Biuletyn bezpieczeństwa Nexusa — kwiecień 2016 r.

Opublikowano 04 kwietnia 2016 | Zaktualizowano 19 grudnia 2016 r.

Wydaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA) w ramach procesu comiesięcznego wydawania biuletynów dotyczących bezpieczeństwa Androida. Obrazy oprogramowania sprzętowego Nexusa zostały również udostępnione w witrynie Google Developer . Poziomy poprawek zabezpieczeń z 2 kwietnia 2016 r. lub później rozwiązują te problemy (zapoznaj się z dokumentacją Nexusa, aby uzyskać instrukcje sprawdzania poziomu poprawek zabezpieczeń).

Partnerzy zostali powiadomieni o problemach opisanych w biuletynie 16 marca 2016 r. lub wcześniej. W stosownych przypadkach w repozytorium Android Open Source Project (AOSP) udostępniono poprawki kodu źródłowego dla tych problemów.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która podczas przetwarzania plików multimedialnych może umożliwić zdalne wykonanie kodu na zaatakowanym urządzeniu za pomocą wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS. Ocena dotkliwości opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy, przy założeniu, że platforma i usługi ograniczania zagrożeń są wyłączone w celach programistycznych lub pomyślnie ominięte.

Poradnik bezpieczeństwa Androida 2016-03-18 omawiał wcześniej użycie CVE-2015-1805 przez aplikację do rootowania. CVE-2015-1805 został rozwiązany w tej aktualizacji. Nie było żadnych doniesień o aktywnym wykorzystywaniu klientów lub nadużywaniu innych nowo zgłoszonych problemów. Więcej informacji na temat zabezpieczeń platformy Android i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Środki łagodzące .

Łagodzenia

To jest podsumowanie środków łagodzących zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Te możliwości zmniejszają prawdopodobieństwo pomyślnego wykorzystania luk w zabezpieczeniach w systemie Android.

  • Wykorzystanie wielu problemów w systemie Android jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do aktualizacji do najnowszej wersji Androida tam, gdzie to możliwe.
  • Zespół Android Security aktywnie monitoruje pod kątem nadużyć za pomocą funkcji Verify Apps i SafetyNet, które ostrzegają użytkownika o wykrytych potencjalnie szkodliwych aplikacjach, które mają zostać zainstalowane. Narzędzia do rootowania urządzeń są zabronione w Google Play. Aby chronić użytkowników, którzy instalują aplikacje spoza Google Play, Weryfikacja aplikacji jest domyślnie włączona i będzie ostrzegać użytkowników o znanych aplikacjach do rootowania. Usługa Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji, które wykorzystują lukę umożliwiającą eskalację uprawnień. Jeśli taka aplikacja została już zainstalowana, Weryfikacja aplikacji powiadomi użytkownika i spróbuje usunąć takie aplikacje.
  • W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak mediaserver.

Podziękowanie

Zespół Android Security chciałby podziękować tym badaczom za ich wkład:

  • Abhishek Arya, Oliver Chang i Martin Barbella z zespołu ds. bezpieczeństwa przeglądarki Google Chrome: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
  • Anestis Bechtsoudis ( @anestisb ) z CENSUS SA: CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
  • Brad Ebinger i Santos Cordon z zespołu Google Telecom: CVE-2016-0847
  • Dominik Schürmann z Instytutu Systemów Operacyjnych i Sieci Komputerowych TU Braunschweig: CVE-2016-2425
  • Gengjia Chen ( @chengjia4574 ), pjf , Jianqiang Zhao ( @jianqiangzhao ) z IceSword Lab, Qihoo 360: CVE-2016-0844
  • George Piskas z École polytechnique fédérale de Lausanne : CVE-2016-2426
  • Guang Gong (龚广) ( @oldfresher ) firmy Qihoo 360 Technology Co.Ltd : CVE-2016-2412, CVE-2016-2416
  • James Forshaw z Google Project Zero: CVE-2016-2417, CVE-2016-0846
  • Jianqiang Zhao( @jianqiangzhao ), pjf i Gengjia Chen ( @chengjia4574 ) z IceSword Lab, Qihoo 360: CVE-2016-2410, CVE-2016-2411
  • Jianqiang Zhao ( @jianqiangzhao ) i pjf z IceSword Lab, Qihoo 360: CVE-2016-2409
  • Nancy Wang z Vertu Corporation LTD: CVE-2016-0837
  • Nasim Zamir : CVE-2016-2409
  • Nico Golde ( @iamnion ) z Qualcomm Product Security Initiative: CVE-2016-2420, CVE-2016-0849
  • Peter Pi ( @heisecode ) z firmy Trend Micro: CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
  • Ryszard Shupak: CVE-2016-2415
  • Romain Trouvé z MWR Labs : CVE-2016-0850
  • Stuart Henderson: CVE-2016-2422
  • Vishwath Mohan z Android Security: CVE-2016-2424
  • Weichao Sun ( @sunblate ) z Alibaba Inc.: CVE-2016-2414
  • Życzę Wu ( @wish_wu ) firmy Trend Micro Inc.: CVE-2016-0843
  • Yeonjoon Lee i Xiaofeng Wang z Indiana University Bloomington, Tongxin Li i Xinhui Han z Uniwersytetu Pekińskiego: CVE-2016-0848

Zespół Android Security dziękuje również Yuan-Tsung Lo , Wenke Dou , Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z C0RE Team i Zimperium za ich wkład w CVE-2015-1805.

Szczegóły luki w zabezpieczeniach

Poniższe sekcje zawierają szczegółowe informacje o każdej z luk w zabezpieczeniach, które mają zastosowanie do poziomu poprawek 2016-04-02. Dostępny jest opis problemu, uzasadnienie jego ważności oraz tabela z CVE, powiązanym błędem, ważnością, wersjami, których dotyczy problem, oraz datą zgłoszenia. Jeśli będzie to możliwe, połączymy zatwierdzenie AOSP, które rozwiązało problem, z identyfikatorem błędu. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odniesienia AOSP są powiązane z liczbami następującymi po identyfikatorze błędu.

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w DHCPCD

Luka w usłudze protokołu dynamicznej konfiguracji hosta może umożliwić osobie atakującej uszkodzenie pamięci, co może prowadzić do zdalnego wykonania kodu. Ten problem jest oceniany jako ważność krytyczna ze względu na możliwość zdalnego wykonania kodu w kontekście klienta DHCP. Usługa DHCP ma dostęp do uprawnień, do których normalnie nie miałyby dostępu aplikacje innych firm.

CVE Błędy z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2014-6060 ANDROID-15268738 Krytyczny 4.4.4 30 lipca 2014
CVE-2014-6060 ANDROID-16677003 Krytyczny 4.4.4 30 lipca 2014
CVE-2016-1503 ANDROID-26461634 Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 4 stycznia 2016

Luka umożliwiająca zdalne wykonanie kodu w kodeku multimedialnym

Podczas przetwarzania pliku multimedialnego i danych w specjalnie spreparowanym pliku luki w kodeku multimediów używanym przez serwer multimediów mogą umożliwić osobie atakującej uszkodzenie pamięci i zdalne wykonanie kodu jako proces serwera multimediów.

Zakłócona funkcja jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności MMS i odtwarzanie multimediów w przeglądarce.

Ten problem jest oceniany jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście usługi mediaserver. Usługa mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie miały dostępu aplikacje innych firm.

CVE Błąd Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0834 ANDROID-26220548* Krytyczny 6.0, 6.0.1 16 grudnia 2015

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Luka umożliwiająca zdalne wykonanie kodu w Mediaserver

Podczas przetwarzania pliku multimedialnego i danych w specjalnie spreparowanym pliku luki w serwerze multimediów mogą umożliwić osobie atakującej uszkodzenie pamięci i zdalne wykonanie kodu jako procesu serwera multimediów.

Zakłócona funkcja jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności MMS i odtwarzanie multimediów w przeglądarce.

Ten problem jest oceniany jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście usługi mediaserver. Usługa mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie miały dostępu aplikacje innych firm.

CVE Błędy z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0835 ANDROID-26070014 [ 2 ] Krytyczny 6.0, 6.0.1 6 grudnia 2015
CVE-2016-0836 ANDROID-25812590 Krytyczny 6.0, 6.0.1 19 listopada 2015
CVE-2016-0837 ANDROID-27208621 Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 lut 2016
CVE-2016-0838 ANDROID-26366256 [ 2 ] Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google
CVE-2016-0839 ANDROID-25753245 Krytyczny 6.0, 6.0.1 Wewnętrzne Google
CVE-2016-0840 ANDROID-26399350 Krytyczny 6.0, 6.0.1 Wewnętrzne Google
CVE-2016-0841 ANDROID-26040840 Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

Luka umożliwiająca zdalne wykonanie kodu w libstagefright

Podczas przetwarzania plików multimedialnych i danych w specjalnie spreparowanym pliku luki w libstagefright mogą umożliwić osobie atakującej uszkodzenie pamięci i zdalne wykonanie kodu jako proces serwera mediów.

Zakłócona funkcja jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności MMS i odtwarzanie multimediów w przeglądarce.

Ten problem jest oceniany jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście usługi mediaserver. Usługa mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie miały dostępu aplikacje innych firm.

CVE Błąd z linkiem AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0842 ANDROID-25818142 Krytyczny 6.0, 6.0.1 23 listopada 2015

Podwyższenie luki związanej z przywilejami w Kernel

Luka umożliwiająca podniesienie uprawnień w jądrze może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w jądrze. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego złamania zabezpieczeń urządzenia, które prawdopodobnie wymagałoby naprawy przez ponowne załadowanie systemu operacyjnego. Ten problem został opisany w Poradniku zabezpieczeń systemu Android 2016-03-18 .

CVE Błąd Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2015-1805 ANDROID-27275324* Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19 lutego 2016

* Łata w AOSP jest dostępna dla określonych wersji jądra: 3.14 , 3.10 i 3.4 .

Podwyższona luka w zabezpieczeniach uprawnień w module wydajności Qualcomm

Luka umożliwiająca podniesienie uprawnień w komponencie menedżera zdarzeń wydajności dla procesorów ARM firmy Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w jądrze. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego złamania zabezpieczeń urządzenia, które prawdopodobnie wymagałoby naprawy przez ponowne załadowanie systemu operacyjnego.

CVE Błąd Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0843 ANDROID-25801197* Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19 listopada 2015

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższenie poziomu luki uprzywilejowanej w komponencie RF Qualcomm

W sterowniku Qualcomm RF istnieje luka, która może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego złamania zabezpieczeń urządzenia, które prawdopodobnie wymagałoby naprawy przez ponowne załadowanie systemu operacyjnego.

CVE Błąd z linkiem AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0844 ANDROID-26324307 * Krytyczny 6.0, 6.0.1 25 grudnia 2015

* Dodatkowa poprawka rozwiązująca ten problem znajduje się w starszych wersjach Linuksa .

Podwyższenie luki związanej z przywilejami w Kernel

Luka umożliwiająca podniesienie uprawnień we wspólnym jądrze może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w jądrze. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego złamania zabezpieczeń urządzenia, które prawdopodobnie wymagałoby naprawy przez ponowne załadowanie systemu operacyjnego.

CVE Błąd z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2014-9322 ANDROID-26927260 [ 2 ] [ 3 ]
[ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ]
Krytyczny 6.0, 6.0.1 25 grudnia 2015

Podwyższona luka w zabezpieczeniach uprawnień w natywnym interfejsie IMemory

Luka umożliwiająca podniesienie uprawnień w interfejsie IMemory Native Interface może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem ma wysoki poziom ważności, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.

CVE Błąd z linkiem AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0846 ANDROID-26877992 Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 stycznia 2016

Podwyższona luka w zabezpieczeniach uprawnień w komponencie telekomunikacyjnym

Luka umożliwiająca podniesienie uprawnień w komponencie telekomunikacyjnym może umożliwić osobie atakującej sprawianie, by połączenia wyglądały na pochodzące z dowolnego numeru. Ten problem ma wysoki poziom ważności, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, takich jak uprawnienia podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.

CVE Błąd z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0847 ANDROID-26864502 [ 2 ] Wysoki 5.0.2, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

Podwyższona luka w zabezpieczeniach uprawnień w Menedżerze pobierania

Luka umożliwiająca podniesienie uprawnień w Menedżerze pobierania może umożliwić osobie atakującej uzyskanie dostępu do nieautoryzowanych plików w prywatnym magazynie. Ten problem ma wysoki poziom ważności, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, takich jak uprawnienia podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.

CVE Błąd z linkiem AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0848 ANDROID-26211054 Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 grudnia 2015 r.

Podwyższenie stopnia narażenia przywilejów w procedurze odzyskiwania

Luka umożliwiająca podniesienie uprawnień w procedurze odzyskiwania może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem ma wysoki poziom ważności, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.

CVE Błąd z linkiem AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0849 ANDROID-26960931 Wysoki 5.0.2, 5.1.1, 6.0, 6.0.1 3 lut 2016

Podwyższenie luki związanej z przywilejami w Bluetooth

Luka umożliwiająca podniesienie uprawnień w technologii Bluetooth może umożliwić niezaufanemu urządzeniu sparowanie z telefonem podczas początkowego procesu parowania. Może to prowadzić do nieautoryzowanego dostępu do zasobów urządzenia, takich jak połączenie internetowe. Ten problem jest oceniany jako wysoki, ponieważ może być używany do zwiększenia możliwości, które nie są dostępne dla niezaufanych urządzeń.

CVE Błąd z linkiem AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-0850 ANDROID-26551752 Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 13 stycznia 2016

Podwyższona luka uprzywilejowania w sterowniku dotykowym Texas Instruments

W dotykowym sterowniku jądra firmy Texas Instruments istnieje luka umożliwiająca podniesienie uprawnień, która może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Normalnie taki błąd wykonania kodu jądra zostałby oceniony jako krytyczny, ale ponieważ najpierw wymaga narażenia usługi, która może wywołać sterownik, jest oceniany jako wysoki.

CVE Błąd Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-2409 ANDROID-25981545* Wysoki 6.0, 6.0.1 25 grudnia 2015

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka w zabezpieczeniach dotycząca uprawnień w sterowniku jądra wideo Qualcomm

W sterowniku jądra wideo Qualcomm występuje luka umożliwiająca podniesienie uprawnień, która może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Zwykle luka w zabezpieczeniach umożliwiająca wykonanie kodu jądra miałaby wskaźnik ważności „krytyczny”, ale ponieważ wymaga ona uprzedniego złamania zabezpieczeń usługi, która może wywołać sterownik, ma zamiast tego wskaźnik ważności Wysoki.

CVE Błąd Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-2410 ANDROID-26291677* Wysoki 6.0, 6.0.1 21 grudnia 2015

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka w zabezpieczeniach uprawnień w komponencie Qualcomm Power Management

W sterowniku jądra Qualcomm Power Management występuje luka umożliwiająca podniesienie uprawnień, która może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Zwykle taki błąd wykonania kodu jądra byłby oceniany jako krytyczny, ale ponieważ wymaga uprzedniego naruszenia bezpieczeństwa urządzenia i podniesienia uprawnień do roota, jest oceniany jako wysoki.

CVE Błąd Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-2411 ANDROID-26866053* Wysoki 6.0, 6.0.1 28 stycznia 2016

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższenie luki w uprawnieniach serwera System_server

Luka umożliwiająca podniesienie uprawnień w serwerze System_server może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem ma wysoki poziom ważności, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.

CVE Błąd z linkiem AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-2412 ANDROID-26593930 Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 15 stycznia 2016

Podwyższenie luki w uprawnieniach w Mediaserver

Luka umożliwiająca podniesienie uprawnień w serwerze mediów może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem ma wysoki poziom ważności, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.

CVE Błąd z linkiem AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-2413 ANDROID-26403627 Wysoki 5.0.2, 5.1.1, 6.0, 6.0.1 5 stycznia 2016

Luka w zabezpieczeniach typu „odmowa usługi” w Minikin

Luka w zabezpieczeniach typu „odmowa usługi” w bibliotece Minikin może umożliwić lokalnej osobie atakującej tymczasowe zablokowanie dostępu do urządzenia, którego dotyczy problem. Osoba atakująca może spowodować załadowanie niezaufanej czcionki i spowodować przepełnienie składnika Minikin, co prowadzi do awarii. Jest to oceniane jako wysoki poziom ważności, ponieważ odmowa usługi prowadziłaby do ciągłej pętli ponownego uruchamiania.

CVE Błąd z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-2414 ANDROID-26413177 [ 2 ] Wysoki 5.0.2, 5.1.1, 6.0, 6.0.1 3 listopada 2015 r.

Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w programie Exchange ActiveSync

Luka umożliwiająca ujawnienie informacji w programie Exchange ActiveSync może umożliwić lokalnej złośliwej aplikacji uzyskanie dostępu do prywatnych informacji użytkownika. Ten problem ma wysoki poziom ważności, ponieważ umożliwia zdalny dostęp do chronionych danych.

CVE Błąd z linkiem AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-2415 ANDROID-26488455 Wysoki 5.0.2, 5.1.1, 6.0, 6.0.1 11 stycznia 2016

Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w Mediaserver

Luka umożliwiająca ujawnienie informacji w Mediaserver może pozwolić na obejście środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę. Te problemy są oceniane jako wysoki poziom ważności, ponieważ mogą być również używane do uzyskiwania podwyższonych możliwości, takich jak uprawnienia uprawnień podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.

CVE Błędy z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-2416 ANDROID-27046057 [ 2 ] Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 lut 2016
CVE-2016-2417 ANDROID-26914474 Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 1 lut 2016
CVE-2016-2418 ANDROID-26324358 Wysoki 6.0, 6.0.1 24 grudnia 2015
CVE-2016-2419 ANDROID-26323455 Wysoki 6.0, 6.0.1 24 grudnia 2015

Podniesienie poziomu luki w zabezpieczeniach w debugowanym komponencie

Luka umożliwiająca podniesienie uprawnień w składniku Debuggerd może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu, który może doprowadzić do trwałego złamania zabezpieczeń urządzenia. W rezultacie urządzenie prawdopodobnie wymagałoby naprawy poprzez ponowne flashowanie systemu operacyjnego. Zwykle taki błąd wykonania kodu byłby oceniany jako krytyczny, ale ponieważ umożliwia podniesienie uprawnień z systemu do roota tylko w wersji Androida 4.4.4, jest oceniany jako umiarkowany. W wersjach Androida 5.0 i nowszych reguły SELinux uniemożliwiają aplikacjom innych firm dostęp do kodu, którego dotyczy problem.

CVE Błąd z linkami AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-2420 ANDROID-26403620 [ 2 ] Umiarkowany 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 stycznia 2016

Podniesienie poziomu luki w uprawnieniach w kreatorze konfiguracji

Luka w Kreatorze instalacji może umożliwić osobie atakującej ominięcie ochrony przywracania ustawień fabrycznych i uzyskanie dostępu do urządzenia. Jest to oceniane jako umiarkowana istotność, ponieważ potencjalnie umożliwia osobie mającej fizyczny dostęp do urządzenia ominięcie ochrony przywracania ustawień fabrycznych, co umożliwiłoby atakującemu pomyślne zresetowanie urządzenia, usuwając wszystkie dane.

CVE Błąd Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-2421 ANDROID-26154410* Umiarkowany 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszej wersji binarnej dla urządzeń Nexus dostępnej w witrynie Google Developer .

Podwyższenie luki związanej z przywilejami w sieci Wi-Fi

Luka umożliwiająca podniesienie uprawnień w sieci Wi-Fi może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem ma ważność umiarkowaną, ponieważ może być używany do uzyskania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.

CVE Błąd z linkiem AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-2422 ANDROID-26324357 Umiarkowany 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 23 grudnia 2015

Zwiększenie podatności na przywileje w telefonii

Luka w telefonii może umożliwić osobie atakującej ominięcie ochrony przywracania ustawień fabrycznych i uzyskanie dostępu do urządzenia. Jest to oceniane jako umiarkowana istotność, ponieważ potencjalnie umożliwia osobie mającej fizyczny dostęp do urządzenia ominięcie ochrony przywracania ustawień fabrycznych, co umożliwiłoby atakującemu pomyślne zresetowanie urządzenia, usuwając wszystkie dane.

CVE Błąd z linkiem AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-2423 ANDROID-26303187 Umiarkowany 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

Luka w zabezpieczeniach typu „odmowa usługi” w SyncStorageEngine

Luka w zabezpieczeniach typu „odmowa usługi” w SyncStorageEngine może umożliwić lokalnej złośliwej aplikacji wywołanie pętli ponownego rozruchu. Ten problem ma średni poziom ważności, ponieważ może powodować lokalną tymczasową odmowę usługi, która prawdopodobnie wymagałaby naprawy przez przywrócenie ustawień fabrycznych.

CVE Błąd z linkiem AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-2424 ANDROID-26513719 Umiarkowany 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w AOSP Mail

Luka umożliwiająca ujawnienie informacji w Poczcie AOSP może umożliwić lokalnej złośliwej aplikacji uzyskanie dostępu do prywatnych informacji użytkownika. Ten problem jest oceniany jako umiarkowana istotność, ponieważ może zostać wykorzystany do niewłaściwego uzyskania „niebezpiecznych” uprawnień.

CVE Błędy z łączem AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-2425 ANDROID-26989185 Umiarkowany 4.4.4, 5.1.1, 6.0, 6.0.1 29 stycznia 2016
CVE-2016-2425 ANDROID-7154234* Umiarkowany 5.0.2 29 stycznia 2016

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszej wersji binarnej dla urządzeń Nexus dostępnej w witrynie Google Developer .

Luka w zabezpieczeniach ujawniania informacji w frameworku

Luka umożliwiająca ujawnienie informacji w komponencie Framework może umożliwić aplikacji dostęp do poufnych informacji. Ten problem jest oceniany jako umiarkowana istotność, ponieważ może być używany do nieprawidłowego dostępu do danych bez pozwolenia.

CVE Błąd z linkiem AOSP Surowość Zaktualizowane wersje Data zgłoszenia
CVE-2016-2426 ANDROID-26094635 Umiarkowany 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 8 grudnia 2015

Często zadawane pytania i odpowiedzi

W tej sekcji przedstawiono odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Poziomy poprawek zabezpieczeń z 2 kwietnia 2016 r. lub później rozwiązują te problemy (zapoznaj się z dokumentacją Nexusa, aby uzyskać instrukcje sprawdzania poziomu poprawek zabezpieczeń). Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[2016-04-02]

2. Dlaczego ta poprawka zabezpieczeń ma poziom z 2 kwietnia 2016 r.?

Poziom poprawek zabezpieczeń dla comiesięcznej aktualizacji zabezpieczeń jest zwykle ustawiony na pierwszy dzień miesiąca. W kwietniu poziom poprawki zabezpieczeń z 1 kwietnia 2016 r. wskazuje, że wszystkie problemy opisane w tym biuletynie z wyjątkiem CVE-2015-1805, zgodnie z opisem w Poradniku zabezpieczeń systemu Android 2016-03-18 , zostały rozwiązane. Poziom poprawki zabezpieczeń z dnia 2 kwietnia 2016 r. wskazuje, że wszystkie problemy opisane w tym biuletynie, w tym CVE-2015-1805, opisane w Poradniku zabezpieczeń systemu Android 2016-03-18 zostały rozwiązane.

Rewizje

  • 04 kwietnia 2016 r.: Biuletyn opublikowany.
  • 06 kwietnia 2016 r.: Biuletyn zaktualizowany w celu uwzględnienia łączy AOSP.
  • 7 kwietnia 2016 r.: Biuletyn zaktualizowany w celu uwzględnienia dodatkowego łącza AOSP.
  • 11 lipca 2016: Zaktualizowany opis CVE-2016-2427.
  • 01 sierpnia 2016: Zaktualizowany opis CVE-2016-2427
  • 19 grudnia 2016: Zaktualizowano, aby usunąć CVE-2016-2427, który został cofnięty.