Dipublikasikan 02 Mei 2016 | Diperbarui 04 Mei 2016
Buletin Keamanan Android berisi detail kerentanan keamanan yang memengaruhi perangkat Android. Bersama dengan buletin ini, kami telah merilis update keamanan ke perangkat Nexus melalui update over the air (OTA). Image firmware Nexus juga telah dirilis ke situs Google Developer. Tingkat Patch Keamanan 01 Mei 2016 atau yang lebih baru mengatasi masalah ini (lihat dokumentasi Nexus untuk mengetahui petunjuk cara memeriksa tingkat patch keamanan).
Partner telah diberi tahu tentang masalah yang dijelaskan dalam buletin pada 04 April 2016 atau sebelumnya. Jika berlaku, patch kode sumber untuk masalah ini telah dirilis ke repositori Android Open Source Project (AOSP).
Masalah yang paling parah adalah kerentanan keamanan Kritis yang dapat memungkinkan eksekusi kode jarak jauh di perangkat yang terpengaruh melalui beberapa metode seperti email, penjelajahan web, dan MMS saat memproses file media. Penilaian keparahan berdasarkan efek yang mungkin akan ditimbulkan oleh eksploitasi kerentanan pada perangkat yang terpengaruh, dengan asumsi mitigasi platform dan layanan dinonaktifkan untuk tujuan pengembangan atau jika berhasil diabaikan.
Kami tidak menerima laporan tentang eksploitasi atau penyalahgunaan pelanggan aktif terhadap masalah yang baru dilaporkan ini. Lihat bagian Mitigasi Layanan Android dan Google untuk mengetahui detail tentang perlindungan platform keamanan Android dan perlindungan layanan seperti SafetyNet, yang meningkatkan keamanan platform Android.
Sebaiknya semua pelanggan menyetujui update ini ke perangkat mereka.
Pengumuman
- Untuk mencerminkan fokus yang lebih luas, kami mengganti nama buletin ini (dan semua buletin berikutnya dalam seri ini) menjadi Buletin Keamanan Android. Buletin ini mencakup berbagai kerentanan yang lebih luas yang dapat memengaruhi perangkat Android, meskipun tidak memengaruhi perangkat Nexus.
- Kami telah memperbarui rating tingkat keparahan Keamanan Android. Perubahan ini adalah hasil dari data yang dikumpulkan selama enam bulan terakhir tentang kerentanan keamanan yang dilaporkan dan bertujuan untuk menyelaraskan tingkat keparahan dengan dampak di dunia nyata bagi pengguna.
Mitigasi Layanan Google dan Android
Ini adalah ringkasan mitigasi yang disediakan oleh platform keamanan Android dan perlindungan layanan seperti SafetyNet. Kemampuan ini mengurangi kemungkinan kerentanan keamanan berhasil dieksploitasi di Android.
- Eksploitasi untuk banyak masalah di Android menjadi lebih sulit karena peningkatan pada platform Android versi yang lebih baru. Sebaiknya semua pengguna mengupdate ke versi Android terbaru jika memungkinkan.
- Tim Keamanan Android secara aktif memantau penyalahgunaan dengan Verify Apps dan SafetyNet, yang dirancang untuk memperingatkan pengguna tentang Aplikasi yang Berpotensi Membahayakan. Verifikasi Aplikasi diaktifkan secara default di perangkat dengan Layanan Seluler Google, dan sangat penting bagi pengguna yang menginstal aplikasi dari luar Google Play. Alat rooting perangkat dilarang di Google Play, tetapi Verifikasi Aplikasi memperingatkan pengguna saat mereka mencoba menginstal aplikasi rooting yang terdeteksi—terlepas dari asalnya. Selain itu, Verify Apps mencoba mengidentifikasi dan memblokir penginstalan aplikasi berbahaya yang diketahui yang mengeksploitasi kerentanan eskalasi hak istimewa. Jika aplikasi tersebut telah diinstal, Verifikasi Aplikasi akan memberi tahu pengguna dan mencoba menghapus aplikasi yang terdeteksi.
- Sesuai kebutuhan, aplikasi Google Hangouts dan Messenger tidak otomatis meneruskan media ke proses seperti mediaserver.
Ucapan Terima Kasih
Kami ingin mengucapkan terima kasih kepada para peneliti berikut atas kontribusi mereka:
- Abhishek Arya, Oliver Chang, dan Martin Barbella dari Tim Keamanan Google Chrome: CVE-2016-2454
- Andy Tyler (@ticarpi) dari e2e-assure: CVE-2016-2457
- Chiachih Wu (@chiachih_wu) dan Xuxian Jiang dari Tim C0RE: CVE-2016-2441, CVE-2016-2442
- Dzmitry Lukyanenka ( www.linkedin.com/in/dzima): CVE-2016-2458
- Gal Beniamini: CVE-2016-2431
- Hao Chen dari Tim Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2016-2456
- Jake Valletta dari Mandiant, perusahaan FireEye: CVE-2016-2060
- Jianqiang Zhao (@jianqiangzhao) dan pjf (weibo.com/jfpan) dari IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, CVE-2016-2442, CVE-2016-2444, CVE-2016-2445, CVE-2016-2446
- Imre Rad dari Search-Lab Ltd.: CVE-2016-4477
- Jeremy C. Joslin dari Google: CVE-2016-2461
- Kenny Root dari Google: CVE-2016-2462
- Marco Grassi (@marcograss) dari KeenLab (@keen_lab), Tencent: CVE-2016-2443
- Michał Bednarski ( https://github.com/michalbednarski): CVE-2016-2440
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu), dan Xuxian Jiang dari Tim C0RE: CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451, CVE-2016-2452
- Peter Pi (@heisecode) dari Trend Micro: CVE-2016-2459, CVE-2016-2460
- Weichao Sun (@sunblate) dari Alibaba Inc.: CVE-2016-2428, CVE-2016-2429
- Yuan-Tsung Lo, Lubo Zhang, Chiachih Wu (@chiachih_wu), dan Xuxian Jiang dari Tim C0RE: CVE-2016-2437
- Yulong Zhang dan Tao (Lenx) Wei dari Baidu X-Lab: CVE-2016-2439
- Zach Riggle (@ebeip90) dari Tim Keamanan Android: CVE-2016-2430
Detail Kerentanan Keamanan
Di bagian di bawah, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku untuk tingkat patch 01-05-2016. Terdapat deskripsi masalah, rasionalitas tingkat keparahan, dan tabel dengan CVE, bug terkait, tingkat keparahan, perangkat Nexus yang diupdate, versi AOSP yang diupdate (jika berlaku), dan tanggal dilaporkan. Jika tersedia, kami akan menautkan perubahan AOSP yang mengatasi masalah tersebut ke ID bug. Jika beberapa perubahan terkait dengan satu bug, referensi AOSP tambahan akan ditautkan ke angka yang mengikuti ID bug.
Kerentanan Eksekusi Kode Jarak Jauh di Mediaserver
Selama pemrosesan file media dan data dari file yang dibuat secara khusus, kerentanan di mediaserver dapat memungkinkan penyerang menyebabkan kerusakan memori dan eksekusi kode jarak jauh saat proses mediaserver.
Fungsi yang terpengaruh disediakan sebagai bagian inti dari sistem operasi dan ada beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media browser.
Masalah ini diberi rating keparahan Kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks layanan mediaserver. Layanan mediaserver memiliki akses ke streaming audio dan video, serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2428 | 26751339 | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Jan 2016 |
| CVE-2016-2429 | 27211885 | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 Februari 2016 |
Kerentanan Elevasi Hak Istimewa di Debuggerd
Kerentanan elevasi hak istimewa di debugger Android terintegrasi dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks debugger Android. Masalah ini diberi rating sebagai tingkat keparahan Kritis karena kemungkinan adanya kompromi perangkat permanen lokal, yang mungkin memerlukan flash ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2430 | 27299236 | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Februari 2016 |
Kerentanan Elevasi Hak Istimewa di Qualcomm TrustZone
Kerentanan elevasi hak istimewa di komponen Qualcomm TrustZone dapat memungkinkan aplikasi berbahaya lokal yang aman untuk mengeksekusi kode arbitrer dalam konteks kernel TrustZone. Masalah ini diberi rating sebagai tingkat keparahan kritis karena kemungkinan adanya kompromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2431 | 24968809* | Kritis | Nexus 5, Nexus 6, Nexus 7 (2013), Android One | 15 Oktober 2015 |
| CVE-2016-2432 | 25913059* | Kritis | Nexus 6, Android One | 28 November 2015 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Driver Wi-Fi Qualcomm
Kerentanan peningkatan hak istimewa di driver Wi-Fi Qualcomm dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating sebagai tingkat keparahan Kritis karena kemungkinan eskalasi hak istimewa lokal dan eksekusi kode arbitrer yang mengarah pada kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2015-0569 | 26754117* | Kritis | Nexus 5X, Nexus 7 (2013) | 23 Januari 2016 |
| CVE-2015-0570 | 26764809* | Kritis | Nexus 5X, Nexus 7 (2013) | 25 Jan 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Driver Video NVIDIA
Kerentanan peningkatan hak istimewa di driver video NVIDIA dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Keparahan kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2434 | 27251090* | Kritis | Nexus 9 | 17 Februari 2016 |
| CVE-2016-2435 | 27297988* | Kritis | Nexus 9 | 20 Feb 2016 |
| CVE-2016-2436 | 27299111* | Kritis | Nexus 9 | 22 Februari 2016 |
| CVE-2016-2437 | 27436822* | Kritis | Nexus 9 | 1 Mar 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Kernel
Kerentanan eskalasi hak istimewa di kernel dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating sebagai tingkat keparahan Kritis karena kemungkinan eskalasi hak istimewa lokal dan eksekusi kode arbitrer yang menyebabkan kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan flash ulang sistem operasi untuk memperbaiki perangkat. Masalah ini dijelaskan dalam Android Security Advisory 18-03-2016.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2015-1805 | 27275324* | Kritis | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9 | 19 Februari 2016 |
* Patch di AOSP tersedia untuk versi kernel tertentu: 3.14, 3.10, dan 3.4.
Kerentanan Eksekusi Kode Jarak Jauh di Kernel
Kerentanan eksekusi kode jarak jauh di subsistem audio dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Biasanya bug eksekusi kode kernel seperti ini akan diberi rating Kritis, tetapi karena bug ini pertama-tama memerlukan kompromi layanan dengan hak istimewa untuk memanggil subsistem audio, bug ini diberi rating Keparahan tinggi.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2438 | 26636060* | Tinggi | Nexus 9 | Internal Google |
* Patch untuk masalah ini tersedia di upstream Linux.
Kerentanan Pengungkapan Informasi di Pengontrol Tethering Qualcomm
Kerentanan pengungkapan informasi di pengontrol Tethering Qualcomm dapat memungkinkan aplikasi berbahaya lokal mengakses informasi identitas pribadi tanpa hak istimewa untuk melakukannya. Masalah ini diberi rating sebagai Keparahan tinggi karena dapat digunakan untuk mendapatkan kemampuan yang ditingkatkan, seperti hak istimewa izin Signature atau SignatureOrSystem, yang tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2060 | 27942588* | Tinggi | Tidak ada | 23 Maret 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Update harus disertakan dalam driver terbaru perangkat yang terpengaruh.
Kerentanan Eksekusi Kode Jarak Jauh di Bluetooth
Selama penyambungan perangkat Bluetooth, kerentanan di Bluetooth dapat memungkinkan penyerang yang berada di dekat untuk mengeksekusi kode arbitrer selama proses penyambungan. Masalah ini dinilai sebagai keparahan Tinggi karena kemungkinan eksekusi kode jarak jauh selama inisialisasi perangkat Bluetooth.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2439 | 27411268 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 Februari 2016 |
Kerentanan Elevasi Hak Istimewa di Binder
Kerentanan elevasi hak istimewa di Binder dapat memungkinkan aplikasi berbahaya lokal menjalankan kode arbitrer dalam konteks proses aplikasi lain. Saat mengosongkan memori, kerentanan di Binder dapat memungkinkan penyerang menyebabkan eksekusi kode lokal. Masalah ini diberi rating Keparahan tinggi karena kemungkinan eksekusi kode lokal selama proses memori bebas di Binder.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2440 | 27252896 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 18 Februari 2016 |
Kerentanan Elevasi Hak Istimewa di Driver Buspm Qualcomm
Kerentanan peningkatan hak istimewa di driver buspm Qualcomm dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer dalam konteks kernel. Biasanya bug eksekusi kode kernel seperti ini akan diberi rating Kritis, tetapi karena pertama-tama memerlukan kompromi layanan yang dapat memanggil driver, bug ini diberi rating sebagai tingkat keparahan Tinggi.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2441 | 26354602* | Tinggi | Nexus 5X, Nexus 6, Nexus 6P | 30 Des 2015 |
| CVE-2016-2442 | 26494907* | Tinggi | Nexus 5X, Nexus 6, Nexus 6P | 30 Des 2015 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Driver MDP Qualcomm
Kerentanan elevasi hak istimewa di driver MDP Qualcomm dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Biasanya bug eksekusi kode kernel seperti ini akan diberi rating Kritis, tetapi karena bug ini pertama-tama memerlukan kompromi layanan yang dapat memanggil driver, bug ini diberi rating Keparahan tinggi.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2443 | 26404525* | Tinggi | Nexus 5, Nexus 7 (2013) | 5 Jan 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Driver Wi-Fi Qualcomm
Kerentanan peningkatan hak istimewa di komponen Wi-Fi Qualcomm dapat memungkinkan aplikasi berbahaya lokal memanggil panggilan sistem yang mengubah setelan dan perilaku perangkat tanpa hak istimewa untuk melakukannya. Masalah ini diberi rating sebagai Keparahan tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang ditingkatkan, seperti hak istimewa izin Signature atau SignatureOrSystem, yang tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2015-0571 | 26763920* | Tinggi | Nexus 5X, Nexus 7 (2013) | 25 Jan 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Driver Video NVIDIA
Kerentanan peningkatan hak istimewa di driver media NVIDIA dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Biasanya bug eksekusi kode kernel seperti ini akan diberi rating Kritis, tetapi karena pertama-tama memerlukan kompromi layanan hak istimewa tinggi untuk memanggil driver, bug ini diberi rating Keparahan tinggi.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2444 | 27208332* | Tinggi | Nexus 9 | 16 Februari 2016 |
| CVE-2016-2445 | 27253079* | Tinggi | Nexus 9 | 17 Februari 2016 |
| CVE-2016-2446 | 27441354* | Tinggi | Nexus 9 | 1 Mar 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Wi-Fi
Kerentanan elevasi hak istimewa di Wi-Fi dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer dalam konteks aplikasi sistem yang ditinggikan. Masalah ini diberi rating Keparahan tinggi karena juga dapat digunakan untuk mendapatkan kemampuan yang ditingkatkan, seperti hak istimewa izin Signature atau SignatureOrSystem, yang tidak dapat diakses oleh aplikasi pihak ketiga.
Catatan:Nomor CVE telah diperbarui, sesuai permintaan MITRE, dari CVE-2016-2447 menjadi CVE-2016-4477.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-4477 | 27371366 [2] | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 Februari 2016 |
Kerentanan Elevasi Hak Istimewa di Mediaserver
Kerentanan elevasi hak istimewa di mediaserver dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks aplikasi sistem yang ditingkatkan. Masalah ini diberi rating Keparahan tinggi karena dapat digunakan untuk mendapatkan kemampuan yang ditingkatkan, seperti hak istimewa izin Signature atau SignatureOrSystem, yang tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2448 | 27533704 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 Mar 2016 |
| CVE-2016-2449 | 27568958 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 Mar 2016 |
| CVE-2016-2450 | 27569635 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 Mar 2016 |
| CVE-2016-2451 | 27597103 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 Mar 2016 |
| CVE-2016-2452 | 27662364 [2] [3] | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 Mar 2016 |
Kerentanan Elevasi Hak Istimewa di Driver Wi-Fi MediaTek
Kerentanan peningkatan hak istimewa di driver Wi-Fi MediaTek dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer dalam konteks kernel. Biasanya bug eksekusi kode kernel seperti ini akan diberi rating Kritis, tetapi karena bug ini pertama-tama memerlukan kompromi layanan yang dapat memanggil driver, bug ini diberi rating sebagai tingkat keparahan Tinggi.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2453 | 27549705* | Tinggi | Android One | 8 Maret 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Denial of Service Jarak Jauh di Codec Hardware Qualcomm
Selama pemrosesan file media dan data dari file yang dibuat secara khusus, kerentanan denial of service jarak jauh di codec video hardware Qualcomm dapat memungkinkan penyerang jarak jauh memblokir akses ke perangkat yang terpengaruh dengan menyebabkan perangkat dimulai ulang. Kerentanan ini dinilai sebagai Keparahan tinggi karena kemungkinan denial of service jarak jauh.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2454 | 26221024* | Tinggi | Nexus 5 | 16 Des 2015 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Conscrypt
Kerentanan elevasi hak istimewa di Conscrypt dapat memungkinkan aplikasi lokal percaya bahwa pesan diautentikasi padahal tidak. Masalah ini dinilai sebagai Keparahan sedang karena memerlukan langkah-langkah yang terkoordinasi di beberapa perangkat.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2461 | 27324690 [2] | Sedang | Semua Nexus | 6.0, 6.0.1 | Internal Google |
| CVE-2016-2462 | 27371173 | Sedang | Semua Nexus | 6.0, 6.0.1 | Internal Google |
Kerentanan Elevasi Hak Istimewa di OpenSSL & BoringSSL
Kerentanan peningkatan hak istimewa di OpenSSL dan BoringSSL dapat memungkinkan aplikasi berbahaya lokal mengakses data di luar tingkat izinnya. Biasanya, kerentanan ini akan diberi rating Tinggi, tetapi karena memerlukan konfigurasi manual yang tidak umum, kerentanan ini diberi rating keparahan Sedang.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-0705 | 27449871 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 Februari 2016 |
Kerentanan Elevasi Hak Istimewa di Driver Wi-Fi MediaTek
Kerentanan peningkatan hak istimewa di driver Wi-Fi MediaTek dapat memungkinkan aplikasi berbahaya lokal menyebabkan denial of service. Biasanya bug peningkatan hak istimewa seperti ini akan diberi rating Tinggi, tetapi karena memerlukan kompromi layanan sistem terlebih dahulu, bug ini diberi rating keparahan Sedang.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2456 | 27275187* | Sedang | Android One | 19 Februari 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Wi-Fi
Kerentanan peningkatan hak istimewa di Wi-Fi dapat memungkinkan akun tamu mengubah setelan Wi-Fi yang tetap ada untuk pengguna utama. Masalah ini dinilai sebagai tingkat keparahan Sedang karena memungkinkan akses lokal ke kemampuan " berbahaya" tanpa izin.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2457 | 27411179 | Sedang | Semua Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 Februari 2016 |
Kerentanan Pengungkapan Informasi di Email AOSP
Kerentanan pengungkapan informasi di AOSP Mail dapat memungkinkan aplikasi berbahaya lokal mendapatkan akses ke informasi pribadi pengguna. Masalah ini diberi rating Keparahan sedang karena dapat digunakan untuk mengakses data tanpa izin dengan tidak semestinya.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2458 | 27335139 [2] | Sedang | Semua Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 Februari 2016 |
Kerentanan Pengungkapan Informasi di Mediaserver
Kerentanan pengungkapan informasi di Mediaserver dapat memungkinkan aplikasi mengakses informasi sensitif. Masalah ini diberi rating keparahan Moderate karena dapat digunakan untuk mengakses data secara tidak semestinya tanpa izin.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2459 | 27556038 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 Mar 2016 |
| CVE-2016-2460 | 27555981 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 Mar 2016 |
Kerentanan Denial of Service di Kernel
Kerentanan denial of service di kernel dapat memungkinkan aplikasi lokal malicious menyebabkan perangkat dimulai ulang. Masalah ini diberi rating Keparahan rendah karena efeknya adalah denial of service sementara.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-0774 | 27721803* | Rendah | Semua Nexus | 17 Maret 2016 |
* Patch untuk masalah ini tersedia di upstream Linux.
Pertanyaan Umum dan Jawaban
Bagian ini meninjau jawaban atas pertanyaan umum yang mungkin muncul setelah membaca berita ini.
1. Bagaimana cara menentukan apakah perangkat saya telah diupdate untuk menyelesaikan masalah ini?
Tingkat Patch Keamanan 01 Mei 2016 atau yang lebih baru mengatasi masalah ini (lihat dokumentasi Nexus untuk mengetahui petunjuk cara memeriksa tingkat patch keamanan). Produsen perangkat yang menyertakan update ini harus menetapkan level string patch ke: [ro.build.version.security_patch]:[2016-05-01]
2. Bagaimana cara menentukan perangkat Nexus mana yang terpengaruh oleh setiap masalah?
Di bagian Detail Kerentanan Keamanan, setiap tabel memiliki kolom Perangkat Nexus yang Diupdate yang mencakup rentang perangkat Nexus yang terpengaruh dan diupdate untuk setiap masalah. Kolom ini memiliki beberapa opsi:
- Semua perangkat Nexus: Jika masalah memengaruhi semua perangkat Nexus, tabel akan menampilkan Semua Nexus di kolom Perangkat Nexus yang diupdate. Semua Nexus mengenkapsulasi perangkat yang didukung berikut: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, dan Pixel C.
- Beberapa perangkat Nexus: Jika masalah tidak memengaruhi semua perangkat Nexus, perangkat Nexus yang terpengaruh akan tercantum di kolom Perangkat Nexus yang diupdate.
- Tidak ada perangkat Nexus: Jika tidak ada perangkat Nexus yang terpengaruh oleh masalah, tabel akan menampilkan “Tidak ada” di kolom Perangkat Nexus yang diupdate.
3. Mengapa CVE-2015-1805 disertakan dalam buletin ini?
CVE-2015-1805 disertakan dalam buletin ini karena Android Security Advisory—2016-03-18 dipublikasikan sangat dekat dengan rilis buletin April. Karena jadwal yang ketat, produsen perangkat diberi opsi untuk mengirimkan perbaikan dari Nexus Security Bulletin—April 2016, tanpa perbaikan untuk CVE-2015-1805, jika mereka menggunakan Tingkat Patch Keamanan 01 April 2016. Masalah ini disertakan lagi dalam buletin ini karena harus diperbaiki agar dapat menggunakan Level Patch Keamanan 01 Mei 2016.
Revisi
- 02 Mei 2016: Buletin dipublikasikan.
- 04 Mei 2016:
- Buletin direvisi untuk menyertakan link AOSP.
- Daftar semua perangkat Nexus yang diperbarui untuk menyertakan Nexus Player dan Pixel C.
- CVE-2016-2447 diperbarui menjadi CVE-2016-4477, sesuai permintaan MITRE.