. Ce problème est classé comme élevé car il pourrait être utilisé pour accéder à des données sensibles sans autorisation explicite de l'utilisateur.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0529 A-28449427*
M-ALPS02710042
Haut Aucun** 27 avril 2016

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

** Les appareils Google pris en charge sur Android 7.0 ou version ultérieure qui ont installé toutes les mises à jour disponibles ne sont pas concernés par cette vulnérabilité.

Vulnérabilité de divulgation d'informations dans le chargeur de démarrage Qualcomm

Une vulnérabilité de divulgation d'informations dans le chargeur de démarrage Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du chargeur de démarrage. Ce problème est classé comme élevé car il s’agit d’un contournement général pour une défense en profondeur au niveau du chargeur de démarrage ou pour exploiter une technologie d’atténuation.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0455 A-32370952
QC-CR#1082755
Haut Pixel, PixelXL 21 octobre 2016

Vulnérabilité de divulgation d'informations dans le pilote d'alimentation Qualcomm

Une vulnérabilité de divulgation d'informations dans le pilote d'alimentation Qualcomm pourrait permettre à une application malveillante locale d'accéder à des données en dehors de ses niveaux d'autorisation. Ce problème est classé comme élevé car il pourrait être utilisé pour accéder à des données sensibles sans autorisation explicite de l'utilisateur.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2016-8483 A-33745862
QC-CR#1035099
Haut Nexus 5X, Nexus 6P 19 décembre 2016

Vulnérabilité de divulgation d'informations dans le pilote GPU NVIDIA

Une vulnérabilité de divulgation d'informations dans le pilote GPU NVIDIA pourrait permettre à une application malveillante locale d'accéder à des données en dehors de ses niveaux d'autorisation. Ce problème est classé comme élevé car il pourrait être utilisé pour accéder à des données sensibles sans autorisation explicite de l'utilisateur.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0334 A-33245849*
N-CVE-2017-0334
Haut Pixel C 30 novembre 2016
CVE-2017-0336 A-33042679*
N-CVE-2017-0336
Haut Pixel C Google interne

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité de déni de service dans le sous-système cryptographique du noyau

Une vulnérabilité de déni de service dans le sous-système cryptographique du noyau pourrait permettre à un attaquant distant d'utiliser un paquet réseau spécialement conçu pour provoquer le blocage ou le redémarrage d'un périphérique. Ce problème est classé comme élevé en raison de la possibilité d'un déni de service à distance.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2016-8650 A-33401771
Noyau en amont
Haut Nexus 5X, Nexus 6P, Pixel, Pixel XL 12 octobre 2016

Vulnérabilité d'élévation de privilèges dans le pilote de caméra Qualcomm (spécifique à l'appareil)

Une vulnérabilité d'élévation de privilèges dans le pilote de caméra Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme modéré car il nécessite d’abord de compromettre un processus privilégié et est atténué par les configurations actuelles de la plateforme.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2016-8417 A-32342399
QC-CR#1088824
Modéré Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 21 octobre 2016

Vulnérabilité de divulgation d'informations dans le pilote Wi-Fi Qualcomm

Une vulnérabilité de divulgation d'informations dans le pilote Wi-Fi Qualcomm pourrait permettre à une application malveillante locale d'accéder à des données en dehors de ses niveaux d'autorisation. Ce problème est classé comme modéré car il nécessite d’abord de compromettre un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0461 A-32073794
QC-CR#1100132
Modéré Android One, Nexus 5X, Pixel, Pixel XL 9 octobre 2016
CVE-2017-0459 A-32644895
QC-CR#1091939
Modéré Pixel, PixelXL 3 novembre 2016
CVE-2017-0531 A-32877245
QC-CR#1087469
Modéré Android One, Nexus 5X, Nexus 6P, Pixel, Pixel XL 13 novembre 2016

Vulnérabilité de divulgation d'informations dans le pilote du codec vidéo MediaTek

Une vulnérabilité de divulgation d'informations dans le pilote du codec vidéo MediaTek pourrait permettre à une application malveillante locale d'accéder à des données en dehors de ses niveaux d'autorisation. Ce problème est classé comme modéré car il nécessite d’abord de compromettre un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0532 A-32370398*
M-ALPS03069985
Modéré Aucun** 22 octobre 2016

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

** Les appareils Google pris en charge sur Android 7.0 ou version ultérieure qui ont installé toutes les mises à jour disponibles ne sont pas concernés par cette vulnérabilité.

Vulnérabilité de divulgation d'informations dans le pilote vidéo Qualcomm

Une vulnérabilité de divulgation d'informations dans le pilote vidéo Qualcomm pourrait permettre à une application malveillante locale d'accéder à des données en dehors de ses niveaux d'autorisation. Ce problème est classé comme modéré car il nécessite d’abord de compromettre un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0533 A-32509422
QC-CR#1088206
Modéré Pixel, PixelXL 27 octobre 2016
CVE-2017-0534 A-32508732
QC-CR#1088206
Modéré Pixel, PixelXL 28 octobre 2016
CVE-2016-8416 A-32510746
QC-CR#1088206
Modéré Pixel, PixelXL 28 octobre 2016
CVE-2016-8478 A-32511270
QC-CR#1088206
Modéré Pixel, PixelXL 28 octobre 2016

Vulnérabilité de divulgation d'informations dans le pilote de caméra Qualcomm

Une vulnérabilité de divulgation d'informations dans le pilote de la caméra Qualcomm pourrait permettre à une application malveillante locale d'accéder à des données en dehors de ses niveaux d'autorisation. Ce problème est classé comme modéré car il nécessite d’abord de compromettre un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2016-8413 A-32709702
QC-CR#518731
Modéré Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 4 novembre 2016
CVE-2016-8477 A-32720522
QC-CR#1090007 [ 2 ]
Modéré Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 7 novembre 2016

Vulnérabilité de divulgation d'informations dans le pilote du codec audio HTC

Une vulnérabilité de divulgation d'informations dans le pilote du codec audio HTC pourrait permettre à une application malveillante locale d'accéder à des données en dehors de ses niveaux d'autorisation. Ce problème est classé comme modéré car il nécessite d’abord de compromettre un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0535 A-33547247* Modéré Nexus 9 11 décembre 2016

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité de divulgation d'informations dans le pilote d'écran tactile Synaptics

Une vulnérabilité de divulgation d'informations dans le pilote d'écran tactile Synaptics pourrait permettre à une application malveillante locale d'accéder à des données en dehors de ses niveaux d'autorisation. Ce problème est classé comme modéré car il nécessite d’abord de compromettre un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0536 A-33555878* Modéré Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL 12 décembre 2016

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité de divulgation d'informations dans le pilote de gadget USB du noyau

Une vulnérabilité de divulgation d'informations dans le pilote du gadget USB du noyau pourrait permettre à une application malveillante locale d'accéder à des données en dehors de ses niveaux d'autorisation. Ce problème est classé comme modéré car il nécessite d’abord de compromettre un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0537 A-31614969* Modéré Pixel C Google interne

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Vulnérabilité de divulgation d'informations dans le pilote de caméra Qualcomm

Une vulnérabilité de divulgation d'informations dans le pilote de la caméra Qualcomm pourrait permettre à une application malveillante locale d'accéder à des données en dehors de ses niveaux d'autorisation. Ce problème est classé comme faible car il nécessite d’abord de compromettre un processus privilégié.

CVE Les références Gravité Appareils Google mis à jour Date de rapport
CVE-2017-0452 A-32873615*
QC-CR#1093693
Faible Nexus 5X, Nexus 6P, Android One 10 novembre 2016

* Le correctif pour ce problème n'est pas disponible publiquement. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google .

Questions et réponses courantes

Cette section répond aux questions courantes qui peuvent survenir après la lecture de ce bulletin.

1. Comment puis-je déterminer si mon appareil est mis à jour pour résoudre ces problèmes ?

Pour savoir comment vérifier le niveau du correctif de sécurité d'un appareil, lisez les instructions sur le calendrier de mise à jour des Pixel et Nexus .

  • Les niveaux de correctif de sécurité du 01/03/2017 ou version ultérieure résolvent tous les problèmes associés au niveau de correctif de sécurité du 01/03/2017.
  • Les niveaux de correctif de sécurité du 05/03/2017 ou version ultérieure résolvent tous les problèmes associés au niveau de correctif de sécurité du 05/03/2017 et à tous les niveaux de correctifs précédents.

Les fabricants d'appareils qui incluent ces mises à jour doivent définir le niveau de chaîne de correctifs sur :

  • [ro.build.version.security_patch] :[2017-03-01]
  • [ro.build.version.security_patch] :[2017-03-05]

2. Pourquoi ce bulletin comporte-t-il deux niveaux de correctifs de sécurité ?

Ce bulletin propose deux niveaux de correctifs de sécurité afin que les partenaires Android aient la possibilité de corriger plus rapidement un sous-ensemble de vulnérabilités similaires sur tous les appareils Android. Les partenaires Android sont encouragés à résoudre tous les problèmes signalés dans ce bulletin et à utiliser le dernier niveau de correctif de sécurité.

  • Les appareils qui utilisent le niveau de correctif de sécurité du 1er mars 2017 doivent inclure tous les problèmes associés à ce niveau de correctif de sécurité, ainsi que les correctifs pour tous les problèmes signalés dans les bulletins de sécurité précédents.
  • Les appareils qui utilisent le niveau de correctif de sécurité du 5 mars 2017 ou plus récent doivent inclure tous les correctifs applicables dans ce bulletin de sécurité (et les précédents).

Les partenaires sont encouragés à regrouper les correctifs pour tous les problèmes qu'ils résolvent dans une seule mise à jour.

3. Comment puis-je déterminer quels appareils Google sont concernés par chaque problème ?

Dans les sections détaillées des vulnérabilités de sécurité du 01/03/2017 et du 05/03/2017 , chaque tableau comporte une colonne Appareils Google mis à jour qui couvre la gamme d'appareils Google concernés mis à jour pour chaque problème. Cette colonne propose quelques options :

  • Tous les appareils Google : si un problème affecte les appareils Tous et Pixel, le tableau affichera "Tous" dans la colonne Appareils Google mis à jour . "Tous" englobe les appareils pris en charge suivants : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel et Pixel XL.
  • Certains appareils Google : si un problème n'affecte pas tous les appareils Google, les appareils Google concernés sont répertoriés dans la colonne Appareils Google mis à jour .
  • Aucun appareil Google : si aucun appareil Google exécutant Android 7.0 n'est concerné par le problème, le tableau affichera "Aucun" dans la colonne Appareils Google mis à jour .

4. À quoi correspondent les entrées de la colonne des références ?

Les entrées sous la colonne Références du tableau des détails de la vulnérabilité peuvent contenir un préfixe identifiant l'organisation à laquelle appartient la valeur de référence. Ces préfixes correspondent comme suit :

Préfixe Référence
UN- ID de bogue Android
QC- Numéro de référence Qualcomm
M- Numéro de référence MediaTek
N- Numéro de référence NVIDIA
B- Numéro de référence Broadcom

Révisions

  • 06 mars 2017 : Bulletin publié.
  • 7 mars 2017 : Bulletin révisé pour inclure les liens AOSP.