Publicado em 4 de abril de 2016 | Atualizado em 19 de dezembro de 2016
Lançamos uma atualização de segurança para dispositivos Nexus por uma atualização OTA como parte do nosso processo de lançamento mensal do Boletim de segurança do Android. As imagens de firmware do Nexus também foram lançadas no site para desenvolvedores do Google. Os níveis de patch de segurança de 2 de abril de 2016 ou mais recentes resolvem esses problemas. Consulte a documentação do Nexus para instruções sobre como verificar o nível do patch de segurança.
Os parceiros foram notificados sobre os problemas descritos no boletim em 16 de março de 2016 ou antes. Quando aplicável, os patches de código-fonte para esses problemas foram lançados no repositório do Android Open Source Project (AOSP).
O problema mais grave é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por vários métodos, como e-mail, navegação na Web e MMS ao processar arquivos de mídia. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade teria em um dispositivo afetado, supondo que as mitigações de plataforma e serviço estejam desativadas para fins de desenvolvimento ou se forem contornadas.
O Aviso de segurança do Android 2016-03-18 já havia discutido o uso de CVE-2015-1805 por um aplicativo de acesso root. A CVE-2015-1805 foi resolvida nesta atualização. Não houve relatos de exploração ativa de clientes ou abuso dos outros problemas recém-informados. Consulte a seção Mitigações para mais detalhes sobre as proteções da plataforma de segurança do Android e as proteções de serviço, como a SafetyNet, que melhoram a segurança da plataforma Android.
Mitigações
Este é um resumo das mitigações fornecidas pela plataforma de segurança do Android e proteções de serviço, como a SafetyNet. Esses recursos reduzem a probabilidade de que vulnerabilidades de segurança sejam exploradas no Android.
- A exploração de muitos problemas no Android fica mais difícil devido a melhorias nas versões mais recentes da plataforma Android. Recomendamos que todos os usuários atualizem para a versão mais recente do Android, sempre que possível.
- A equipe de segurança do Android está monitorando ativamente o abuso com o recurso Verificar apps e o SafetyNet, que alerta o usuário sobre aplicativos potencialmente nocivos que estão prestes a ser instalados. Ferramentas de acesso root de dispositivos são proibidas no Google Play. Para proteger os usuários que instalam apps de fora do Google Play, o recurso "Verificar apps" é ativado por padrão e alerta os usuários sobre apps de enraizamento conhecidos. O Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de elevação de privilégios. Se um aplicativo desse tipo já tiver sido instalado, o recurso Verificar apps vai notificar o usuário e tentar remover esses aplicativos.
- Conforme apropriado, os aplicativos do Google Hangouts e do Messenger não transmitem mídia automaticamente para processos, como o mediaserver.
Agradecimentos
A equipe de segurança do Android gostaria de agradecer as seguintes contribuições:
- Abhishek Arya, Oliver Chang e Martin Barbella, da equipe de segurança do Google Chrome: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
- Anestis Bechtsoudis (@anestisb) da CENSUS S.A.: CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
- Brad Ebinger e Santos Cordon da equipe de telecomunicações do Google: CVE-2016-0847
- Dominik Schürmann, do Instituto de Sistemas Operacionais e Redes de Computadores, TU Braunschweig: CVE-2016-2425
- Gengjia Chen (@chengjia4574), pjf, Jianqiang Zhao (@jianqiangzhao) do IceSword Lab, Qihoo 360: CVE-2016-0844
- George Piskas, da École polytechnique fédérale de Lausanne: CVE-2016-2426
- Guang Gong (龚广) (@oldfresher) da Qihoo 360 Technology Co.Ltd: CVE-2016-2412, CVE-2016-2416
- James Forshaw do Project Zero do Google: CVE-2016-2417, CVE-2016-0846
- Jianqiang Zhao(@jianqiangzhao), pjf e Gengjia Chen (@chengjia4574) do IceSword Lab, Qihoo 360: CVE-2016-2410, CVE-2016-2411
- Jianqiang Zhao (@jianqiangzhao) e pjf do IceSword Lab, Qihoo 360: CVE-2016-2409
- Nancy Wang da Vertu Corporation LTD: CVE-2016-0837
- Nasim Zamir: CVE-2016-2409
- Nico Golde (@iamnion) da Qualcomm Iniciativa de segurança do produto: CVE-2016-2420, CVE-2016-0849
- Peter Pi (@heisecode) da Trend Micro: CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
- Richard Shupak: CVE-2016-2415
- Romain Trouvé, da MWR Labs: CVE-2016-0850
- Stuart Henderson: CVE-2016-2422
- Vishwath Mohan, da equipe de segurança do Android: CVE-2016-2424
- Weichao Sun (@sunblate) da Alibaba Inc.: CVE-2016-2414
- Wish Wu (@wish_wu) da Trend Micro Inc.: CVE-2016-0843
- Yeonjoon Lee e Xiaofeng Wang da Universidade de Indiana Bloomington, Tongxin Li e Xinhui Han da Universidade de Pequim: CVE-2016-0848
A equipe de segurança do Android também agradece a Yuan-Tsung Lo, Wenke Dou, Chiachih Wu (@chiachih_wu) e Xuxian Jiang da Equipe C0RE e Zimperium pela contribuição ao CVE-2015-1805.
Detalhes da vulnerabilidade de segurança
As seções abaixo contêm detalhes sobre cada uma das vulnerabilidades de segurança que se aplicam ao nível do patch 2016-04-02. Há uma descrição do problema, um raciocínio sobre a gravidade e uma tabela com a CVE, o bug associado, a gravidade, as versões afetadas e a data de notificação. Quando disponível, vamos vincular o commit do AOSP que resolveu o problema ao ID do bug. Quando várias mudanças se relacionam a um único bug, outras referências do AOSP são vinculadas a números após o ID do bug.
Vulnerabilidade de execução remota de código no DHCPCD
Uma vulnerabilidade no serviço de protocolo de configuração de host dinâmico pode permitir que um invasor cause corrupção de memória, o que pode levar à execução remota de código. Esse problema tem gravidade crítica devido à possibilidade de execução remota de código no contexto do cliente DHCP. O serviço DHCP tem acesso a privilégios que os apps de terceiros normalmente não podem acessar.
| CVE | Bugs com links do AOSP | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2014-6060 | ANDROID-15268738 | Crítico | 4.4.4 | 30 de julho de 2014 |
| CVE-2014-6060 | ANDROID-16677003 | Crítico | 4.4.4 | 30 de julho de 2014 |
| CVE-2016-1503 | ANDROID-26461634 | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 de janeiro de 2016 |
Vulnerabilidade de execução remota de código no codec de mídia
Durante o processamento de arquivos de mídia e dados de um arquivo criado especialmente, vulnerabilidades em um codec de mídia usado pelo mediaserver podem permitir que um invasor cause corrupção de memória e execução remota de código como o processo do mediaserver.
A funcionalidade afetada é fornecida como parte principal do sistema operacional, e há vários aplicativos que permitem o acesso a ela com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador.
Esse problema é classificado como de gravidade crítica devido à possibilidade de execução remota de código no contexto do serviço do mediaserver. O serviço de mediaserver tem acesso a streams de áudio e vídeo, além de privilégios que apps de terceiros normalmente não podem acessar.
| CVE | Bug | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-0834 | ANDROID-26220548* | Crítico | 6.0, 6.0.1 | 16 de dezembro de 2015 |
* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de execução remota de código no Mediaserver
Durante o processamento de arquivos de mídia e dados de um arquivo criado especialmente, as vulnerabilidades no mediaserver podem permitir que um invasor cause corrupção de memória e execução remota de código como o processo do mediaserver.
A funcionalidade afetada é fornecida como parte principal do sistema operacional, e há vários aplicativos que permitem o acesso a ela com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador.
Esse problema é classificado como de gravidade crítica devido à possibilidade de execução remota de código no contexto do serviço do mediaserver. O serviço de mediaserver tem acesso a streams de áudio e vídeo, além de privilégios que apps de terceiros normalmente não podem acessar.
| CVE | Bugs com links do AOSP | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-0835 | ANDROID-26070014 [2] | Crítico | 6.0, 6.0.1 | 6 de dezembro de 2015 |
| CVE-2016-0836 | ANDROID-25812590 | Crítico | 6.0, 6.0.1 | 19 de novembro de 2015 |
| CVE-2016-0837 | ANDROID-27208621 | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 de fevereiro de 2016 |
| CVE-2016-0838 | ANDROID-26366256 [2] | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
| CVE-2016-0839 | ANDROID-25753245 | Crítico | 6.0, 6.0.1 | Interno do Google |
| CVE-2016-0840 | ANDROID-26399350 | Crítico | 6.0, 6.0.1 | Interno do Google |
| CVE-2016-0841 | ANDROID-26040840 | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
Vulnerabilidade de execução remota de código no libstagefright
Durante o processamento de arquivos de mídia e dados de um arquivo criado especialmente, as vulnerabilidades no libstagefright podem permitir que um invasor cause corrupção de memória e execução remota de código como o processo do mediaserver.
A funcionalidade afetada é fornecida como parte principal do sistema operacional, e há vários aplicativos que permitem o acesso a ela com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador.
Esse problema tem gravidade crítica devido à possibilidade de execução remota de código no contexto do serviço do mediaserver. O serviço de mediaserver tem acesso a streams de áudio e vídeo, além de privilégios que apps de terceiros normalmente não podem acessar.
| CVE | Bug com link do AOSP | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-0842 | ANDROID-25818142 | Crítico | 6.0, 6.0.1 | 23 de novembro de 2015 |
Elevação de vulnerabilidade de privilégio no kernel
Uma elevação de vulnerabilidade de privilégio no kernel pode permitir que um aplicativo malicioso local execute um código arbitrário no kernel. Esse problema é classificado como de gravidade crítica devido à possibilidade de comprometimento permanente local do dispositivo. O dispositivo provavelmente precisa ser reparado reinstalando o sistema operacional. Esse problema foi descrito no Aviso de segurança do Android 2016-03-18.
| CVE | Bug | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2015-1805 | ANDROID-27275324* | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 de fevereiro de 2016 |
* O patch no AOSP está disponível para versões específicas do kernel: 3.14, 3.10 e 3.4.
Vulnerabilidade de elevação de privilégio no módulo de desempenho da Qualcomm
Uma elevação de vulnerabilidade de privilégio no componente do gerenciador de eventos de desempenho para processadores ARM da Qualcomm pode permitir que um aplicativo local malicioso execute códigos arbitrários no kernel. Esse problema é classificado como de severidade crítica devido à possibilidade de comprometimento permanente do dispositivo local. O dispositivo possivelmente precisa ser reparado com uma nova atualização do sistema operacional.
| CVE | Bug | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-0843 | ANDROID-25801197* | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 de novembro de 2015 |
* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégio no componente RF da Qualcomm
Há uma vulnerabilidade no driver de RF da Qualcomm que pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como de gravidade crítica devido à possibilidade de comprometer permanentemente o dispositivo local. O dispositivo talvez precise ser reparado com uma nova instalação do sistema operacional.
| CVE | Bug com link do AOSP | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-0844 | ANDROID-26324307* | Crítico | 6.0, 6.0.1 | 25 de dezembro de 2015 |
* Um patch adicional para esse problema está localizado no upstream do Linux.
Elevação de vulnerabilidade de privilégio no kernel
Uma elevação de vulnerabilidade de privilégio no kernel comum pode permitir que um aplicativo malicioso local execute códigos arbitrários no kernel. Esse problema é classificado como de gravidade crítica devido à possibilidade de comprometimento permanente local do dispositivo, e o dispositivo provavelmente precisa ser reparado reinstalando o sistema operacional.
| CVE | Bug com links do AOSP | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2014-9322 | ANDROID-26927260
[2]
[3] [4] [5] [6] [7] [8] [9] [10] [11] |
Crítico | 6.0, 6.0.1 | 25 de dezembro de 2015 |
Vulnerabilidade de elevação de privilégio na interface nativa IMemory
Uma elevação de vulnerabilidade de privilégio na interface nativa IMemory pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema foi classificado como de alta gravidade porque pode ser usado para elevar privilégios, como Signature ou SignatureOrSystem, que não são acessíveis a um aplicativo de terceiros.
| CVE | Bug com link do AOSP | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-0846 | ANDROID-26877992 | Alta | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 de janeiro de 2016 |
Vulnerabilidade de elevação de privilégio no componente de telecomunicações
Uma elevação de vulnerabilidade de privilégio no componente de telecomunicações pode permitir que um invasor faça chamadas que pareçam vir de qualquer número arbitrário. Esse problema é classificado como de alta gravidade porque pode ser usado para conseguir acesso local a recursos elevados, como Signature ou SignatureOrSystem de permissões, que não são acessíveis a um aplicativo de terceiros.
| CVE | Bug com links do AOSP | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-0847 | ANDROID-26864502 [2] | Alta | 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
Vulnerabilidade de elevação de privilégio no gerenciador de downloads
Uma elevação de privilégio no gerenciador de downloads pode permitir que um atacante tenha acesso a arquivos não autorizados no armazenamento particular. Esse problema é classificado como de alta gravidade porque pode ser usado para ter acesso local a recursos elevados, como Signature ou privilégios de permissões SignatureOrSystem, que não são acessíveis a um aplicativo de terceiros.
| CVE | Bug com link do AOSP | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-0848 | ANDROID-26211054 | Alta | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 de dezembro de 2015 |
Elevação do privilégio no procedimento de recuperação
Uma vulnerabilidade de elevação de privilégio no procedimento de recuperação pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um aplicativo de sistema com privilégios elevados. Esse problema tem uma gravidade alta porque pode ser usado para acessar recursos elevados, como Signature ou SignatureOrSystem, que não são acessíveis para um aplicativo de terceiros.
| CVE | Bug com link do AOSP | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-0849 | ANDROID-26960931 | Alta | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 de fevereiro de 2016 |
Vulnerabilidade de elevação de privilégio no Bluetooth
Uma elevação de vulnerabilidade de privilégio no Bluetooth pode permitir que um dispositivo não confiável seja pareado com o smartphone durante o processo inicial de pareamento. Isso pode levar ao acesso não autorizado aos recursos do dispositivo, como a conexão de Internet. Esse problema tem uma gravidade alta porque pode ser usado para obter recursos elevados que não são acessíveis para dispositivos não confiáveis.
| CVE | Bug com link do AOSP | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-0850 | ANDROID-26551752 | Alta | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 13 de janeiro de 2016 |
Vulnerabilidade de elevação de privilégio no driver de vibração da Texas Instruments
Há uma elevação de vulnerabilidade de privilégio em um driver de kernel táctil da Texas Instruments que pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Normalmente, um bug de execução de código do kernel como esse seria classificado como crítico, mas, como ele primeiro exige comprometer um serviço que pode chamar o driver, ele é classificado como de alta gravidade.
| CVE | Bug | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2409 | ANDROID-25981545* | Alta | 6.0, 6.0.1 | 25 de dezembro de 2015 |
* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégio no driver do kernel de vídeo da Qualcomm
Há uma elevação de vulnerabilidade de privilégio em um driver do kernel de vídeo da Qualcomm que pode permitir que um aplicativo local malicioso execute código arbitrário no contexto do kernel. Normalmente, uma vulnerabilidade de execução de código do kernel seria classificada como crítica, mas, como ela exige primeiro comprometer um serviço que pode chamar o driver, ela é classificada como de alta gravidade.
| CVE | Bug | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2410 | ANDROID-26291677* | Alta | 6.0, 6.0.1 | 21 de dezembro de 2015 |
* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégio no componente de gerenciamento de energia da Qualcomm
Há uma elevação de vulnerabilidade de privilégio em um driver do kernel de gerenciamento de energia da Qualcomm que pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Normalmente, um bug de execução de código do kernel como esse seria classificado como crítico, mas, como ele exige que o dispositivo seja comprometedor e a elevação para raiz, ele é classificado como de alta gravidade.
| CVE | Bug | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2411 | ANDROID-26866053* | Alta | 6.0, 6.0.1 | 28 de janeiro de 2016 |
* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégio no System_server
Uma vulnerabilidade de elevação de privilégios no System_server pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema tem uma gravidade alta porque pode ser usado para acessar recursos elevados, como os privilégios de permissões Signature ou SignatureOrSystem, que não são acessíveis para um aplicativo de terceiros.
| CVE | Bug com link do AOSP | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2412 | ANDROID-26593930 | Alta | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 de janeiro de 2016 |
Vulnerabilidade de elevação de privilégio no Mediaserver
Uma vulnerabilidade de elevação de privilégio no mediaserver pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema tem uma gravidade alta porque pode ser usado para acessar recursos elevados, como Signature ou SignatureOrSystem, que não são acessíveis por um aplicativo de terceiros.
| CVE | Bug com link do AOSP | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2413 | ANDROID-26403627 | Alta | 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 de janeiro de 2016 |
Vulnerabilidade de negação de serviço no Minikin
Uma vulnerabilidade de negação de serviço na biblioteca Minikin pode permitir que um invasor local bloqueie temporariamente o acesso a um dispositivo afetado. Um invasor pode fazer com que uma fonte não confiável seja carregada e causar um overflow no componente Minikin, o que leva a uma falha. Isso é classificado como de alta gravidade porque a negação de serviço levaria a um ciclo de reinicialização contínuo.
| CVE | Bug com links do AOSP | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2414 | ANDROID-26413177 [2] | Alta | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 de novembro de 2015 |
Vulnerabilidade de divulgação de informações no Exchange ActiveSync
Uma vulnerabilidade de divulgação de informações no Exchange ActiveSync pode permitir que um aplicativo malicioso local tenha acesso às informações particulares de um usuário. Esse problema tem uma gravidade alta porque permite o acesso remoto a dados protegidos.
| CVE | Bug com link do AOSP | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2415 | ANDROID-26488455 | Alta | 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 de janeiro de 2016 |
Vulnerabilidade de divulgação de informações no Mediaserver
Uma vulnerabilidade de divulgação de informações no Mediaserver poderia permitir a ignorância das medidas de segurança em vigor para aumentar a dificuldade dos invasores de explorar a plataforma. Esses problemas são classificados como de alta gravidade porque também podem ser usados para acessar recursos elevados, como Signature ou SignatureOrSystem (links em inglês), que não são acessíveis a aplicativos de terceiros.
| CVE | Bugs com links do AOSP | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2416 | ANDROID-27046057 [2] | Alta | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 de fevereiro de 2016 |
| CVE-2016-2417 | ANDROID-26914474 | Alta | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1º de fevereiro de 2016 |
| CVE-2016-2418 | ANDROID-26324358 | Alta | 6.0, 6.0.1 | 24 de dezembro de 2015 |
| CVE-2016-2419 | ANDROID-26323455 | Alta | 6.0, 6.0.1 | 24 de dezembro de 2015 |
Vulnerabilidade de elevação de privilégio no componente com depurador
Uma elevação de vulnerabilidade de privilégio no componente Debuggerd pode permitir que um aplicativo malicioso local execute um código arbitrário que possa levar a uma comprometendo permanente do dispositivo. Como resultado, o dispositivo talvez precise ser reparado com uma nova atualização do sistema operacional. Normalmente, um bug de execução de código como esse seria classificado como crítico, mas, como ele permite uma elevação de privilégio do sistema para a raiz apenas na versão 4.4.4 do Android, ele é classificado como moderado. Nas versões 5.0 e mais recentes do Android, as regras do SELinux impedem que aplicativos de terceiros acessem o código afetado.
| CVE | Bug com links do AOSP | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2420 | ANDROID-26403620 [2] | Moderada | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 de janeiro de 2016 |
Vulnerabilidade de elevação de privilégio no assistente de configuração
Uma vulnerabilidade no assistente de configuração pode permitir que um invasor ignore a proteção contra redefinição de fábrica e tenha acesso ao dispositivo. A gravidade é moderada porque permite que alguém com acesso físico a um dispositivo contorne a proteção contra redefinição de fábrica, o que permitiria que um invasor redefinisse um dispositivo e apagasse todos os dados.
| CVE | Bug | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2421 | ANDROID-26154410* | Moderada | 5.1.1, 6.0, 6.0.1 | Interno do Google |
* O patch para esse problema não está no AOSP. A atualização está contida na versão binária mais recente para dispositivos Nexus disponível no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégio no Wi-Fi
Uma vulnerabilidade de elevação de privilégio no Wi-Fi pode permitir que um aplicativo local malicioso execute código arbitrário no contexto de um aplicativo do sistema com privilégios elevados. Esse problema tem uma gravidade moderada porque pode ser usado para ganhar recursos elevados, como Signature ou SignatureOrSystem privilégios de permissões, que não são acessíveis a um aplicativo de terceiros.
| CVE | Bug com link do AOSP | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2422 | ANDROID-26324357 | Moderada | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 de dezembro de 2015 |
Vulnerabilidade de elevação de privilégio em telefonia
Uma vulnerabilidade na telefonia pode permitir que um invasor ignore a proteção contra redefinição de fábrica e tenha acesso ao dispositivo. Isso é classificado como de gravidade moderada porque permite que alguém com acesso físico a um dispositivo ignore a proteção contra redefinição de fábrica, o que permitiria que um invasor redefinisse um dispositivo, apagando todos os dados.
| CVE | Bug com link do AOSP | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2423 | ANDROID-26303187 | Moderada | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
Vulnerabilidade de negação de serviço no SyncStorageEngine
Uma vulnerabilidade de negação de serviço no SyncStorageEngine pode permitir que um aplicativo malicioso local cause um ciclo de reinicialização. Esse problema é classificado como de gravidade moderada porque pode ser usado para causar uma negação de serviço temporária local que possivelmente precisa ser corrigida com uma redefinição de fábrica.
| CVE | Bug com link do AOSP | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2424 | ANDROID-26513719 | Moderada | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
Vulnerabilidade de divulgação de informações no AOSP Mail
Uma vulnerabilidade de divulgação de informações no AOSP Mail poderia permitir que um aplicativo malicioso local tivesse acesso às informações particulares de um usuário. Esse problema é classificado como de gravidade moderada porque pode ser usado para conseguir permissões "perigosas" de forma indevida.
| CVE | Bugs com link do AOSP | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2425 | ANDROID-26989185 | Moderada | 4.4.4, 5.1.1, 6.0, 6.0.1 | 29 de janeiro de 2016 |
| CVE-2016-2425 | ANDROID-7154234* | Moderada | 5.0.2 | 29 de janeiro de 2016 |
* O patch para esse problema não está no AOSP. A atualização está contida na versão binária mais recente para dispositivos Nexus disponível no site para desenvolvedores do Google.
Vulnerabilidade de divulgação de informações no framework
Uma vulnerabilidade de divulgação de informações no componente do framework pode permitir que um aplicativo acesse informações sensíveis. Esse problema tem uma gravidade moderada porque pode ser usado para acessar dados indevidamente sem permissão.
| CVE | Bug com link do AOSP | Gravidade | Versões atualizadas | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2426 | ANDROID-26094635 | Moderada | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 8 de dezembro de 2015 |
Perguntas e respostas comuns
Esta seção responde a perguntas comuns que podem surgir após a leitura deste boletim.
1. Como determino se meu dispositivo está atualizado para resolver esses problemas?
Os níveis do patch de segurança de 2 de abril de 2016 ou mais recentes resolvem esses problemas. Consulte a documentação do Nexus para instruções sobre como verificar o nível do patch de segurança. Os fabricantes de dispositivos que incluem essas atualizações precisam definir o nível da string de patch como: [ro.build.version.security_patch]:[2016-04-02]
2. Por que o nível do patch de segurança é 2 de abril de 2016?
O nível do patch de segurança para a atualização de segurança mensal normalmente é definido para o primeiro dia do mês. Para abril, um nível de patch de segurança de 1º de abril de 2016 indica que todos os problemas descritos neste boletim, com exceção de CVE-2015-1805, conforme descrito no Aviso de segurança do Android 2016-03-18, foram corrigidos. Um nível de patch de segurança de 2 de abril de 2016 indica que todos os problemas descritos neste boletim, incluindo o CVE-2015-1805, conforme descrito no Aviso de segurança do Android 2016-03-18, foram corrigidos.
Revisões
- 4 de abril de 2016: boletim publicado.
- 6 de abril de 2016: o boletim foi revisado para incluir links do AOSP.
- 7 de abril de 2016: o boletim foi revisado para incluir outro link do AOSP.
- 11 de julho de 2016: a descrição do CVE-2016-2427 foi atualizada.
- 1º de agosto de 2016: descrição atualizada de CVE-2016-2427
- 19 de dezembro de 2016: atualização para remover a CVE-2016-2427, que foi revertida.