Опубликовано 4 апреля 2016 г. | Обновлено 19 декабря 2016 г.
Мы выпустили обновление безопасности для устройств Nexus посредством беспроводного обновления (OTA) в рамках ежемесячного выпуска бюллетеня по безопасности Android. Образы прошивки Nexus также были размещены на сайте разработчиков Google . Уровни исправлений безопасности от 2 апреля 2016 г. или более поздних версий устраняют эти проблемы (инструкции по проверке уровня исправлений безопасности см. в документации Nexus ).
Партнеры были уведомлены о проблемах, описанных в бюллетене, 16 марта 2016 года или ранее. Там, где это применимо, исправления исходного кода для этих проблем были выпущены в репозиторий Android Open Source Project (AOSP).
Наиболее серьезной из этих проблем является критическая уязвимость безопасности, которая может сделать возможным удаленное выполнение кода на уязвимом устройстве с помощью нескольких методов, таких как электронная почта, просмотр веб-страниц и MMS при обработке мультимедийных файлов. Оценка серьезности основана на влиянии, которое эксплуатация уязвимости может оказать на затронутое устройство, при условии, что средства защиты платформы и службы отключены в целях разработки или в случае успешного обхода.
В рекомендациях по безопасности Android от 18 марта 2016 г. ранее обсуждалось использование CVE-2015-1805 приложением для рутирования. CVE-2015-1805 устранена в этом обновлении. Сообщений об активной эксплуатации клиентов или злоупотреблении другими недавно обнаруженными проблемами не поступало. Дополнительную информацию о средствах защиты платформы безопасности Android и службах защиты, таких как SafetyNet, которые повышают безопасность платформы Android, можно найти в разделе «Средства снижения риска».
Смягчения
Это краткий обзор мер, обеспечиваемых платформой безопасности Android и средствами защиты служб, такими как SafetyNet. Эти возможности снижают вероятность успешного использования уязвимостей безопасности на Android.
- Использование многих проблем на Android усложняется из-за усовершенствований в новых версиях платформы Android. Мы рекомендуем всем пользователям по возможности обновиться до последней версии Android.
- Команда безопасности Android активно отслеживает злоупотребления с помощью Verify Apps и SafetyNet, которые предупреждают пользователя об обнаруженных потенциально вредоносных приложениях, которые собираются установить. Инструменты рутирования устройств запрещены в Google Play. Чтобы защитить пользователей, которые устанавливают приложения из-за пределов Google Play, функция Verify Apps включена по умолчанию и предупреждает пользователей об известных приложениях с root-доступом. Verify Apps пытается идентифицировать и заблокировать установку известных вредоносных приложений, использующих уязвимость повышения привилегий. Если такое приложение уже установлено, Verify Apps уведомит пользователя и попытается удалить все такие приложения.
- При необходимости приложения Google Hangouts и Messenger не передают мультимедиа автоматически в такие процессы, как медиасервер.
Благодарности
Команда Android Security хотела бы поблагодарить этих исследователей за их вклад:
- Абхишек Арья, Оливер Чанг и Мартин Барбелла из группы безопасности Google Chrome: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838.
- Анестис Бехцудис ( @anestisb ) из CENSUS SA: CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
- Брэд Эбингер и Сантос Кордон из команды Google Telecom: CVE-2016-0847.
- Доминик Шюрманн из Института операционных систем и компьютерных сетей Брауншвейгского технического университета: CVE-2016-2425.
- Гэнцзя Чен ( @chengjia4574 ), pjf , Цзяньцян Чжао ( @jianqiangzhao ) из IceSword Lab, Qihoo 360: CVE-2016-0844
- Джордж Пискас из Федеральной политехнической школы Лозанны : CVE-2016-2426.
- Гуан Гун (龚广) ( @oldfresher ) из Qihoo 360 Technology Co.Ltd : CVE-2016-2412, CVE-2016-2416
- Джеймс Форшоу из Google Project Zero: CVE-2016-2417, CVE-2016-0846.
- Цзяньцян Чжао( @jianqiangzhao ), pjf и Гэнцзя Чен ( @chengjia4574 ) из IceSword Lab, Qihoo 360: CVE-2016-2410, CVE-2016-2411
- Цзяньцян Чжао ( @jianqiangzhao ) и сотрудник IceSword Lab, Qihoo 360: CVE-2016-2409
- Нэнси Ванг из Vertu Corporation LTD: CVE-2016-0837.
- Насим Замир : CVE-2016-2409.
- Нико Голд ( @iamnion ) из Qualcomm Product Security Initiative: CVE-2016-2420, CVE-2016-0849.
- Питер Пи ( @heisecode ) из Trend Micro: CVE-2016-2418, CVE-2016-2413, CVE-2016-2419.
- Ричард Шупак: CVE-2016-2415.
- Ромен Труве из MWR Labs : CVE-2016-0850.
- Стюарт Хендерсон: CVE-2016-2422.
- Вишват Мохан из Android Security: CVE-2016-2424.
- Вейчао Сан ( @sunblate ) из Alibaba Inc.: CVE-2016-2414.
- Виш Ву ( @wish_wu ) из Trend Micro Inc.: CVE-2016-0843.
- Ёнджун Ли и Сяофэн Ван из Университета Индианы в Блумингтоне, Тунсинь Ли и Синьхуэй Хан из Пекинского университета: CVE-2016-0848
Команда Android Security также благодарит Юань-Цунг Ло , Венке Доу , Чиачи Ву ( @chiachih_wu ) и Сюсяня Цзяна из команды C0RE и Zimperium за их вклад в разработку CVE-2015-1805.
Подробности об уязвимостях безопасности
В разделах ниже содержится подробная информация о каждой уязвимости безопасности, применимой к уровню исправления от 2016-04-02. Приведено описание проблемы, обоснование серьезности и таблица с CVE, связанной ошибкой, серьезностью, затронутыми версиями и датой сообщения. Когда это будет доступно, мы свяжем коммит AOSP, в котором устранена проблема, с идентификатором ошибки. Если несколько изменений относятся к одной ошибке, дополнительные ссылки AOSP связаны с номерами, следующими за идентификатором ошибки.
Уязвимость удаленного выполнения кода в DHCPCD
Уязвимость в службе протокола динамической конфигурации хоста может позволить злоумышленнику вызвать повреждение памяти, что может привести к удаленному выполнению кода. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте DHCP-клиента. Служба DHCP имеет доступ к привилегиям, к которым сторонние приложения обычно не имеют доступа.
CVE | Баги с AOSP-ссылками | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2014-6060 | АНДРОИД-15268738 | Критический | 4.4.4 | 30 июля 2014 г. |
CVE-2014-6060 | АНДРОИД-16677003 | Критический | 4.4.4 | 30 июля 2014 г. |
CVE-2016-1503 | АНДРОИД-26461634 | Критический | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 января 2016 г. |
Уязвимость удаленного выполнения кода в медиакодеке
Во время обработки медиафайла и данных специально созданного файла уязвимости в медиакодеке, используемом медиасервером, могут позволить злоумышленнику вызвать повреждение памяти и удаленное выполнение кода в качестве процесса медиасервера.
Затронутая функциональность предоставляется как основная часть операционной системы, и существует множество приложений, которые позволяют получить доступ к ней с помощью удаленного контента, в первую очередь MMS и воспроизведения мультимедиа в браузере.
Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте службы медиасервера. Служба медиасервера имеет доступ к аудио- и видеопотокам, а также доступ к привилегиям, к которым сторонние приложения обычно не имеют доступа.
CVE | Ошибка | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-0834 | АНДРОИД-26220548* | Критический | 6.0, 6.0.1 | 16 декабря 2015 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость удаленного выполнения кода на медиасервере
Во время обработки медиафайла и данных специально созданного файла уязвимости в медиасервере могут позволить злоумышленнику вызвать повреждение памяти и удаленное выполнение кода в качестве процесса медиасервера.
Затронутая функциональность предоставляется как основная часть операционной системы, и существует множество приложений, которые позволяют получить доступ к ней с помощью удаленного контента, в первую очередь MMS и воспроизведения мультимедиа в браузере.
Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте службы медиасервера. Служба медиасервера имеет доступ к аудио- и видеопотокам, а также доступ к привилегиям, к которым сторонние приложения обычно не имеют доступа.
CVE | Баги с AOSP-ссылками | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-0835 | АНДРОИД-26070014 [ 2 ] | Критический | 6.0, 6.0.1 | 6 декабря 2015 г. |
CVE-2016-0836 | АНДРОИД-25812590 | Критический | 6.0, 6.0.1 | 19 ноября 2015 г. |
CVE-2016-0837 | АНДРОИД-27208621 | Критический | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 февраля 2016 г. |
CVE-2016-0838 | АНДРОИД-26366256 [ 2 ] | Критический | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Внутренний Google |
CVE-2016-0839 | АНДРОИД-25753245 | Критический | 6.0, 6.0.1 | Внутренний Google |
CVE-2016-0840 | АНДРОИД-26399350 | Критический | 6.0, 6.0.1 | Внутренний Google |
CVE-2016-0841 | АНДРОИД-26040840 | Критический | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Внутренний Google |
Уязвимость удаленного выполнения кода в libstagefright
Во время обработки медиафайла и данных специально созданного файла уязвимости в libstagefright могут позволить злоумышленнику вызвать повреждение памяти и удаленное выполнение кода в качестве процесса медиасервера.
Затронутая функциональность предоставляется как основная часть операционной системы, и существует множество приложений, которые позволяют получить доступ к ней с помощью удаленного контента, в первую очередь MMS и воспроизведения мультимедиа в браузере.
Этой проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте службы медиасервера. Служба медиасервера имеет доступ к аудио- и видеопотокам, а также доступ к привилегиям, к которым сторонние приложения обычно не имеют доступа.
CVE | Ошибка со ссылкой AOSP. | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-0842 | АНДРОИД-25818142 | Критический | 6.0, 6.0.1 | 23 ноября 2015 г. |
Уязвимость повышения привилегий в ядре
Уязвимость, связанная с несанкционированным повышением привилегий в ядре, может позволить локальному вредоносному приложению выполнить произвольный код внутри ядра. Этой проблеме присвоен критический уровень серьезности из-за возможности локального постоянного компрометации устройства, и, возможно, устройство потребуется отремонтировать путем перепрошивки операционной системы. Эта проблема была описана в рекомендациях по безопасности Android от 18 марта 2016 г.
CVE | Ошибка | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2015-1805 | АНДРОИД-27275324* | Критический | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 февраля 2016 г. |
* Патч в AOSP доступен для определенных версий ядра: 3.14 , 3.10 и 3.4 .
Уязвимость повышения привилегий в модуле производительности Qualcomm
Уязвимость, связанная с повышением привилегий в компоненте диспетчера событий производительности для процессоров ARM от Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код внутри ядра. Этой проблеме присвоен критический уровень серьезности из-за возможности локального постоянного компрометации устройства, и, возможно, устройство потребуется отремонтировать путем перепрошивки операционной системы.
CVE | Ошибка | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-0843 | АНДРОИД-25801197* | Критический | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 ноября 2015 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость повышения привилегий в RF-компоненте Qualcomm
В RF-драйвере Qualcomm существует уязвимость, которая может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень серьезности из-за возможности локального постоянного компрометации устройства, и, возможно, устройство потребуется отремонтировать путем перепрошивки операционной системы.
CVE | Ошибка со ссылкой AOSP. | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-0844 | АНДРОИД-26324307 * | Критический | 6.0, 6.0.1 | 25 декабря 2015 г. |
* Дополнительное исправление для этой проблемы находится в исходной версии Linux .
Уязвимость повышения привилегий в ядре
Уязвимость, связанная с несанкционированным повышением привилегий в общем ядре, может позволить локальному вредоносному приложению выполнить произвольный код в ядре. Этой проблеме присвоен критический уровень серьезности из-за возможности локального постоянного компрометации устройства, и, возможно, устройство потребуется отремонтировать путем перепрошивки операционной системы.
CVE | Ошибка со ссылками AOSP. | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2014-9322 | АНДРОИД-26927260 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] | Критический | 6.0, 6.0.1 | 25 декабря 2015 г. |
Уязвимость, связанная с повышением привилегий в собственном интерфейсе IMemory
Уязвимость, связанная с несанкционированным повышением привилегий в собственном интерфейсе IMemory, может позволить локальному вредоносному приложению выполнить произвольный код в контексте системного приложения с повышенными правами. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения расширенных возможностей, таких как права подписи или разрешения SignatureOrSystem , которые недоступны стороннему приложению.
CVE | Ошибка со ссылкой AOSP. | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-0846 | АНДРОИД-26877992 | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 января 2016 г. |
Уязвимость повышения привилегий в телекоммуникационном компоненте
Уязвимость, связанная с несанкционированным повышением привилегий в телекоммуникационном компоненте, может позволить злоумышленнику создать видимость того, что звонки исходят с любого произвольного номера. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения локального доступа к расширенным возможностям, таким как привилегии разрешений Signature или SignatureOrSystem , которые недоступны стороннему приложению.
CVE | Ошибка со ссылками AOSP. | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-0847 | АНДРОИД-26864502 [ 2 ] | Высокий | 5.0.2, 5.1.1, 6.0, 6.0.1 | Внутренний Google |
Уязвимость, связанная с повышением привилегий в диспетчере загрузок
Уязвимость, связанная с несанкционированным повышением привилегий в диспетчере загрузок, может позволить злоумышленнику получить доступ к неавторизованным файлам в личном хранилище. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения локального доступа к расширенным возможностям, таким как привилегии разрешений Signature или SignatureOrSystem , которые недоступны стороннему приложению.
CVE | Ошибка со ссылкой AOSP. | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-0848 | АНДРОИД-26211054 | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 декабря 2015 г. |
Уязвимость повышения привилегий в процедуре восстановления
Уязвимость, связанная с несанкционированным повышением привилегий в процедуре восстановления, может позволить локальному вредоносному приложению выполнить произвольный код в контексте системного приложения с повышенными правами. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения расширенных возможностей, таких как права подписи или разрешения SignatureOrSystem , которые недоступны стороннему приложению.
CVE | Ошибка со ссылкой AOSP. | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-0849 | АНДРОИД-26960931 | Высокий | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 февраля 2016 г. |
Уязвимость повышения привилегий в Bluetooth
Уязвимость, связанная с повышением привилегий в Bluetooth, может позволить ненадежному устройству подключиться к телефону во время первоначального процесса сопряжения. Это может привести к несанкционированному доступу к ресурсам устройства, таким как подключение к Интернету. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения расширенных возможностей, недоступных ненадежным устройствам.
CVE | Ошибка со ссылкой AOSP. | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-0850 | АНДРОИД-26551752 | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 13 января 2016 г. |
Уязвимость, связанная с повышением привилегий в тактильном драйвере Texas Instruments
В тактильном драйвере ядра Texas Instruments существует уязвимость, связанная с несанкционированным повышением привилегий, которая может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Обычно такой ошибке выполнения кода ядра присваивается статус «Критическая», но поскольку она сначала требует взлома службы, которая может вызвать драйвер, вместо этого ей присваивается высокий уровень серьезности.
CVE | Ошибка | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-2409 | АНДРОИД-25981545* | Высокий | 6.0, 6.0.1 | 25 декабря 2015 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость, связанная с повышением привилегий в драйвере видеоядра Qualcomm
В драйвере видеоядра Qualcomm существует уязвимость, связанная с несанкционированным повышением привилегий, которая может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Обычно уязвимость выполнения кода ядра оценивается как критическая, но поскольку она требует сначала взлома службы, которая может вызвать драйвер, вместо этого ей присваивается высокий уровень серьезности.
CVE | Ошибка | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-2410 | АНДРОИД-26291677* | Высокий | 6.0, 6.0.1 | 21 декабря 2015 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость повышения привилегий в компоненте Qualcomm Power Management
В драйвере ядра Qualcomm Power Management существует уязвимость, связанная с несанкционированным повышением привилегий, которая может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Обычно подобная ошибка выполнения кода ядра оценивается как критическая, но поскольку она требует сначала компрометации устройства и получения root-прав, вместо этого ей присваивается высокий уровень серьезности.
CVE | Ошибка | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-2411 | АНДРОИД-26866053* | Высокий | 6.0, 6.0.1 | 28 января 2016 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость повышения привилегий в System_server
Уязвимость, связанная с несанкционированным повышением привилегий в System_server, может позволить локальному вредоносному приложению выполнить произвольный код в контексте системного приложения с повышенными правами. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения расширенных возможностей, таких как права подписи или разрешения SignatureOrSystem , которые недоступны стороннему приложению.
CVE | Ошибка со ссылкой AOSP. | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-2412 | АНДРОИД-26593930 | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 января 2016 г. |
Уязвимость повышения привилегий на медиасервере
Уязвимость, связанная с несанкционированным повышением привилегий в медиасервере, может позволить локальному вредоносному приложению выполнить произвольный код в контексте системного приложения с повышенными правами. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения расширенных возможностей, таких как права подписи или разрешения SignatureOrSystem , которые недоступны стороннему приложению.
CVE | Ошибка со ссылкой AOSP. | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-2413 | АНДРОИД-26403627 | Высокий | 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 января 2016 г. |
Уязвимость отказа в обслуживании в Minikin
Уязвимость типа «отказ в обслуживании» в библиотеке Minikin может позволить локальному злоумышленнику временно заблокировать доступ к уязвимому устройству. Злоумышленник может вызвать загрузку ненадежного шрифта и вызвать переполнение компонента Minikin, что приведет к сбою. Этому уровню присвоен высокий уровень серьезности, поскольку отказ в обслуживании приведет к непрерывному циклу перезагрузки.
CVE | Ошибка со ссылками AOSP. | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-2414 | АНДРОИД-26413177 [ 2 ] | Высокий | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 ноября 2015 г. |
Уязвимость раскрытия информации в Exchange ActiveSync
Уязвимость раскрытия информации в Exchange ActiveSync может позволить локальному вредоносному приложению получить доступ к личной информации пользователя. Этой проблеме присвоен высокий уровень серьезности, поскольку она обеспечивает удаленный доступ к защищенным данным.
CVE | Ошибка со ссылкой AOSP. | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-2415 | АНДРОИД-26488455 | Высокий | 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 января 2016 г. |
Уязвимость раскрытия информации в медиасервере
Уязвимость раскрытия информации в Mediaserver может позволить обойти существующие меры безопасности, чтобы усложнить злоумышленникам использование платформы. Этим проблемам присвоен высокий уровень серьезности, поскольку они также могут использоваться для получения расширенных возможностей, таких как привилегии разрешений Signature или SignatureOrSystem , которые недоступны сторонним приложениям.
CVE | Баги с AOSP-ссылками | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-2416 | АНДРОИД-27046057 [ 2 ] | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 февраля 2016 г. |
CVE-2016-2417 | АНДРОИД-26914474 | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1 февраля 2016 г. |
CVE-2016-2418 | АНДРОИД-26324358 | Высокий | 6.0, 6.0.1 | 24 декабря 2015 г. |
CVE-2016-2419 | АНДРОИД-26323455 | Высокий | 6.0, 6.0.1 | 24 декабря 2015 г. |
Уязвимость, связанная с повышением привилегий в компоненте Debuggerd
Уязвимость, связанная с несанкционированным повышением привилегий в компоненте Debuggerd, может позволить локальному вредоносному приложению выполнить произвольный код, что может привести к необратимой компрометации устройства. В результате устройство, возможно, придется ремонтировать путем перепрошивки операционной системы. Обычно подобная ошибка выполнения кода оценивается как критическая, но поскольку она позволяет повысить привилегии от системы до root только в версии Android 4.4.4, вместо этого ей присваивается средний уровень. В Android версии 5.0 и выше правила SELinux не позволяют сторонним приложениям достигать затронутого кода.
CVE | Ошибка со ссылками AOSP. | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-2420 | АНДРОИД-26403620 [ 2 ] | Умеренный | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 января 2016 г. |
Уязвимость, связанная с повышением привилегий в мастере установки
Уязвимость в мастере установки может позволить злоумышленнику обойти защиту от сброса настроек и получить доступ к устройству. Этому уровню присвоен средний уровень серьезности, поскольку он потенциально позволяет лицу, имеющему физический доступ к устройству, обойти защиту от сброса настроек, что позволит злоумышленнику успешно перезагрузить устройство, удалив все данные.
CVE | Ошибка | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-2421 | АНДРОИД-26154410* | Умеренный | 5.1.1, 6.0, 6.0.1 | Внутренний Google |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последней бинарной версии для устройств Nexus, доступной на сайте разработчиков Google .
Уязвимость повышения привилегий в Wi-Fi
Уязвимость, связанная с несанкционированным повышением привилегий в сети Wi-Fi, может позволить локальному вредоносному приложению выполнить произвольный код в контексте системного приложения с повышенными правами. Этой проблеме присвоен средний уровень серьезности, поскольку ее можно использовать для получения расширенных возможностей, таких как права подписи или разрешения SignatureOrSystem , которые недоступны стороннему приложению.
CVE | Ошибка со ссылкой AOSP. | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-2422 | АНДРОИД-26324357 | Умеренный | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 декабря 2015 г. |
Уязвимость повышения привилегий в телефонии
Уязвимость в телефонии может позволить злоумышленнику обойти защиту от сброса настроек и получить доступ к устройству. Этому уровню присвоен средний уровень серьезности, поскольку он потенциально позволяет лицу, имеющему физический доступ к устройству, обойти защиту от сброса настроек, что позволит злоумышленнику успешно перезагрузить устройство, удалив все данные.
CVE | Ошибка со ссылкой AOSP. | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-2423 | АНДРОИД-26303187 | Умеренный | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Внутренний Google |
Уязвимость отказа в обслуживании в SyncStorageEngine
Уязвимость отказа в обслуживании в SyncStorageEngine может позволить локальному вредоносному приложению вызвать цикл перезагрузки. Этой проблеме присвоен средний уровень серьезности, поскольку она может быть использована для вызова локального временного отказа в обслуживании, который, возможно, придется устранить путем сброса настроек к заводским.
CVE | Ошибка со ссылкой AOSP. | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-2424 | АНДРОИД-26513719 | Умеренный | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Внутренний Google |
Уязвимость раскрытия информации в AOSP Mail
Уязвимость раскрытия информации в AOSP Mail может позволить локальному вредоносному приложению получить доступ к личной информации пользователя. Этой проблеме присвоен средний уровень серьезности, поскольку ее можно использовать для неправомерного получения «опасных» разрешений.
CVE | Ошибки со ссылкой AOSP | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-2425 | АНДРОИД-26989185 | Умеренный | 4.4.4, 5.1.1, 6.0, 6.0.1 | 29 января 2016 г. |
CVE-2016-2425 | АНДРОИД-7154234* | Умеренный | 5.0.2 | 29 января 2016 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последней бинарной версии для устройств Nexus, доступной на сайте разработчиков Google .
Уязвимость раскрытия информации в фреймворке
Уязвимость раскрытия информации в компоненте Framework может позволить приложению получить доступ к конфиденциальной информации. Этой проблеме присвоен средний уровень серьезности, поскольку она может быть использована для неправомерного доступа к данным без разрешения.
CVE | Ошибка со ссылкой AOSP. | Строгость | Обновленные версии | Дата сообщения |
---|---|---|---|---|
CVE-2016-2426 | АНДРОИД-26094635 | Умеренный | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 8 декабря 2015 г. |
Общие вопросы и ответы
В этом разделе рассматриваются ответы на распространенные вопросы, которые могут возникнуть после прочтения этого бюллетеня.
1. Как определить, обновлено ли мое устройство для устранения этих проблем?
Уровни исправлений безопасности от 2 апреля 2016 г. или более поздние устраняют эти проблемы (инструкции по проверке уровня исправлений безопасности см. в документации Nexus ). Производители устройств, включающие эти обновления, должны установить уровень строки исправления следующим образом: [ro.build.version.security_patch]:[2016-04-02]
2. Почему это обновление безопасности относится к уровню от 2 апреля 2016 г.?
Уровень исправления безопасности для ежемесячного обновления безопасности обычно устанавливается на первое число месяца. Уровень исправлений безопасности от 1 апреля 2016 года указывает на то, что все проблемы, описанные в этом бюллетене, за исключением CVE-2015-1805, как описано в рекомендациях по безопасности Android от 18 марта 2016 г., устранены. Уровень исправлений безопасности от 2 апреля 2016 г. указывает на то, что все проблемы, описанные в этом бюллетене, включая CVE-2015-1805, как описано в рекомендациях по безопасности Android от 18 марта 2016 г., устранены.
Редакции
- 4 апреля 2016 г.: Бюллетень опубликован.
- 6 апреля 2016 г.: в бюллетень добавлены ссылки на AOSP.
- 7 апреля 2016 г.: в бюллетень добавлена дополнительная ссылка на AOSP.
- 11 июля 2016 г.: обновлено описание CVE-2016-2427.
- 1 августа 2016 г.: обновлено описание CVE-2016-2427.
- 19 декабря 2016 г.: обновлено удаление CVE-2016-2427, который был отменен.