פורסם ב-04 באפריל, 2016 | עודכן ב-19 בדצמבר 2016
פרסמנו עדכון אבטחה למכשירי Nexus באמצעות עדכון אויר (OTA) כחלק מתהליך השחרור החודשי של עלון האבטחה של Android. תמונות הקושחה של Nexus שוחררו גם לאתר Google Developer . רמות תיקון האבטחה של 2 באפריל 2016 ואילך מטפלות בבעיות אלה (עיין בתיעוד של Nexus לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה).
שותפים קיבלו הודעה על הבעיות המתוארות בעלון ב-16 במרץ 2016 או קודם לכן. במידת האפשר, תיקוני קוד מקור עבור בעיות אלה שוחררו למאגר Android Open Source Project (AOSP).
החמורה ביותר מבין הבעיות הללו היא פגיעות אבטחה קריטית שעלולה לאפשר ביצוע קוד מרחוק במכשיר מושפע באמצעות מספר שיטות כגון דואר אלקטרוני, גלישה באינטרנט ו-MMS בעת עיבוד קובצי מדיה. הערכת החומרה מבוססת על ההשפעה שאולי תהיה לניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה וההפחתות השירות מושבתות למטרות פיתוח או אם יעקפו בהצלחה.
Android Security Advisory 2016-03-18 דנו בעבר בשימוש ב- CVE-2015-1805 על ידי יישום השתרשות. CVE-2015-1805 נפתר בעדכון זה. לא היו דיווחים על ניצול פעיל של לקוחות או ניצול לרעה של הבעיות האחרות שדווחו לאחרונה. עיין בסעיף ההקלות לפרטים נוספים על הגנות פלטפורמת האבטחה אנדרואיד והגנות שירות כגון SafetyNet, המשפרות את האבטחה של פלטפורמת אנדרואיד.
הקלות
זהו סיכום של ההקלות שמספקות פלטפורמת האבטחה אנדרואיד והגנות שירות כגון SafetyNet. יכולות אלו מפחיתות את הסבירות שניתן יהיה לנצל בהצלחה פרצות אבטחה באנדרואיד.
- ניצול בעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
- צוות האבטחה של אנדרואיד עוקב באופן פעיל אחר שימוש לרעה עם Verify Apps ו-SafetyNet, שיזהירו את המשתמש על יישומים שזוהו שעלולים להזיק שעומדים להתקין. כלי השתרשות מכשירים אסורים ב-Google Play. כדי להגן על משתמשים שמתקינים יישומים מחוץ ל-Google Play, Verify Apps מופעל כברירת מחדל והוא יזהיר משתמשים לגבי יישומי השתרשות ידועים. אימות אפליקציות מנסה לזהות ולחסום התקנה של יישומים זדוניים ידועים המנצלים פגיעות של הסלמה של הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע למשתמש וינסה להסיר אפליקציות כאלה.
- בהתאם, יישומי Google Hangouts ו-Messenger אינם מעבירים מדיה אוטומטית לתהליכים כגון שרת מדיה.
תודות
צוות אבטחת אנדרואיד רוצה להודות לחוקרים אלה על תרומתם:
- Abhishek Arya, Oliver Chang ומרטין ברבלה מצוות האבטחה של Google Chrome: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
- Anestis Bechtsoudis ( @anestisb ) מ-CENSUS SA: CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
- בראד אבינגר וסנטוס קורדון מצוות Google Telecom: CVE-2016-0847
- דומיניק שורמן מהמכון למערכות הפעלה ורשתות מחשבים , TU Braunschweig: CVE-2016-2425
- Gengjia Chen ( @chengjia4574 ), pjf , Jianqiang Zhao ( @jianqiangzhao ) ממעבדת IceSword, Qihoo 360: CVE-2016-0844
- ג'ורג' פיסקאס מאקול פוליטכניק פדראל דה לוזאן : CVE-2016-2426
- גואנג גונג (龚广) ( @oldfresher ) מ- Qihoo 360 Technology Co.Ltd : CVE-2016-2412, CVE-2016-2416
- ג'יימס פורשו מ-Google Project Zero: CVE-2016-2417, CVE-2016-0846
- Jianqiang Zhao( @jianqiangzhao ), pjf , ו- Gengjia Chen ( @chengjia4574 ) ממעבדת IceSword, Qihoo 360: CVE-2016-2410, CVE-2016-2411
- Jianqiang Zhao ( @jianqiangzhao ) ו- pjf של IceSword Lab, Qihoo 360: CVE-2016-2409
- ננסי וואנג מ-Vertu Corporation LTD: CVE-2016-0837
- נאסים זמיר : CVE-2016-2409
- ניקו גולדה ( @iamnion ) מיוזמת אבטחת המוצר של קוואלקום: CVE-2016-2420, CVE-2016-0849
- Peter Pi ( @heisecode ) מ-Trend Micro: CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
- ריצ'רד שופק: CVE-2016-2415
- Romain Trouvé מ- MWR Labs : CVE-2016-0850
- סטיוארט הנדרסון: CVE-2016-2422
- Vishwath Mohan מאבטחת אנדרואיד: CVE-2016-2424
- Weichao Sun ( @sunblate ) מ-Alibaba Inc.: CVE-2016-2414
- Wish Wu ( @wish_wu ) של Trend Micro Inc.: CVE-2016-0843
- Yeonjoon Lee ו- Xiaofeng Wang מאוניברסיטת אינדיאנה בלומינגטון, Tongxin Li ו- Xinhui Han מאוניברסיטת פקין: CVE-2016-0848
צוות אבטחת אנדרואיד מודה גם ליואן-טסונג לו , ונקה דו , צ'יאצ'יה וו ( @chiachih_wu ) ו-Xuxian Jiang מ- C0RE Team ו- Zimperium על תרומתם ל-CVE-2015-1805.
פרטי פגיעות אבטחה
הסעיפים להלן מכילים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2016-04-02. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הבאג המשויך, החומרה, הגרסאות המושפעות ותאריך הדיווח. כאשר יהיה זמין, נקשר את ההתחייבות של AOSP שטיפלה בבעיה למזהה הבאג. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות של AOSP מקושרות למספרים בעקבות מזהה הבאג.
פגיעות של ביצוע קוד מרחוק ב-DHCPCD
פגיעות בשירות Dynamic Host Configuration Protocol עלולה לאפשר לתוקף לגרום לפגיעה בזיכרון, מה שעלול להוביל לביצוע קוד מרחוק. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של לקוח DHCP. לשירות DHCP יש גישה להרשאות שאפליקציות צד שלישי לא יכלו לגשת אליהן בדרך כלל.
| CVE | באגים עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2014-6060 | ANDROID-15268738 | קריטי | 4.4.4 | 30 ביולי 2014 |
| CVE-2014-6060 | ANDROID-16677003 | קריטי | 4.4.4 | 30 ביולי 2014 |
| CVE-2016-1503 | ANDROID-26461634 | קריטי | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 בינואר 2016 |
פגיעות של ביצוע קוד מרחוק ב-Media Codec
במהלך קובץ מדיה ועיבוד נתונים של קובץ בעל מבנה מיוחד, פגיעויות בקודק מדיה המשמש את שרת המדיה עלולות לאפשר לתוקף לגרום לפגיעה בזיכרון ולביצוע קוד מרחוק כתהליך שרת המדיה.
הפונקציונליות המושפעת מסופקת כחלק מרכזי ממערכת ההפעלה, וישנן מספר יישומים המאפשרים להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת מדיה בדפדפן.
בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של שירות שרת המדיה. לשירות שרת המדיה יש גישה לזרמי אודיו ווידאו, כמו גם גישה להרשאות שאפליקציות צד שלישי לא יכלו לגשת אליהן בדרך כלל.
| CVE | חרק | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0834 | ANDROID-26220548* | קריטי | 6.0, 6.0.1 | 16 בדצמבר 2015 |
* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות של ביצוע קוד מרחוק ב-Mediaserver
במהלך קבצי מדיה ועיבוד נתונים של קובץ בעל מבנה מיוחד, פגיעויות בשרת המדיה עלולות לאפשר לתוקף לגרום לפגיעה בזיכרון ולביצוע קוד מרחוק כתהליך שרת המדיה.
הפונקציונליות המושפעת מסופקת כחלק מרכזי ממערכת ההפעלה, וישנן מספר יישומים המאפשרים להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת מדיה בדפדפן.
בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של שירות שרת המדיה. לשירות שרת המדיה יש גישה לזרמי אודיו ווידאו, כמו גם גישה להרשאות שאפליקציות צד שלישי לא יכלו לגשת אליהן בדרך כלל.
| CVE | באגים עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0835 | ANDROID-26070014 [ 2 ] | קריטי | 6.0, 6.0.1 | 6 בדצמבר 2015 |
| CVE-2016-0836 | ANDROID-25812590 | קריטי | 6.0, 6.0.1 | 19 בנובמבר 2015 |
| CVE-2016-0837 | ANDROID-27208621 | קריטי | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 בפברואר 2016 |
| CVE-2016-0838 | ANDROID-26366256 [ 2 ] | קריטי | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google פנימי |
| CVE-2016-0839 | ANDROID-25753245 | קריטי | 6.0, 6.0.1 | Google פנימי |
| CVE-2016-0840 | ANDROID-26399350 | קריטי | 6.0, 6.0.1 | Google פנימי |
| CVE-2016-0841 | ANDROID-26040840 | קריטי | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google פנימי |
פגיעות של ביצוע קוד מרחוק ב-libstagefright
במהלך קובץ מדיה ועיבוד נתונים של קובץ בעל מבנה מיוחד, נקודות תורפה ב-libstagefright עלולות לאפשר לתוקף לגרום לפגיעה בזיכרון ולביצוע קוד מרחוק כתהליך שרת המדיה.
הפונקציונליות המושפעת מסופקת כחלק מרכזי ממערכת ההפעלה, וישנן מספר יישומים המאפשרים להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת מדיה בדפדפן.
בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של שירות שרת המדיה. לשירות שרת המדיה יש גישה לזרמי אודיו ווידאו, כמו גם גישה להרשאות שאפליקציות צד שלישי לא יכלו לגשת אליהן בדרך כלל.
| CVE | באג עם קישור AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0842 | ANDROID-25818142 | קריטי | 6.0, 6.0.1 | 23 בנובמבר 2015 |
פגיעות העלאת הרשאות בליבה
הפגיעות של העלאת הרשאות בקרנל עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בתוך הליבה. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, וייתכן שיהיה צורך לתקן את המכשיר על ידי הבזק מחדש של מערכת ההפעלה. בעיה זו תוארה ב- Android Security Advisory 2016-03-18 .
| CVE | חרק | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-1805 | ANDROID-27275324* | קריטי | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 בפברואר 2016 |
* התיקון ב-AOSP זמין עבור גרסאות ליבה ספציפיות: 3.14 , 3.10 ו -3.4 .
פגיעות העלאת הרשאות במודול הביצועים של קוואלקום
העלאת פגיעות הרשאות ברכיב מנהל אירועי ביצועים עבור מעבדי ARM מ-Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בתוך הליבה. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, וייתכן שיהיה צורך לתקן את המכשיר על ידי הבזק מחדש של מערכת ההפעלה.
| CVE | חרק | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0843 | ANDROID-25801197* | קריטי | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 בנובמבר 2015 |
* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות העלאת הרשאות ברכיב RF של קוואלקום
ישנה פגיעות במנהל ההתקן של Qualcomm RF שעלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, וייתכן שיהיה צורך לתקן את המכשיר על ידי הבזק מחדש של מערכת ההפעלה.
| CVE | באג עם קישור AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0844 | ANDROID-26324307 * | קריטי | 6.0, 6.0.1 | 25 בדצמבר 2015 |
* תיקון נוסף לבעיה זו נמצא ב- Linux במעלה הזרם .
פגיעות העלאת הרשאות בליבה
הפגיעות של העלאת הרשאות בליבה הנפוצה עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בליבה. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר וייתכן שיהיה צורך לתקן את המכשיר על ידי הבזק מחדש של מערכת ההפעלה.
| CVE | באג עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2014-9322 | ANDROID-26927260 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] | קריטי | 6.0, 6.0.1 | 25 בדצמבר 2015 |
פגיעות העלאת הרשאות בממשק מקורי של IMemory
פגיעות העלאת הרשאות בממשק המקורי של IMemory עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של יישום מערכת מוגבה. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.
| CVE | באג עם קישור AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0846 | ANDROID-26877992 | גָבוֹהַ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 בינואר 2016 |
פגיעות העלאת הרשאות ברכיב טלקום
פגיעות העלאת הרשאות ברכיב הטלקום עלולה לאפשר לתוקף לבצע שיחות שנראות כאילו מגיעות מכל מספר שרירותי. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.
| CVE | באג עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0847 | ANDROID-26864502 [ 2 ] | גָבוֹהַ | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google פנימי |
פגיעות העלאת הרשאות במנהל ההורדות
פגיעות העלאת הרשאות במנהל ההורדות עלולה לאפשר לתוקף לקבל גישה לקבצים לא מורשים באחסון פרטי. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.
| CVE | באג עם קישור AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0848 | ANDROID-26211054 | גָבוֹהַ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 בדצמבר 2015 |
פגיעות העלאת הרשאות בהליך השחזור
פגיעות העלאת הרשאות בהליך השחזור עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של יישום מערכת מוגברת. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.
| CVE | באג עם קישור AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0849 | ANDROID-26960931 | גָבוֹהַ | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 בפברואר 2016 |
פגיעות העלאת הרשאות ב-Bluetooth
פגיעות העלאת הרשאות ב-Bluetooth עלולה לאפשר למכשיר לא מהימן להתאים לטלפון במהלך תהליך ההתאמה הראשוני. הדבר עלול להוביל לגישה בלתי מורשית למשאבי המכשיר, כגון חיבור לאינטרנט. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות גבוהות שאינן נגישות למכשירים לא מהימנים.
| CVE | באג עם קישור AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0850 | ANDROID-26551752 | גָבוֹהַ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 13 בינואר 2016 |
הפגיעות של העלאת הרשאות ב-Texas Instruments Haptic Driver
קיימת פגיעות של העלאת הרשאות במנהל התקן ליבה הפטית של Texas Instruments שעלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בדרך כלל באג ביצוע קוד ליבה כמו זה ידורג כקריטי, אך מכיוון שהוא מצריך תחילה פגיעה בשירות שיכול לקרוא למנהל ההתקן, הוא מדורג במקום זאת כחומרה גבוהה.
| CVE | חרק | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-2409 | ANDROID-25981545* | גָבוֹהַ | 6.0, 6.0.1 | 25 בדצמבר 2015 |
* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות העלאת הרשאות במנהל ההתקן של גרעין הווידאו של קוואלקום
קיימת פגיעות מוגברת של הרשאות במנהל ההתקן של ליבת וידאו של Qualcomm שעלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בדרך כלל פגיעות של ביצוע קוד ליבה תהיה מדורגת קריטית, אך מכיוון שהיא דורשת תחילה פגיעה בשירות שיכול להתקשר למנהל ההתקן, היא מדורגת במקום זאת כחומרה גבוהה.
| CVE | חרק | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-2410 | ANDROID-26291677* | גָבוֹהַ | 6.0, 6.0.1 | 21 בדצמבר 2015 |
* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות העלאת הרשאות ברכיב ניהול החשמל של קוואלקום
קיימת פגיעות העלאת הרשאות במנהל התקן ליבה של Qualcomm Power Management שעלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בדרך כלל באג ביצוע קוד ליבה כמו זה ידורג כקריטי, אך מכיוון שהוא מצריך פגיעה תחילה במכשיר והעלאה לשורש, הוא מדורג במקום זאת כחומרה גבוהה.
| CVE | חרק | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-2411 | ANDROID-26866053* | גָבוֹהַ | 6.0, 6.0.1 | 28 בינואר 2016 |
* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות העלאת הרשאות ב-System_server
פגיעות של העלאת הרשאות ב-System_server עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של יישום מערכת מוגבה. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.
| CVE | באג עם קישור AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-2412 | ANDROID-26593930 | גָבוֹהַ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 בינואר 2016 |
פגיעות העלאת הרשאות ב-Mediaserver
פגיעות העלאת הרשאות בשרת מדיה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של יישום מערכת מוגבה. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.
| CVE | באג עם קישור AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-2413 | ANDROID-26403627 | גָבוֹהַ | 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 בינואר 2016 |
פגיעות מניעת שירות במיניקין
פגיעות של מניעת שירות בספריית Minikin עלולה לאפשר לתוקף מקומי לחסום זמנית גישה למכשיר מושפע. תוקף עלול לגרום לטעינת גופן לא מהימן ולגרום לגלישה ברכיב Minikin, מה שמוביל להתרסקות. זה מדורג כחומרה גבוהה מכיוון שמניעת שירות תוביל ללולאת אתחול מחדש מתמשכת.
| CVE | באג עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-2414 | ANDROID-26413177 [ 2 ] | גָבוֹהַ | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 בנובמבר 2015 |
פגיעות של חשיפת מידע ב-Exchange ActiveSync
פגיעות של חשיפת מידע ב-Exchange ActiveSync עלולה לאפשר לאפליקציה זדונית מקומית לקבל גישה למידע הפרטי של משתמש. בעיה זו מדורגת כחומרה גבוהה מכיוון שהיא מאפשרת גישה מרחוק לנתונים מוגנים.
| CVE | באג עם קישור AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-2415 | ANDROID-26488455 | גָבוֹהַ | 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 בינואר 2016 |
פגיעות של גילוי מידע ב-Mediaserver
פגיעות של חשיפת מידע ב-Mediaserver עלולה לאפשר עקיפת אמצעי אבטחה על מנת להגביר את הקושי של תוקפים לנצל את הפלטפורמה. בעיות אלו מדורגות כחומרה גבוהה מכיוון שניתן להשתמש בהן גם כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישומי צד שלישי.
| CVE | באגים עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-2416 | ANDROID-27046057 [ 2 ] | גָבוֹהַ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 בפברואר 2016 |
| CVE-2016-2417 | ANDROID-26914474 | גָבוֹהַ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1 בפברואר 2016 |
| CVE-2016-2418 | ANDROID-26324358 | גָבוֹהַ | 6.0, 6.0.1 | 24 בדצמבר 2015 |
| CVE-2016-2419 | ANDROID-26323455 | גָבוֹהַ | 6.0, 6.0.1 | 24 בדצמבר 2015 |
פגיעות העלאת הרשאות ברכיב Debuggerd
הפגיעות של העלאת הרשאות ברכיב Debuggerd עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי שעלול להוביל לפגיעה קבועה במכשיר. כתוצאה מכך, ייתכן שיהיה צורך לתקן את המכשיר על ידי הבזק מחדש של מערכת ההפעלה. בדרך כלל באג של ביצוע קוד כמו זה ידורג כקריטי, אך מכיוון שהוא מאפשר העלאת הרשאות ממערכת לשורש רק בגרסת אנדרואיד 4.4.4, הוא מדורג כמתון במקום זאת. בגרסאות אנדרואיד 5.0 ומעלה, כללי SELinux מונעים מאפליקציות צד שלישי להגיע לקוד המושפע.
| CVE | באג עם קישורי AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-2420 | ANDROID-26403620 [ 2 ] | לְמַתֵן | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 בינואר 2016 |
פגיעות העלאת הרשאות באשף ההתקנה
פגיעות באשף ההתקנה עלולה לאפשר לתוקף לעקוף את הגנת איפוס היצרן ולקבל גישה למכשיר. זה מדורג כחומרה בינונית מכיוון שהוא עשוי לאפשר למישהו עם גישה פיזית למכשיר לעקוף את הגנת איפוס היצרן, מה שיאפשר לתוקף לאפס בהצלחה מכשיר, ולמחוק את כל הנתונים.
| CVE | חרק | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-2421 | ANDROID-26154410* | לְמַתֵן | 5.1.1, 6.0, 6.0.1 | Google פנימי |
* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במהדורה הבינארית העדכנית ביותר עבור מכשירי Nexus הזמינה מאתר Google Developer .
פגיעות העלאת הרשאות ב-Wi-Fi
פגיעות העלאת הרשאות ב-Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של יישום מערכת מוגברת. בעיה זו מדורגת כחומרה בינונית מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.
| CVE | באג עם קישור AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-2422 | ANDROID-26324357 | לְמַתֵן | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 בדצמבר 2015 |
פגיעות העלאת הרשאות בטלפוניה
פגיעות בטלפוניה עלולה לאפשר לתוקף לעקוף את הגנת איפוס היצרן ולקבל גישה למכשיר. זה מדורג כחומרה בינונית מכיוון שהוא עשוי לאפשר למישהו עם גישה פיזית למכשיר לעקוף את הגנת איפוס היצרן, מה שיאפשר לתוקף לאפס בהצלחה מכשיר, ולמחוק את כל הנתונים.
| CVE | באג עם קישור AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-2423 | ANDROID-26303187 | לְמַתֵן | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google פנימי |
פגיעות מניעת שירות ב-SyncStorageEngine
פגיעות של מניעת שירות ב-SyncStorageEngine עלולה לאפשר ליישום זדוני מקומי לגרום ללולאת אתחול מחדש. בעיה זו מדורגת כחומרה בינונית מכיוון שהיא עשויה לשמש כדי לגרום למניעת שירות זמנית מקומית, שאולי יהיה צורך לתקן אותה באמצעות איפוס להגדרות היצרן.
| CVE | באג עם קישור AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-2424 | ANDROID-26513719 | לְמַתֵן | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google פנימי |
פגיעות של חשיפת מידע בדואר AOSP
פגיעות של חשיפת מידע ב-AOSP Mail עלולה לאפשר לאפליקציה זדונית מקומית לקבל גישה למידע הפרטי של משתמש. בעיה זו מדורגת כחומרה בינונית מכיוון שהיא עלולה לשמש כדי לקבל הרשאות "מסוכנות" באופן שגוי.
| CVE | באגים עם קישור AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-2425 | ANDROID-26989185 | לְמַתֵן | 4.4.4, 5.1.1, 6.0, 6.0.1 | 29 בינואר 2016 |
| CVE-2016-2425 | ANDROID-7154234* | לְמַתֵן | 5.0.2 | 29 בינואר 2016 |
* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במהדורה הבינארית העדכנית ביותר עבור מכשירי Nexus הזמינה מאתר Google Developer .
פגיעות גילוי מידע במסגרת
פגיעות של חשיפת מידע ברכיב Framework עלולה לאפשר לאפליקציה לגשת למידע רגיש. בעיה זו מדורגת בדרגת חומרה בינונית מכיוון שהיא עשויה לשמש לגישה לא נכונה לנתונים ללא רשות.
| CVE | באג עם קישור AOSP | חוּמרָה | גרסאות מעודכנות | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-2426 | ANDROID-26094635 | לְמַתֵן | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 8 בדצמבר 2015 |
שאלות ותשובות נפוצות
חלק זה סוקר תשובות לשאלות נפוצות שעלולות להתרחש לאחר קריאת עלון זה.
1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלו?
רמות תיקון האבטחה מ-2 באפריל 2016 ואילך מטפלות בבעיות אלה (עיין בתיעוד של Nexus לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה). יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל: [ro.build.version.security_patch]:[2016-04-02]
2. מדוע תיקון האבטחה הזה הוא 2 באפריל 2016?
רמת תיקון האבטחה עבור עדכון האבטחה החודשי מוגדרת בדרך כלל לראשון בחודש. עבור אפריל, רמת תיקון אבטחה של 1 באפריל 2016 מציינת שכל הבעיות המתוארות בעלון זה למעט CVE-2015-1805, כמתואר ב- Android Security Advisory 2016-03-18 טופלו. רמת תיקון אבטחה של 2 באפריל 2016 מציינת שכל הבעיות המתוארות בעלון זה כולל CVE-2015-1805, כמתואר ב- Android Security Advisory 2016-03-18 טופלו.
תיקונים
- 4 באפריל, 2016: פרסום עלון.
- 6 באפריל 2016: העלון תוקן כך שיכלול קישורי AOSP.
- 7 באפריל 2016: העלון תוקן כך שיכלול קישור AOSP נוסף.
- 11 ביולי 2016: תיאור מעודכן של CVE-2016-2427.
- 1 באוגוסט 2016: תיאור מעודכן של CVE-2016-2427
- 19 בדצמבר 2016: עודכן להסרת CVE-2016-2427, שהוחזר.