Бюллетень по безопасности Nexus — апрель 2016 г.

Опубликовано 4 апреля 2016 г. | Обновлено 19 декабря 2016 г.

Мы выпустили обновление безопасности для устройств Nexus посредством беспроводного обновления (OTA) в рамках ежемесячного выпуска бюллетеня по безопасности Android. Образы прошивки Nexus также были размещены на сайте разработчиков Google . Уровни исправлений безопасности от 2 апреля 2016 г. или более поздних версий устраняют эти проблемы (инструкции по проверке уровня исправлений безопасности см. в документации Nexus ).

Партнеры были уведомлены о проблемах, описанных в бюллетене, 16 марта 2016 года или ранее. Там, где это применимо, исправления исходного кода для этих проблем были выпущены в репозиторий Android Open Source Project (AOSP).

Наиболее серьезной из этих проблем является критическая уязвимость безопасности, которая может сделать возможным удаленное выполнение кода на уязвимом устройстве с помощью нескольких методов, таких как электронная почта, просмотр веб-страниц и MMS при обработке мультимедийных файлов. Оценка серьезности основана на влиянии, которое эксплуатация уязвимости может оказать на затронутое устройство, при условии, что средства защиты платформы и службы отключены в целях разработки или в случае успешного обхода.

В рекомендациях по безопасности Android от 18 марта 2016 г. ранее обсуждалось использование CVE-2015-1805 приложением для рутирования. CVE-2015-1805 устранена в этом обновлении. Сообщений об активной эксплуатации клиентов или злоупотреблении другими недавно обнаруженными проблемами не поступало. Дополнительную информацию о средствах защиты платформы безопасности Android и службах защиты, таких как SafetyNet, которые повышают безопасность платформы Android, можно найти в разделе «Средства снижения риска».

Смягчения

Это краткий обзор мер, обеспечиваемых платформой безопасности Android и средствами защиты служб, такими как SafetyNet. Эти возможности снижают вероятность успешного использования уязвимостей безопасности на Android.

  • Использование многих проблем на Android усложняется из-за усовершенствований в новых версиях платформы Android. Мы рекомендуем всем пользователям по возможности обновиться до последней версии Android.
  • Команда безопасности Android активно отслеживает злоупотребления с помощью Verify Apps и SafetyNet, которые предупреждают пользователя об обнаруженных потенциально вредоносных приложениях, которые собираются установить. Инструменты рутирования устройств запрещены в Google Play. Чтобы защитить пользователей, которые устанавливают приложения из-за пределов Google Play, функция Verify Apps включена по умолчанию и предупреждает пользователей об известных приложениях с root-доступом. Verify Apps пытается идентифицировать и заблокировать установку известных вредоносных приложений, использующих уязвимость повышения привилегий. Если такое приложение уже установлено, Verify Apps уведомит пользователя и попытается удалить все такие приложения.
  • При необходимости приложения Google Hangouts и Messenger не передают мультимедиа автоматически в такие процессы, как медиасервер.

Благодарности

Команда Android Security хотела бы поблагодарить этих исследователей за их вклад:

Команда Android Security также благодарит Юань-Цунг Ло , Венке Доу , Чиачи Ву ( @chiachih_wu ) и Сюсяня Цзяна из команды C0RE и Zimperium за их вклад в разработку CVE-2015-1805.

Подробности об уязвимостях безопасности

В разделах ниже содержится подробная информация о каждой уязвимости безопасности, применимой к уровню исправления от 2016-04-02. Приведено описание проблемы, обоснование серьезности и таблица с CVE, связанной ошибкой, серьезностью, затронутыми версиями и датой сообщения. Когда это будет доступно, мы свяжем коммит AOSP, в котором устранена проблема, с идентификатором ошибки. Если несколько изменений относятся к одной ошибке, дополнительные ссылки AOSP связаны с номерами, следующими за идентификатором ошибки.

Уязвимость удаленного выполнения кода в DHCPCD

Уязвимость в службе протокола динамической конфигурации хоста может позволить злоумышленнику вызвать повреждение памяти, что может привести к удаленному выполнению кода. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте DHCP-клиента. Служба DHCP имеет доступ к привилегиям, к которым сторонние приложения обычно не имеют доступа.

CVE Баги с AOSP-ссылками Строгость Обновленные версии Дата сообщения
CVE-2014-6060 АНДРОИД-15268738 Критический 4.4.4 30 июля 2014 г.
CVE-2014-6060 АНДРОИД-16677003 Критический 4.4.4 30 июля 2014 г.
CVE-2016-1503 АНДРОИД-26461634 Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 4 января 2016 г.

Уязвимость удаленного выполнения кода в медиакодеке

Во время обработки медиафайла и данных специально созданного файла уязвимости в медиакодеке, используемом медиасервером, могут позволить злоумышленнику вызвать повреждение памяти и удаленное выполнение кода в качестве процесса медиасервера.

Затронутая функциональность предоставляется как основная часть операционной системы, и существует множество приложений, которые позволяют получить доступ к ней с помощью удаленного контента, в первую очередь MMS и воспроизведения мультимедиа в браузере.

Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте службы медиасервера. Служба медиасервера имеет доступ к аудио- и видеопотокам, а также доступ к привилегиям, к которым сторонние приложения обычно не имеют доступа.

CVE Ошибка Строгость Обновленные версии Дата сообщения
CVE-2016-0834 АНДРОИД-26220548* Критический 6.0, 6.0.1 16 декабря 2015 г.

* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Уязвимость удаленного выполнения кода на медиасервере

Во время обработки медиафайла и данных специально созданного файла уязвимости в медиасервере могут позволить злоумышленнику вызвать повреждение памяти и удаленное выполнение кода в качестве процесса медиасервера.

Затронутая функциональность предоставляется как основная часть операционной системы, и существует множество приложений, которые позволяют получить доступ к ней с помощью удаленного контента, в первую очередь MMS и воспроизведения мультимедиа в браузере.

Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте службы медиасервера. Служба медиасервера имеет доступ к аудио- и видеопотокам, а также доступ к привилегиям, к которым сторонние приложения обычно не имеют доступа.

CVE Баги с AOSP-ссылками Строгость Обновленные версии Дата сообщения
CVE-2016-0835 АНДРОИД-26070014 [ 2 ] Критический 6.0, 6.0.1 6 декабря 2015 г.
CVE-2016-0836 АНДРОИД-25812590 Критический 6.0, 6.0.1 19 ноября 2015 г.
CVE-2016-0837 АНДРОИД-27208621 Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 февраля 2016 г.
CVE-2016-0838 АНДРОИД-26366256 [ 2 ] Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Внутренний Google
CVE-2016-0839 АНДРОИД-25753245 Критический 6.0, 6.0.1 Внутренний Google
CVE-2016-0840 АНДРОИД-26399350 Критический 6.0, 6.0.1 Внутренний Google
CVE-2016-0841 АНДРОИД-26040840 Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Внутренний Google

Уязвимость удаленного выполнения кода в libstagefright

Во время обработки медиафайла и данных специально созданного файла уязвимости в libstagefright могут позволить злоумышленнику вызвать повреждение памяти и удаленное выполнение кода в качестве процесса медиасервера.

Затронутая функциональность предоставляется как основная часть операционной системы, и существует множество приложений, которые позволяют получить доступ к ней с помощью удаленного контента, в первую очередь MMS и воспроизведения мультимедиа в браузере.

Этой проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте службы медиасервера. Служба медиасервера имеет доступ к аудио- и видеопотокам, а также доступ к привилегиям, к которым сторонние приложения обычно не имеют доступа.

CVE Ошибка со ссылкой AOSP. Строгость Обновленные версии Дата сообщения
CVE-2016-0842 АНДРОИД-25818142 Критический 6.0, 6.0.1 23 ноября 2015 г.

Уязвимость повышения привилегий в ядре

Уязвимость, связанная с несанкционированным повышением привилегий в ядре, может позволить локальному вредоносному приложению выполнить произвольный код внутри ядра. Этой проблеме присвоен критический уровень серьезности из-за возможности локального постоянного компрометации устройства, и, возможно, устройство потребуется отремонтировать путем перепрошивки операционной системы. Эта проблема была описана в рекомендациях по безопасности Android от 18 марта 2016 г.

CVE Ошибка Строгость Обновленные версии Дата сообщения
CVE-2015-1805 АНДРОИД-27275324* Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19 февраля 2016 г.

* Патч в AOSP доступен для определенных версий ядра: 3.14 , 3.10 и 3.4 .

Уязвимость повышения привилегий в модуле производительности Qualcomm

Уязвимость, связанная с повышением привилегий в компоненте диспетчера событий производительности для процессоров ARM от Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код внутри ядра. Этой проблеме присвоен критический уровень серьезности из-за возможности локального постоянного компрометации устройства, и, возможно, устройство потребуется отремонтировать путем перепрошивки операционной системы.

CVE Ошибка Строгость Обновленные версии Дата сообщения
CVE-2016-0843 АНДРОИД-25801197* Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19 ноября 2015 г.

* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Уязвимость повышения привилегий в RF-компоненте Qualcomm

В RF-драйвере Qualcomm существует уязвимость, которая может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень серьезности из-за возможности локального постоянного компрометации устройства, и, возможно, устройство потребуется отремонтировать путем перепрошивки операционной системы.

CVE Ошибка со ссылкой AOSP. Строгость Обновленные версии Дата сообщения
CVE-2016-0844 АНДРОИД-26324307 * Критический 6.0, 6.0.1 25 декабря 2015 г.

* Дополнительное исправление для этой проблемы находится в исходной версии Linux .

Уязвимость повышения привилегий в ядре

Уязвимость, связанная с несанкционированным повышением привилегий в общем ядре, может позволить локальному вредоносному приложению выполнить произвольный код в ядре. Этой проблеме присвоен критический уровень серьезности из-за возможности локального постоянного компрометации устройства, и, возможно, устройство потребуется отремонтировать путем перепрошивки операционной системы.

CVE Ошибка со ссылками AOSP. Строгость Обновленные версии Дата сообщения
CVE-2014-9322 АНДРОИД-26927260 [ 2 ] [ 3 ]
[ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ]
Критический 6.0, 6.0.1 25 декабря 2015 г.

Уязвимость, связанная с повышением привилегий в собственном интерфейсе IMemory

Уязвимость, связанная с несанкционированным повышением привилегий в собственном интерфейсе IMemory, может позволить локальному вредоносному приложению выполнить произвольный код в контексте системного приложения с повышенными правами. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения расширенных возможностей, таких как права подписи или разрешения SignatureOrSystem , которые недоступны стороннему приложению.

CVE Ошибка со ссылкой AOSP. Строгость Обновленные версии Дата сообщения
CVE-2016-0846 АНДРОИД-26877992 Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 января 2016 г.

Уязвимость повышения привилегий в телекоммуникационном компоненте

Уязвимость, связанная с несанкционированным повышением привилегий в телекоммуникационном компоненте, может позволить злоумышленнику создать видимость того, что звонки исходят с любого произвольного номера. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения локального доступа к расширенным возможностям, таким как привилегии разрешений Signature или SignatureOrSystem , которые недоступны стороннему приложению.

CVE Ошибка со ссылками AOSP. Строгость Обновленные версии Дата сообщения
CVE-2016-0847 АНДРОИД-26864502 [ 2 ] Высокий 5.0.2, 5.1.1, 6.0, 6.0.1 Внутренний Google

Уязвимость, связанная с повышением привилегий в диспетчере загрузок

Уязвимость, связанная с несанкционированным повышением привилегий в диспетчере загрузок, может позволить злоумышленнику получить доступ к неавторизованным файлам в личном хранилище. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения локального доступа к расширенным возможностям, таким как привилегии разрешений Signature или SignatureOrSystem , которые недоступны стороннему приложению.

CVE Ошибка со ссылкой AOSP. Строгость Обновленные версии Дата сообщения
CVE-2016-0848 АНДРОИД-26211054 Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 декабря 2015 г.

Уязвимость повышения привилегий в процедуре восстановления

Уязвимость, связанная с несанкционированным повышением привилегий в процедуре восстановления, может позволить локальному вредоносному приложению выполнить произвольный код в контексте системного приложения с повышенными правами. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения расширенных возможностей, таких как права подписи или разрешения SignatureOrSystem , которые недоступны стороннему приложению.

CVE Ошибка со ссылкой AOSP. Строгость Обновленные версии Дата сообщения
CVE-2016-0849 АНДРОИД-26960931 Высокий 5.0.2, 5.1.1, 6.0, 6.0.1 3 февраля 2016 г.

Уязвимость повышения привилегий в Bluetooth

Уязвимость, связанная с повышением привилегий в Bluetooth, может позволить ненадежному устройству подключиться к телефону во время первоначального процесса сопряжения. Это может привести к несанкционированному доступу к ресурсам устройства, таким как подключение к Интернету. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения расширенных возможностей, недоступных ненадежным устройствам.

CVE Ошибка со ссылкой AOSP. Строгость Обновленные версии Дата сообщения
CVE-2016-0850 АНДРОИД-26551752 Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 13 января 2016 г.

Уязвимость, связанная с повышением привилегий в тактильном драйвере Texas Instruments

В тактильном драйвере ядра Texas Instruments существует уязвимость, связанная с несанкционированным повышением привилегий, которая может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Обычно такой ошибке выполнения кода ядра присваивается статус «Критическая», но поскольку она сначала требует взлома службы, которая может вызвать драйвер, вместо этого ей присваивается высокий уровень серьезности.

CVE Ошибка Строгость Обновленные версии Дата сообщения
CVE-2016-2409 АНДРОИД-25981545* Высокий 6.0, 6.0.1 25 декабря 2015 г.

* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Уязвимость, связанная с повышением привилегий в драйвере видеоядра Qualcomm

В драйвере видеоядра Qualcomm существует уязвимость, связанная с несанкционированным повышением привилегий, которая может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Обычно уязвимость выполнения кода ядра оценивается как критическая, но поскольку она требует сначала взлома службы, которая может вызвать драйвер, вместо этого ей присваивается высокий уровень серьезности.

CVE Ошибка Строгость Обновленные версии Дата сообщения
CVE-2016-2410 АНДРОИД-26291677* Высокий 6.0, 6.0.1 21 декабря 2015 г.

* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Уязвимость повышения привилегий в компоненте Qualcomm Power Management

В драйвере ядра Qualcomm Power Management существует уязвимость, связанная с несанкционированным повышением привилегий, которая может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Обычно подобная ошибка выполнения кода ядра оценивается как критическая, но поскольку она требует сначала компрометации устройства и получения root-прав, вместо этого ей присваивается высокий уровень серьезности.

CVE Ошибка Строгость Обновленные версии Дата сообщения
CVE-2016-2411 АНДРОИД-26866053* Высокий 6.0, 6.0.1 28 января 2016 г.

* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Уязвимость повышения привилегий в System_server

Уязвимость, связанная с несанкционированным повышением привилегий в System_server, может позволить локальному вредоносному приложению выполнить произвольный код в контексте системного приложения с повышенными правами. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения расширенных возможностей, таких как права подписи или разрешения SignatureOrSystem , которые недоступны стороннему приложению.

CVE Ошибка со ссылкой AOSP. Строгость Обновленные версии Дата сообщения
CVE-2016-2412 АНДРОИД-26593930 Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 15 января 2016 г.

Уязвимость повышения привилегий на медиасервере

Уязвимость, связанная с несанкционированным повышением привилегий в медиасервере, может позволить локальному вредоносному приложению выполнить произвольный код в контексте системного приложения с повышенными правами. Этой проблеме присвоен высокий уровень серьезности, поскольку ее можно использовать для получения расширенных возможностей, таких как права подписи или разрешения SignatureOrSystem , которые недоступны стороннему приложению.

CVE Ошибка со ссылкой AOSP. Строгость Обновленные версии Дата сообщения
CVE-2016-2413 АНДРОИД-26403627 Высокий 5.0.2, 5.1.1, 6.0, 6.0.1 5 января 2016 г.

Уязвимость отказа в обслуживании в Minikin

Уязвимость типа «отказ в обслуживании» в библиотеке Minikin может позволить локальному злоумышленнику временно заблокировать доступ к уязвимому устройству. Злоумышленник может вызвать загрузку ненадежного шрифта и вызвать переполнение компонента Minikin, что приведет к сбою. Этому уровню присвоен высокий уровень серьезности, поскольку отказ в обслуживании приведет к непрерывному циклу перезагрузки.

CVE Ошибка со ссылками AOSP. Строгость Обновленные версии Дата сообщения
CVE-2016-2414 АНДРОИД-26413177 [ 2 ] Высокий 5.0.2, 5.1.1, 6.0, 6.0.1 3 ноября 2015 г.

Уязвимость раскрытия информации в Exchange ActiveSync

Уязвимость раскрытия информации в Exchange ActiveSync может позволить локальному вредоносному приложению получить доступ к личной информации пользователя. Этой проблеме присвоен высокий уровень серьезности, поскольку она обеспечивает удаленный доступ к защищенным данным.

CVE Ошибка со ссылкой AOSP. Строгость Обновленные версии Дата сообщения
CVE-2016-2415 АНДРОИД-26488455 Высокий 5.0.2, 5.1.1, 6.0, 6.0.1 11 января 2016 г.

Уязвимость раскрытия информации в медиасервере

Уязвимость раскрытия информации в Mediaserver может позволить обойти существующие меры безопасности, чтобы усложнить злоумышленникам использование платформы. Этим проблемам присвоен высокий уровень серьезности, поскольку они также могут использоваться для получения расширенных возможностей, таких как привилегии разрешений Signature или SignatureOrSystem , которые недоступны сторонним приложениям.

CVE Баги с AOSP-ссылками Строгость Обновленные версии Дата сообщения
CVE-2016-2416 АНДРОИД-27046057 [ 2 ] Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 февраля 2016 г.
CVE-2016-2417 АНДРОИД-26914474 Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 1 февраля 2016 г.
CVE-2016-2418 АНДРОИД-26324358 Высокий 6.0, 6.0.1 24 декабря 2015 г.
CVE-2016-2419 АНДРОИД-26323455 Высокий 6.0, 6.0.1 24 декабря 2015 г.

Уязвимость, связанная с повышением привилегий в компоненте Debuggerd

Уязвимость, связанная с несанкционированным повышением привилегий в компоненте Debuggerd, может позволить локальному вредоносному приложению выполнить произвольный код, что может привести к необратимой компрометации устройства. В результате устройство, возможно, придется ремонтировать путем перепрошивки операционной системы. Обычно подобная ошибка выполнения кода оценивается как критическая, но поскольку она позволяет повысить привилегии от системы до root только в версии Android 4.4.4, вместо этого ей присваивается средний уровень. В Android версии 5.0 и выше правила SELinux не позволяют сторонним приложениям достигать затронутого кода.

CVE Ошибка со ссылками AOSP. Строгость Обновленные версии Дата сообщения
CVE-2016-2420 АНДРОИД-26403620 [ 2 ] Умеренный 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 января 2016 г.

Уязвимость, связанная с повышением привилегий в мастере установки

Уязвимость в мастере установки может позволить злоумышленнику обойти защиту от сброса настроек и получить доступ к устройству. Этому уровню присвоен средний уровень серьезности, поскольку он потенциально позволяет лицу, имеющему физический доступ к устройству, обойти защиту от сброса настроек, что позволит злоумышленнику успешно перезагрузить устройство, удалив все данные.

CVE Ошибка Строгость Обновленные версии Дата сообщения
CVE-2016-2421 АНДРОИД-26154410* Умеренный 5.1.1, 6.0, 6.0.1 Внутренний Google

* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последней бинарной версии для устройств Nexus, доступной на сайте разработчиков Google .

Уязвимость повышения привилегий в Wi-Fi

Уязвимость, связанная с несанкционированным повышением привилегий в сети Wi-Fi, может позволить локальному вредоносному приложению выполнить произвольный код в контексте системного приложения с повышенными правами. Этой проблеме присвоен средний уровень серьезности, поскольку ее можно использовать для получения расширенных возможностей, таких как права подписи или разрешения SignatureOrSystem , которые недоступны стороннему приложению.

CVE Ошибка со ссылкой AOSP. Строгость Обновленные версии Дата сообщения
CVE-2016-2422 АНДРОИД-26324357 Умеренный 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 23 декабря 2015 г.

Уязвимость повышения привилегий в телефонии

Уязвимость в телефонии может позволить злоумышленнику обойти защиту от сброса настроек и получить доступ к устройству. Этому уровню присвоен средний уровень серьезности, поскольку он потенциально позволяет лицу, имеющему физический доступ к устройству, обойти защиту от сброса настроек, что позволит злоумышленнику успешно перезагрузить устройство, удалив все данные.

CVE Ошибка со ссылкой AOSP. Строгость Обновленные версии Дата сообщения
CVE-2016-2423 АНДРОИД-26303187 Умеренный 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Внутренний Google

Уязвимость отказа в обслуживании в SyncStorageEngine

Уязвимость отказа в обслуживании в SyncStorageEngine может позволить локальному вредоносному приложению вызвать цикл перезагрузки. Этой проблеме присвоен средний уровень серьезности, поскольку она может быть использована для вызова локального временного отказа в обслуживании, который, возможно, придется устранить путем сброса настроек к заводским.

CVE Ошибка со ссылкой AOSP. Строгость Обновленные версии Дата сообщения
CVE-2016-2424 АНДРОИД-26513719 Умеренный 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Внутренний Google

Уязвимость раскрытия информации в AOSP Mail

Уязвимость раскрытия информации в AOSP Mail может позволить локальному вредоносному приложению получить доступ к личной информации пользователя. Этой проблеме присвоен средний уровень серьезности, поскольку ее можно использовать для неправомерного получения «опасных» разрешений.

CVE Ошибки со ссылкой AOSP Строгость Обновленные версии Дата сообщения
CVE-2016-2425 АНДРОИД-26989185 Умеренный 4.4.4, 5.1.1, 6.0, 6.0.1 29 января 2016 г.
CVE-2016-2425 АНДРОИД-7154234* Умеренный 5.0.2 29 января 2016 г.

* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последней бинарной версии для устройств Nexus, доступной на сайте разработчиков Google .

Уязвимость раскрытия информации в фреймворке

Уязвимость раскрытия информации в компоненте Framework может позволить приложению получить доступ к конфиденциальной информации. Этой проблеме присвоен средний уровень серьезности, поскольку она может быть использована для неправомерного доступа к данным без разрешения.

CVE Ошибка со ссылкой AOSP. Строгость Обновленные версии Дата сообщения
CVE-2016-2426 АНДРОИД-26094635 Умеренный 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 8 декабря 2015 г.

Общие вопросы и ответы

В этом разделе рассматриваются ответы на распространенные вопросы, которые могут возникнуть после прочтения этого бюллетеня.

1. Как определить, обновлено ли мое устройство для устранения этих проблем?

Уровни исправлений безопасности от 2 апреля 2016 г. или более поздние устраняют эти проблемы (инструкции по проверке уровня исправлений безопасности см. в документации Nexus ). Производители устройств, включающие эти обновления, должны установить уровень строки исправления следующим образом: [ro.build.version.security_patch]:[2016-04-02]

2. Почему это обновление безопасности относится к уровню от 2 апреля 2016 г.?

Уровень исправления безопасности для ежемесячного обновления безопасности обычно устанавливается на первое число месяца. Уровень исправлений безопасности от 1 апреля 2016 года указывает на то, что все проблемы, описанные в этом бюллетене, за исключением CVE-2015-1805, как описано в рекомендациях по безопасности Android от 18 марта 2016 г., устранены. Уровень исправлений безопасности от 2 апреля 2016 г. указывает на то, что все проблемы, описанные в этом бюллетене, включая CVE-2015-1805, как описано в рекомендациях по безопасности Android от 18 марта 2016 г., устранены.

Редакции

  • 4 апреля 2016 г.: Бюллетень опубликован.
  • 6 апреля 2016 г.: в бюллетень добавлены ссылки на AOSP.
  • 7 апреля 2016 г.: в бюллетень добавлена ​​дополнительная ссылка на AOSP.
  • 11 июля 2016 г.: обновлено описание CVE-2016-2427.
  • 1 августа 2016 г.: обновлено описание CVE-2016-2427.
  • 19 декабря 2016 г.: обновлено удаление CVE-2016-2427, который был отменен.