Biuletyn dotyczący zabezpieczeń Androida — maj 2016 r.

Opublikowano 02 maja 2016 | Zaktualizowano 4 maja 2016 r.

Biuletyn Android Security Bulletin zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Wraz z biuletynem udostępniliśmy aktualizację zabezpieczeń urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA). Obrazy oprogramowania sprzętowego Nexusa zostały również udostępnione w witrynie Google Developer . Poziomy poprawek zabezpieczeń z 1 maja 2016 r. lub później rozwiązują te problemy (zapoznaj się z dokumentacją Nexusa, aby uzyskać instrukcje dotyczące sprawdzania poziomu poprawek zabezpieczeń).

Partnerzy zostali powiadomieni o problemach opisanych w biuletynie w dniu 04.04.2016 r. lub wcześniej. W stosownych przypadkach w repozytorium Android Open Source Project (AOSP) udostępniono poprawki kodu źródłowego dla tych problemów.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która podczas przetwarzania plików multimedialnych może umożliwić zdalne wykonanie kodu na zaatakowanym urządzeniu za pomocą wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS. Ocena dotkliwości opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy, przy założeniu, że platforma i usługi ograniczania zagrożeń są wyłączone w celach programistycznych lub pomyślnie ominięte.

Nie mieliśmy żadnych doniesień o aktywnym wykorzystywaniu lub nadużywaniu przez klientów tych nowo zgłoszonych problemów. Zapoznaj się z sekcją Android i Google Service Mitigations , aby uzyskać szczegółowe informacje na temat zabezpieczeń platformy Android i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android.

Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Ogłoszenia

  • Aby odzwierciedlić szerszy zakres, zmieniliśmy nazwę tego biuletynu (i wszystkich kolejnych w serii) na biuletyn bezpieczeństwa systemu Android. Te biuletyny zawierają szerszy zakres luk w zabezpieczeniach, które mogą mieć wpływ na urządzenia z systemem Android, nawet jeśli nie mają one wpływu na urządzenia Nexus.
  • Zaktualizowaliśmy oceny ważności Android Security . Zmiany te były wynikiem danych zebranych w ciągu ostatnich sześciu miesięcy na temat zgłoszonych luk w zabezpieczeniach i mają na celu bliższe dostosowanie poziomu istotności do rzeczywistego wpływu na użytkowników.

Ograniczenia dotyczące Androida i usług Google

To jest podsumowanie środków łagodzących zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Te możliwości zmniejszają prawdopodobieństwo pomyślnego wykorzystania luk w zabezpieczeniach w systemie Android.

  • Wykorzystanie wielu problemów w systemie Android jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do aktualizacji do najnowszej wersji Androida tam, gdzie to możliwe.
  • Zespół Android Security aktywnie monitoruje nadużycia za pomocą funkcji Verify Apps i SafetyNet , które mają ostrzegać użytkowników o potencjalnie szkodliwych aplikacjach . Weryfikacja aplikacji jest domyślnie włączona na urządzeniach z usługami Google Mobile Services i jest szczególnie ważna dla użytkowników instalujących aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale Weryfikacja aplikacji ostrzega użytkowników, gdy próbują zainstalować wykrytą aplikację do rootowania — bez względu na to, skąd pochodzi. Ponadto Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji, które wykorzystują lukę w eskalacji uprawnień. Jeśli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wykrytej aplikacji.
  • W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak mediaserver.

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

  • Abhishek Arya, Oliver Chang i Martin Barbella z zespołu ds. bezpieczeństwa Google Chrome: CVE-2016-2454
  • Andy Tyler ( @ticarpi ) z e2e- assure : CVE-2016-2457
  • Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-2441, CVE-2016-2442
  • Dzmitry Lukyanenka ( www.linkedin.com/in/dzima ): CVE-2016-2458
  • Gal Beniamini: CVE-2016-2431
  • Hao Chen z zespołu Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2016-2456
  • Jake Valletta z Mandiant, firmy FireEye: CVE-2016-2060
  • Jianqiang Zhao ( @jianqiangzhao ) i pjf ( weibo.com/jfpan ) z IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, CVE-2016-2442, CVE-2016-2444, CVE-2016-2445, CVE-2016-2446
  • Imre Rad z Search-Lab Ltd. : CVE-2016-4477
  • Jeremy C. Joslin z Google: CVE-2016-2461
  • Kenny Korzeń Google: CVE-2016-2462
  • Marco Grassi ( @marcograss ) z KeenLab ( @keen_lab ), Tencent: CVE-2016-2443
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2016-2440
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451, CVE-2016-2452
  • Peter Pi ( @heisecode ) z Trend Micro: CVE-2016-2459, CVE-2016-2460
  • Weichao Sun ( @sunblate ) Alibaba Inc.: CVE-2016-2428, CVE-2016-2429
  • Yuan-Tsung Lo , Lubo Zhang , Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-2437
  • Yulong Zhang i Tao (Lenx) Wei z Baidu X-Lab: CVE-2016-2439
  • Zach Riggle ( @ebeip90 ) z zespołu ds. bezpieczeństwa systemu Android: CVE-2016-2430

Szczegóły luki w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z dnia 2016-05-01. Znajduje się tam opis problemu, uzasadnienie istotności oraz tabela z CVE, powiązanym błędem, istotnością, zaktualizowanymi urządzeniami Nexus, zaktualizowanymi wersjami AOSP (jeśli dotyczy) i datą zgłoszenia. Gdy będzie to możliwe, połączymy zmianę AOSP, która rozwiązała problem, z identyfikatorem błędu. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odniesienia AOSP są powiązane z liczbami następującymi po identyfikatorze błędu.

Luka umożliwiająca zdalne wykonanie kodu w Mediaserver

Podczas przetwarzania pliku multimedialnego i danych w specjalnie spreparowanym pliku luka w serwerze multimediów może umożliwić osobie atakującej uszkodzenie pamięci i zdalne wykonanie kodu jako proces serwera multimediów.

Zakłócona funkcja jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności MMS i odtwarzanie multimediów w przeglądarce.

Ten problem jest oceniany jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście usługi mediaserver. Usługa mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie miały dostępu aplikacje innych firm.

CVE Błędy Androida Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-2428 26751339 Krytyczny Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 stycznia 2016
CVE-2016-2429 27211885 Krytyczny Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 lutego 2016

Podwyższenie luki w uprawnieniach w Debuggerd

Luka umożliwiająca podniesienie uprawnień w zintegrowanym debugerze systemu Android może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście debugera systemu Android. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego złamania zabezpieczeń urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.

CVE Błąd Androida Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-2430 27299236 Krytyczny Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 lut 2016

Podwyższona luka w zabezpieczeniach uprawnień w Qualcomm TrustZone

Luka umożliwiająca podniesienie uprawnień w komponencie Qualcomm TrustZone może umożliwić bezpiecznej lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra TrustZone. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego złamania zabezpieczeń urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.

CVE Błędy Androida Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-2431 24968809* Krytyczny Nexus 5, Nexus 6, Nexus 7 (2013), Android One 15 paź 2015
CVE-2016-2432 25913059* Krytyczny Nexus 6, Android One 28 listopada 2015

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka dotycząca uprawnień w sterowniku Qualcomm Wi-Fi

Luka umożliwiająca podniesienie uprawnień w sterowniku Qualcomm Wi-Fi może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnej eskalacji uprawnień i wykonania dowolnego kodu, co może prowadzić do lokalnego trwałego naruszenia bezpieczeństwa urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.

CVE Błędy Androida Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2015-0569 26754117* Krytyczny Nexus 5X, Nexus 7 (2013) 23 stycznia 2016
CVE-2015-0570 26764809* Krytyczny Nexus 5X, Nexus 7 (2013) 25 stycznia 2016

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższenie luki związanej z przywilejami w sterowniku wideo NVIDIA

Luka umożliwiająca podniesienie uprawnień w sterowniku wideo NVIDIA może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego złamania zabezpieczeń urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.

CVE Błędy Androida Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-2434 27251090* Krytyczny Nexus 9 17 lut 2016
CVE-2016-2435 27297988* Krytyczny Nexus 9 20 lut 2016
CVE-2016-2436 27299111* Krytyczny Nexus 9 22 lut 2016
CVE-2016-2437 27436822* Krytyczny Nexus 9 1 marca 2016 r.

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższenie luki związanej z przywilejami w Kernel

Luka umożliwiająca podniesienie uprawnień w jądrze może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnej eskalacji uprawnień i wykonania dowolnego kodu, co może prowadzić do lokalnego trwałego naruszenia bezpieczeństwa urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia. Ten problem został opisany w Poradniku zabezpieczeń systemu Android 2016-03-18 .

CVE Błąd Androida Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2015-1805 27275324* Krytyczny Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9 19 lut 2016

* Łata w AOSP jest dostępna dla określonych wersji jądra: 3.14 , 3.10 i 3.4 .

Luka umożliwiająca zdalne wykonanie kodu w jądrze

Luka umożliwiająca zdalne wykonanie kodu w podsystemie audio może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Normalnie taki błąd wykonania kodu jądra byłby oceniany jako krytyczny, ale ponieważ najpierw wymaga naruszenia uprzywilejowanej usługi w celu wywołania podsystemu audio, jest oceniany jako wysoki.

CVE Błąd Androida Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-2438 26636060* Wysoki Nexus 9 Wewnętrzne Google

* Łata dla tego problemu jest dostępna w starszych wersjach Linuksa .

Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w kontrolerze tetheringu Qualcomm

Luka umożliwiająca ujawnienie informacji w kontrolerze Qualcomm Tethering może umożliwić lokalnej złośliwej aplikacji dostęp do informacji umożliwiających identyfikację osoby bez odpowiednich uprawnień. Ten problem ma wysoki poziom ważności, ponieważ można go użyć do uzyskania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.

CVE Błąd Androida Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-2060 27942588* Wysoki Nic 23 marca 2016

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja powinna być zawarta w najnowszych sterownikach urządzeń, których dotyczy problem.

Luka umożliwiająca zdalne wykonanie kodu w Bluetooth

Podczas parowania urządzenia Bluetooth luka w Bluetooth może umożliwić atakującemu wykonanie dowolnego kodu podczas procesu parowania. Ten problem ma wysoki poziom ważności ze względu na możliwość zdalnego wykonania kodu podczas inicjowania urządzenia Bluetooth.

CVE Błąd Androida Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-2439 27411268 Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 lut 2016

Podwyższenie luki związanej z przywilejami w Binder

Luka umożliwiająca podniesienie uprawnień w programie Binder może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu innej aplikacji. Podczas zwalniania pamięci luka w programie Binder może umożliwić osobie atakującej wykonanie lokalnego kodu. Ten problem jest oceniany jako wysoki ze względu na możliwość lokalnego wykonania kodu podczas procesu zwalniania pamięci w programie Binder.

CVE Błąd Androida Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-2440 27252896 Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 18 lut 2016

Podwyższenie luki dotyczącej uprawnień w sterowniku Qualcomm Buspm

Luka umożliwiająca podniesienie uprawnień w sterowniku Qualcomm buspm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Normalnie taki błąd wykonania kodu jądra zostałby oceniony jako krytyczny, ale ponieważ najpierw wymaga naruszenia usługi, która może wywołać sterownik, jest oceniany jako wysoki.

CVE Błędy Androida Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-2441 26354602* Wysoki Nexus 5X, Nexus 6, Nexus 6P 30 grudnia 2015
CVE-2016-2442 26494907* Wysoki Nexus 5X, Nexus 6, Nexus 6P 30 grudnia 2015

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka w zabezpieczeniach uprawnień w sterowniku Qualcomm MDP

Luka umożliwiająca podniesienie uprawnień w sterowniku Qualcomm MDP może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Normalnie taki błąd wykonania kodu jądra zostałby oceniony jako krytyczny, ale ponieważ najpierw wymaga naruszenia usługi, która może wywołać sterownik, jest oceniany jako wysoki.

CVE Błąd Androida Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-2443 26404525* Wysoki Nexus 5, Nexus 7 (2013) 5 stycznia 2016

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka dotycząca uprawnień w sterowniku Qualcomm Wi-Fi

Luka umożliwiająca podniesienie uprawnień w składniku Qualcomm Wi-Fi może umożliwić lokalnej złośliwej aplikacji wywoływanie wywołań systemowych zmieniających ustawienia i zachowanie urządzenia bez odpowiednich uprawnień. Ten problem ma wysoki poziom ważności, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, takich jak uprawnienia podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.

CVE Błąd Androida Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2015-0571 26763920* Wysoki Nexus 5X, Nexus 7 (2013) 25 stycznia 2016

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższenie luki związanej z przywilejami w sterowniku wideo NVIDIA

Luka umożliwiająca podniesienie uprawnień w sterowniku multimedialnym NVIDIA może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Zwykle taki błąd wykonania kodu jądra zostałby oceniony jako krytyczny, ale ponieważ najpierw wymaga naruszenia usługi o wysokim poziomie uprawnień, aby wywołać sterownik, ma on wysoki stopień ważności.

CVE Błędy Androida Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-2444 27208332* Wysoki Nexus 9 16 lutego 2016
CVE-2016-2445 27253079* Wysoki Nexus 9 17 lut 2016
CVE-2016-2446 27441354* Wysoki Nexus 9 1 marca 2016 r.

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższenie luki związanej z przywilejami w sieci Wi-Fi

Luka umożliwiająca podniesienie uprawnień w sieci Wi-Fi może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem jest oceniany jako wysoki, ponieważ może również służyć do uzyskiwania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.

Uwaga : Numer CVE został zaktualizowany, na żądanie MITER, z CVE-2016-2447 do CVE-2016-4477.

CVE Błąd Androida Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-4477 27371366 [ 2 ] Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 lut 2016

Podwyższenie luki w uprawnieniach w Mediaserver

Luka umożliwiająca podniesienie uprawnień w serwerze mediów może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem ma wysoki poziom ważności, ponieważ można go wykorzystać do uzyskania podwyższonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.

CVE Błędy Androida Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-2448 27533704 Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 marca 2016
CVE-2016-2449 27568958 Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9 marca 2016
CVE-2016-2450 27569635 Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9 marca 2016
CVE-2016-2451 27597103 Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 marca 2016 r.
CVE-2016-2452 27662364 [ 2 ] [ 3 ] Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 marca 2016 r.

Podwyższenie luki uprzywilejowanej w sterowniku Wi-Fi MediaTek

Luka umożliwiająca podniesienie uprawnień w sterowniku MediaTek Wi-Fi może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Normalnie taki błąd wykonania kodu jądra zostałby oceniony jako krytyczny, ale ponieważ najpierw wymaga naruszenia usługi, która może wywołać sterownik, jest oceniany jako wysoki.

CVE Błąd Androida Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-2453 27549705* Wysoki Android Jeden 8 marca 2016

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Luka w zabezpieczeniach zdalnej odmowy usługi w sprzętowym kodeku Qualcomm

Podczas przetwarzania plików multimedialnych i danych w specjalnie spreparowanym pliku luka w zabezpieczeniach typu „odmowa usługi” w sprzętowym kodeku wideo Qualcomm może umożliwić osobie atakującej zdalnej zablokowanie dostępu do urządzenia, którego dotyczy problem, przez spowodowanie ponownego uruchomienia urządzenia. Jest to oceniane jako Wysoki poziom ważności ze względu na możliwość zdalnej odmowy usługi.

CVE Błąd Androida Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-2454 26221024* Wysoki Nexus 5 16 grudnia 2015

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższenie luki w uprawnieniach w Conscrypt

Luka umożliwiająca podniesienie uprawnień w Conscrypt może umożliwić aplikacji lokalnej przekonanie, że wiadomość została uwierzytelniona, podczas gdy tak nie jest. Ten problem ma średni poziom ważności, ponieważ wymaga skoordynowanych kroków na wielu urządzeniach.

CVE Błędy Androida Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-2461 27324690 [ 2 ] Umiarkowany Wszystkie Nexusy 6.0, 6.0.1 Wewnętrzne Google
CVE-2016-2462 27371173 Umiarkowany Wszystkie Nexusy 6.0, 6.0.1 Wewnętrzne Google

Podwyższenie luki przywilejów w OpenSSL i BoringSSL

Luka umożliwiająca podniesienie uprawnień w OpenSSL i BoringSSL może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Normalnie byłoby to oceniane jako wysokie, ale ponieważ wymaga rzadkiej ręcznej konfiguracji, jest oceniane jako ważność umiarkowana.

CVE Błąd Androida Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-0705 27449871 Umiarkowany Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 lut 2016

Podwyższenie luki uprzywilejowanej w sterowniku Wi-Fi MediaTek

Luka umożliwiająca podniesienie uprawnień w sterowniku MediaTek Wi-Fi może umożliwić lokalnej złośliwej aplikacji spowodowanie odmowy usługi. Zwykle błąd podniesienia uprawnień, taki jak ten, byłby oceniany jako wysoki, ale ponieważ wymaga uprzedniego naruszenia usługi systemowej, jest oceniany jako ważność umiarkowana.

CVE Błąd Androida Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-2456 27275187* Umiarkowany Android Jeden 19 lut 2016

* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższenie luki związanej z przywilejami w sieci Wi-Fi

Luka umożliwiająca podniesienie uprawnień w sieci Wi-Fi może umożliwić kontu gościa modyfikowanie ustawień sieci Wi-Fi, które są zachowywane dla głównego użytkownika. Ten problem ma średni poziom ważności, ponieważ umożliwia lokalny dostęp do „ niebezpiecznych ” funkcji bez pozwolenia.

CVE Błąd Androida Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-2457 27411179 Umiarkowany Wszystkie Nexusy 5.0.2, 5.1.1, 6.0, 6.0.1 29 lut 2016

Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w AOSP Mail

Luka umożliwiająca ujawnienie informacji w Poczcie AOSP może umożliwić lokalnej złośliwej aplikacji uzyskanie dostępu do prywatnych informacji użytkownika. Ten problem jest oceniany jako umiarkowana istotność, ponieważ może być używany do nieprawidłowego dostępu do danych bez pozwolenia.

CVE Błąd Androida Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-2458 27335139 [ 2 ] Umiarkowany Wszystkie Nexusy 5.0.2, 5.1.1, 6.0, 6.0.1 23 lut 2016

Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w Mediaserver

Luka umożliwiająca ujawnienie informacji w Mediaserver może umożliwić aplikacji dostęp do poufnych informacji. Ten problem jest oceniany jako umiarkowana istotność, ponieważ może być używany do nieprawidłowego dostępu do danych bez pozwolenia.

CVE Błędy Androida Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-2459 27556038 Umiarkowany Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 marca 2016
CVE-2016-2460 27555981 Umiarkowany Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 marca 2016

Luka w zabezpieczeniach typu „odmowa usługi” w jądrze

Luka w zabezpieczeniach typu „odmowa usługi” w jądrze może umożliwić lokalnej złośliwej aplikacji spowodowanie ponownego uruchomienia urządzenia. Ten problem ma niski poziom ważności, ponieważ jego skutkiem jest tymczasowa odmowa usługi.

CVE Błąd Androida Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-0774 27721803* Niski Wszystkie Nexusy 17 marca 2016

* Łata dla tego problemu jest dostępna w starszych wersjach Linuksa .

Często zadawane pytania i odpowiedzi

W tej sekcji przedstawiono odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Poziomy poprawek zabezpieczeń z 1 maja 2016 r. lub później rozwiązują te problemy (zapoznaj się z dokumentacją Nexusa, aby uzyskać instrukcje dotyczące sprawdzania poziomu poprawek zabezpieczeń). Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[2016-05-01]

2. Jak określić, których urządzeń Nexus dotyczy dany problem?

W sekcji Szczegóły luki w zabezpieczeniach każda tabela zawiera kolumnę Zaktualizowane urządzenia Nexus, która obejmuje zakres urządzeń Nexus, których dotyczy problem, zaktualizowanych dla każdego problemu. Ta kolumna ma kilka opcji:

  • Wszystkie urządzenia Nexus : jeśli problem dotyczy wszystkich urządzeń Nexus, tabela będzie zawierać Wszystkie Nexusy w kolumnie Zaktualizowane urządzenia Nexus . Wszystkie Nexusy zawierają następujące obsługiwane urządzenia : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player i Pixel C.
  • Niektóre urządzenia Nexus : jeśli problem nie dotyczy wszystkich urządzeń Nexus, urządzenia Nexus, których dotyczy problem, są wymienione w kolumnie Zaktualizowane urządzenia Nexus .
  • Brak urządzeń Nexus : jeśli problem nie dotyczy żadnych urządzeń Nexus, w kolumnie Zaktualizowane urządzenia Nexus pojawi się „Brak”.

3. Dlaczego niniejszy biuletyn zawiera CVE-2015-1805?

CVE-2015-1805 jest dołączony do tego biuletynu, ponieważ Poradnik dotyczący zabezpieczeń systemu Android — 2016-03-18 został opublikowany bardzo blisko wydania biuletynu kwietniowego. Ze względu na napięty harmonogram producenci urządzeń mogli wysyłać poprawki z biuletynu zabezpieczeń Nexusa — kwiecień 2016 , bez poprawki dla CVE-2015-1805, jeśli korzystali z poziomu poprawek zabezpieczeń z 1 kwietnia 2016 r. Został on ponownie uwzględniony w niniejszym biuletynie, ponieważ należy go naprawić, aby można było korzystać z poziomu poprawki zabezpieczeń z 1 maja 2016 r.

Rewizje

  • 02 maja 2016: Biuletyn opublikowany.
  • 04 maja 2016:
    • Zaktualizowano biuletyn, aby zawierał łącza AOSP.
    • Zaktualizowano listę wszystkich urządzeń Nexus o Nexus Player i Pixel C.
    • CVE-2016-2447 zaktualizowano do CVE-2016-4477, na żądanie MITER.