Опубликовано 2 мая 2016 г. | Обновлено 4 мая 2016 г.
В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Nexus и опубликовали образы встроенного ПО Nexus на сайте для разработчиков. Перечисленные проблемы устранены в исправлении от 1 мая 2016 года и более новых. Сведения о том, как проверить уровень исправления системы безопасности, можно найти в документации Nexus.
Мы сообщили партнерам об уязвимостях 4 апреля 2016 года или ранее. Когда возможно, исправления уязвимостей публикуются в хранилище Android Open Source Project (AOSP).
Самая серьезная из проблем – критическая уязвимость, которая позволяет удаленно выполнять код на затронутом устройстве во время обработки медиафайлов, например при просмотре сайтов в интернете и работе с электронной почтой и MMS. Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.
У нас нет информации об активном использовании обнаруженных уязвимостей. Сведения о том, как платформа безопасности Android и средства защиты сервисов, например SafetyNet, помогают снизить вероятность успешного использования уязвимостей Android, можно найти в разделе Предотвращение атак.
Мы рекомендуем всем пользователям установить указанное в бюллетене обновление.
Объявления
- Мы переименовали Бюллетень по безопасности Nexus в Бюллетень по безопасности Android. Теперь он содержит информацию об уязвимостях, которые встречаются на всех устройствах Android, а не только на устройствах Nexus.
- На основании данных, собранных за последние 6 месяцев, мы обновили уровни серьезности уязвимостей. Теперь они лучше отражают реальный риск для безопасности пользователей.
Предотвращение атак
Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.
- В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
- Команда, отвечающая за безопасность Android, активно отслеживает случаи злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально опасных приложений. Проверка приложений включена по умолчанию на всех телефонах и планшетах, использующихсервисы Google для мобильных устройств. Она особенно важна, если устанавливаются приложения не из Google Play. Хотя в Google Play инструменты для настройки root-доступа запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное приложение уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
- Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.
Благодарности
Благодарим всех, кто помог обнаружить уязвимости:
- Абхишек Арья, Оливер Чан и Мартин Барбелла из команды безопасности Google Chrome: CVE-2016-2454.
- Энди Тайлер (@ticarpi) из e2e-assure: CVE-2016-2457.
- Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-2441, CVE-2016-2442.
- Дзмитрий Лукьяненка (www.linkedin.com/in/dzima): CVE-2016-2458.
- Гэл Бениамини: CVE-2016-2431.
- Хао Чэнь из Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2016-2456.
- Джейк Валлетта из Mandiant, дочерней компании FireEye: CVE-2016-2060.
- Цзяньцян Чжао (@jianqiangzhao) и pjf (weibo.com/jfpan) из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, CVE-2016-2442, CVE-2016-2444, CVE-2016-2445, CVE-2016-2446.
- Имре Рад из Search-Lab Ltd.: CVE-2016-4477.
- Джереми Джослин из Google: CVE-2016-2461.
- Кенни Рут из Google: CVE-2016-2462.
- Марко Грасси (@marcograss) из KeenLab (@keen_lab), Tencent: CVE-2016-2443.
- Михал Беднарский (https://github.com/michalbednarski): CVE-2016-2440.
- Минцзянь Чжоу (@Mingjian_Zhou), Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451, CVE-2016-2452.
- Питер Пи (@heisecode) из Trend Micro: CVE-2016-2459, CVE-2016-2460.
- Вэйчао Сунь (@sunblate) из Alibaba Inc.: CVE-2016-2428, CVE-2016-2429.
- Юань-Цун Ло, Лубо Чжан, Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-2437.
- Юйлун Чжан и Тао (Ленкс) Вэй из Baidu X-Lab: CVE-2016-2439.
- Зак Риггл (@ebeip90) из команды безопасности Android: CVE-2016-2430.
Описание уязвимостей
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2016-05-01: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми устройствами Nexus, версиями AOSP (при наличии) и датой сообщения об ошибке. Где возможно, мы приводим ссылку на изменение в AOSP, связанное с идентификатором ошибки. Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.
Удаленное выполнение кода через mediaserver
При обработке медиафайлов и данных злоумышленник может с помощью специально созданного файла нарушить целостность информации в памяти и удаленно выполнить код в контексте процесса mediaserver.
Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.
Уязвимости присвоен критический уровень серьезности из-за возможности удаленно выполнять код в контексте сервиса mediaserver. У этого сервиса есть доступ к аудио- и видеопотокам, а также права, которыми обычно не могут обладать сторонние приложения.
| CVE | Ошибки Android | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2428 | 26751339 | Критический | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 января 2016 г. |
| CVE-2016-2429 | 27211885 | Критический | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 февраля 2016 г. |
Повышение привилегий через Debuggerd
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте отладчика Android. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2430 | 27299236 | Критический | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 февраля 2016 г. |
Повышение привилегий через TrustZone процессора Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра TrustZone. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ошибки Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2431 | 24968809* | Критический | Nexus 5, Nexus 6, Nexus 7 (2013), Android One | 15 октября 2015 г. |
| CVE-2016-2432 | 25913059* | Критический | Nexus 6, Android One | 28 ноября 2015 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.
Повышение уровня прав доступа через Wi-Fi-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ошибки Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-0569 | 26754117* | Критический | Nexus 5X, Nexus 7 (2013) | 23 января 2016 г. |
| CVE-2015-0570 | 26764809* | Критический | Nexus 5X, Nexus 7 (2013) | 25 января 2016 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.
Повышение уровня прав доступа через видеодрайвер NVIDIA
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ошибки Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2434 | 27251090* | Критический | Nexus 9 | 17 февраля 2016 г. |
| CVE-2016-2435 | 27297988* | Критический | Nexus 9 | 20 февраля 2016 г. |
| CVE-2016-2436 | 27299111* | Критический | Nexus 9 | 22 февраля 2016 г. |
| CVE-2016-2437 | 27436822* | Критический | Nexus 9 | 1 марта 2016 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.
Повышение уровня прав доступа через ядро
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС. Узнайте больше об этой уязвимости в Примечании по безопасности Android от 18 марта 2016 года.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-1805 | 27275324* | Критический | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9 | 19 февраля 2016 г. |
* Исправление опубликовано в AOSP для следующих версий ядра: 3.14, 3.10 и 3.4.
Удаленное выполнение кода через ядро
Уязвимость в подсистеме аудио позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту привилегированного сервиса, вызывающего подсистему аудио, поэтому уровень был снижен до высокого.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2438 | 26636060* | Высокий | Nexus 9 | Доступно только сотрудникам Google |
* Исправление опубликовано в сообществе Linux.
Раскрытие информации через контроллер точек доступа Qualcomm
С помощью уязвимости локальное вредоносное приложение может получать несанкционированный доступ к информации, позволяющей идентифицировать личность. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, Signature или SignatureOrSystem).
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2060 | 27942588* | Высокий | Нет | 23 марта 2016 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних драйверах для устройств, на которых присутствует уязвимость.
Удаленное выполнение кода через Bluetooth
Уязвимость позволяет находящемуся поблизости злоумышленнику выполнять произвольный код во время подключения устройства Bluetooth. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2439 | 27411268 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 февраля 2016 г. |
Повышение привилегий через Binder
Уязвимость позволяет вредоносному ПО выполнять произвольный код в контексте процесса другого приложения (при очистке памяти). Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2440 | 27252896 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 18 февраля 2016 г. |
Повышение уровня прав доступа через Buspm-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер, поэтому уровень был снижен до высокого.
| CVE | Ошибки Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2441 | 26354602* | Высокий | Nexus 5X, Nexus 6, Nexus 6P | 30 декабря 2015 г. |
| CVE-2016-2442 | 26494907* | Высокий | Nexus 5X, Nexus 6, Nexus 6P | 30 декабря 2015 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.
Повышение уровня прав доступа через MDP-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер, поэтому уровень был снижен до высокого.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2443 | 26404525* | Высокий | Nexus 5, Nexus 7 (2013) | 5 января 2016 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.
Повышение уровня прав доступа через Wi-Fi-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному приложению выполнять несанкционированные системные вызовы для изменения настроек и работы устройства. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, Signature или SignatureOrSystem).
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-0571 | 26763920* | Высокий | Nexus 5X, Nexus 7 (2013) | 25 января 2016 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.
Повышение уровня прав доступа через видеодрайвер NVIDIA
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту высокопривилегированного сервиса, вызывающего драйвер, поэтому уровень был снижен до высокого.
| CVE | Ошибки Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2444 | 27208332* | Высокий | Nexus 9 | 16 февраля 2016 г. |
| CVE-2016-2445 | 27253079* | Высокий | Nexus 9 | 17 февраля 2016 г. |
| CVE-2016-2446 | 27441354* | Высокий | Nexus 9 | 1 марта 2016 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.
Повышение привилегий через Wi-Fi
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно также получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).
Примечание. По запросу компании MITRE идентификатор уязвимости (CVE) был изменен с CVE-2016-2447 на CVE-2016-4477.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-4477 | 27371366 [2] | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 февраля 2016 г. |
Повышение привилегий через mediaserver
Уязвимость позволяет локальному вредоносному приложению выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).
| CVE | Ошибки Android | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2448 | 27533704 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 марта 2016 г. |
| CVE-2016-2449 | 27568958 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 марта 2016 г. |
| CVE-2016-2450 | 27569635 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 марта 2016 г. |
| CVE-2016-2451 | 27597103 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 марта 2016 г. |
| CVE-2016-2452 | 27662364 [2] [3] | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 марта 2016 г. |
Повышение привилегий через Wi-Fi-драйвер MediaTek
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер, поэтому уровень был снижен до высокого.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2453 | 27549705* | Высокий | Android One | 8 марта 2016 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.
Удаленный отказ в обслуживании в аппаратном кодеке Qualcomm
При обработке медиафайлов и данных злоумышленник может с помощью специально созданного файла удаленно блокировать доступ к затронутому устройству, выполняя его перезагрузку. Уязвимости присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2454 | 26221024* | Высокий | Nexus 5 | 16 декабря 2015 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.
Повышение уровня прав доступа через Conscrypt
Уязвимость позволяет подделывать аутентификацию сообщений для локального ПО. Проблеме присвоен средний уровень серьезности, поскольку для ее использования требуются скоординированные действия на нескольких устройствах.
| CVE | Ошибки Android | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2461 | 27324690 [2] | Средний | Все устройства | 6.0, 6.0.1 | Доступно только сотрудникам Google |
| CVE-2016-2462 | 27371173 | Средний | Все устройства | 6.0, 6.0.1 | Доступно только сотрудникам Google |
Повышение привилегий через OpenSSL и BoringSSL
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Как правило, таким ошибкам присваивают высокий уровень серьезности, но в этом случае для использования уязвимости требуется редкая конфигурация, установленная вручную. Поэтому уровень был снижен до среднего.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-0705 | 27449871 | Средний | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 февраля 2016 г. |
Повышение привилегий через Wi-Fi-драйвер MediaTek
Уязвимость позволяет локальному вредоносному ПО вызвать отказ в обслуживании. Как правило, таким ошибкам присваивают высокий уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту системного сервиса, поэтому уровень был снижен до среднего.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2456 | 27275187* | Средний | Android One | 19 февраля 2016 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.
Повышение уровня прав доступа через Wi-Fi
Уязвимость позволяет гостевому аккаунту менять настройки Wi-Fi для основного пользователя. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно получить разрешения уровня dangerous (опасные).
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2457 | 27411179 | Средний | Все устройства | 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 февраля 2016 г. |
Раскрытие информации через почтовый клиент AOSP
Уязвимость позволяет локальному вредоносному приложению получать несанкционированный доступ к конфиденциальным данным пользователя. Из-за этого проблеме присвоен средний уровень серьезности.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2458 | 27335139 [2] | Средний | Все устройства | 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 февраля 2016 г. |
Раскрытие информации через mediaserver
Уязвимость позволяет ПО получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний уровень серьезности.
| CVE | Ошибки Android | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2459 | 27556038 | Средний | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 марта 2016 г. |
| CVE-2016-2460 | 27555981 | Средний | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 марта 2016 г. |
Отказ в обслуживании в ядре
Уязвимость позволяет локальному вредоносному ПО выполнять перезагрузку устройства. Ей присвоен низкий уровень серьезности, поскольку она приводит к временному отказу в обслуживании.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-0774 | 27721803* | Низкий | Все устройства | 17 марта 2016 г. |
* Исправление опубликовано в сообществе Linux.
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?
Перечисленные проблемы устранены в исправлении от 1 мая 2016 года и более новых. Сведения о том, как проверить уровень исправления системы безопасности, можно найти в документации Nexus. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2016-05-01].
2. Как определить, на каких устройствах Nexus присутствует уязвимость?
В каждой таблице из раздела Описание уязвимостей есть столбец "Обновленные устройства Nexus". В нем указано, на каких устройствах присутствует уязвимость.
- Все устройства. Проблема возникает на следующих поддерживаемых устройствах Nexus: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player и Pixel C.
- Некоторые устройства. Перечислены устройства, на которых присутствует уязвимость.
- Нет. Проблема не возникает ни на одном устройстве Nexus.
3. Почему в этот бюллетень добавлена информация об уязвимости CVE-2015-1805?
Примечание по безопасности Android от 18 марта 2016 года было опубликовано незадолго до выхода апрельского Бюллетеня по безопасности Nexus. Из-за сжатых сроков производители устройств, использующие версию системы безопасности от 1 апреля 2016 года, могли предоставить исправления для проблем из указанного бюллетеня, не устраняя уязвимость CVE-2015-1805. Информация о ней была включена в этот бюллетень, поскольку ее необходимо исправить для установки обновления системы безопасности от 1 мая 2016 года.
Версии
- 2 мая 2016 года. Бюллетень опубликован.
- 4 мая 2016 года.
- Добавлены ссылки на AOSP.
- Указано, присутствуют ли уязвимости на устройствах Nexus Player и Pixel C.
- По запросу компании MITRE идентификатор CVE-2016-2447 изменен на CVE-2016-4477.