Opublikowano 06 czerwca 2016 | Zaktualizowano 8 czerwca 2016 r
Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Wraz z biuletynem opublikowaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA). Obrazy oprogramowania sprzętowego Nexusa zostały także udostępnione w witrynie Google Developer . Poziomy poprawek zabezpieczeń z 1 czerwca 2016 r. lub nowsze rozwiązują te problemy. Zapoznaj się z dokumentacją Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń.
Partnerzy zostali powiadomieni o problemach opisanych w biuletynie w dniu 02 maja 2016 roku lub wcześniej. W stosownych przypadkach w repozytorium Android Open Source Project (AOSP) udostępniono poprawki kodu źródłowego rozwiązujące te problemy.
Najpoważniejszym problemem jest krytyczna luka w zabezpieczeniach, która może umożliwić zdalne wykonanie kodu na zagrożonym urządzeniu przy użyciu wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług są wyłączone na potrzeby programowania lub jeśli pomyślnie je ominiesz.
Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu klientów lub nadużyciach w związku z nowo zgłoszonymi problemami. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Ograniczenia dotyczące usług Android i Google.
Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Ograniczenia dotyczące usług Android i Google
To jest podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.
- Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
- Zespół ds. bezpieczeństwa systemu Android aktywnie monitoruje nadużycia za pomocą aplikacji Verify Apps i SafetyNet , których zadaniem jest ostrzeganie użytkowników o potencjalnie szkodliwych aplikacjach . Opcja Weryfikuj aplikacje jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale funkcja Verify Apps ostrzega użytkowników, gdy próbują zainstalować wykrytą aplikację do rootowania – niezależnie od tego, skąd ona pochodzi. Ponadto funkcja Verify Apps próbuje identyfikować i blokować instalację znanych złośliwych aplikacji wykorzystujących lukę umożliwiającą eskalację uprawnień. Jeżeli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wykrytej aplikacji.
- W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.
Podziękowanie
Chcielibyśmy podziękować tym badaczom za ich wkład:
- Di Shen ( @returnsme ) z KeenLab ( @keen_lab ), Tencent: CVE-2016-2468
- Gal Beniamini ( @laginimaineb ): CVE-2016-2476
- Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) z IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
- Hao Chen, Guang Gong i Wenlin Yang z Mobile Safe Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016- 2498
- Iwo Banas : CVE-2016-2496
- Jianqiang Zhao( @jianqiangzhao ) i pjf ( weibo.com/jfpan ) z IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2490, CVE-2016-2491
- Lee Campbell z Google: CVE-2016-2500
- Maciej Szawłowski z zespołu ds. bezpieczeństwa Google: CVE-2016-2474
- Marco Nelissen i Max Spector z Google: CVE-2016-2487
- Oznacz markę Google Project Zero: CVE-2016-2494
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481 , CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
- Scott Bauer ( @ScottyBauer1 ): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
- Wasilij Wasilew: CVE-2016-2463
- Weichao Sun ( @sunblate ) z Alibaba Inc.: CVE-2016-2495
- Xiling Gong z Działu Platformy Bezpieczeństwa Tencent: CVE-2016-2499
- Zach Riggle ( @ebeip90 ) z zespołu ds. bezpieczeństwa Androida: CVE-2016-2493
Szczegóły luki w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2016-06-01. Znajduje się tam opis problemu, uzasadnienie wagi oraz tabela zawierająca CVE, powiązany błąd Androida, wagę, zaktualizowane urządzenia Nexus, zaktualizowane wersje AOSP (w stosownych przypadkach) i datę zgłoszenia. Jeśli będzie to możliwe, połączymy zmianę AOSP, która rozwiązała problem, z identyfikatorem błędu. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia AOSP są powiązane z liczbami następującymi po identyfikatorze błędu.
Luka w zabezpieczeniach serwera multimediów umożliwiająca zdalne wykonanie kodu
Luka w zabezpieczeniach programu Mediaserver umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku spowodowanie uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu Mediaservera. Proces Mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie mają dostępu aplikacje innych firm.
Funkcja, której to dotyczy, jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności wiadomości MMS i odtwarzania multimediów w przeglądarce.
| CVE | Błędy Androida | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-2463 | 27855419 | Krytyczny | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 marca 2016 r |
Luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu w libwebm
Luki w zabezpieczeniach libwebm umożliwiające zdalne wykonanie kodu mogą umożliwić osobie atakującej użycie specjalnie spreparowanego pliku spowodowanie uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu Mediaservera. Proces Mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie mają dostępu aplikacje innych firm.
Funkcja, której to dotyczy, jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności wiadomości MMS i odtwarzania multimediów w przeglądarce.
| CVE | Błędy Androida | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-2464 | 23167726 [ 2 ] | Krytyczny | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Wewnętrzne Google |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku wideo Qualcomm
Luka w sterowniku wideo Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Błędy Androida | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-2465 | 27407865* | Krytyczny | Nexusa 5, Nexusa 5X, Nexusa 6, Nexusa 6P | 21 lutego 2016 r |
* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku dźwięku Qualcomm
Luka w sterowniku dźwięku Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Błędy Androida | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-2466 | 27947307* | Krytyczny | Nexusa 6 | 27 lutego 2016 r |
| CVE-2016-2467 | 28029010* | Krytyczny | Nexus 5 | 13 marca 2014 |
* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku procesora graficznego Qualcomm
Luka w zabezpieczeniach sterownika procesora graficznego Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Błędy Androida | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-2468 | 27475454* | Krytyczny | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 | 2 marca 2016 r |
| CVE-2016-2062 | 27364029* | Krytyczny | Nexusa 5X, Nexusa 6P | 6 marca 2016 r |
* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku Wi-Fi Qualcomm
Luka w zabezpieczeniach sterownika Qualcomm Wi-Fi umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Błędy Androida | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-2474 | 27424603* | Krytyczny | Nexusa 5X | Wewnętrzne Google |
* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku Wi-Fi Broadcom
Luka w zabezpieczeniach sterownika Broadcom Wi-Fi umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wywoływanie wywołań systemowych zmieniających ustawienia i zachowanie urządzenia bez odpowiednich uprawnień. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do podwyższonych możliwości.
| CVE | Błędy Androida | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-2475 | 26425765* | Wysoki | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 6 stycznia 2016 r |
* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku dźwięku Qualcomm
Luka w sterowniku dźwięku Qualcomm umożliwiająca podniesienie uprawnień może umożliwić złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia usługi, która może nawiązać połączenie ze sterownikiem.
| CVE | Błędy Androida | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-2066 | 26876409* | Wysoki | Nexusa 5, Nexusa 5X, Nexusa 6, Nexusa 6P | 29 stycznia 2016 r |
| CVE-2016-2469 | 27531992* | Wysoki | Nexusa 5, Nexusa 6, Nexusa 6P | 4 marca 2016 r |
* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w serwerze multimediów
Luka w zabezpieczeniach programu Mediaserver umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy Androida | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-2476 | 27207275 [ 2 ] [ 3 ] [ 4 ] | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 lutego 2016 r |
| CVE-2016-2477 | 27251096 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 lutego 2016 r |
| CVE-2016-2478 | 27475409 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 marca 2016 r |
| CVE-2016-2479 | 27532282 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 marca 2016 r |
| CVE-2016-2480 | 27532721 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 marca 2016 r |
| CVE-2016-2481 | 27532497 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 marca 2016 r |
| CVE-2016-2482 | 27661749 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 marca 2016 r |
| CVE-2016-2483 | 27662502 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 marca 2016 r |
| CVE-2016-2484 | 27793163 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 marca 2016 r |
| CVE-2016-2485 | 27793367 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 marca 2016 r |
| CVE-2016-2486 | 27793371 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 marca 2016 r |
| CVE-2016-2487 | 27833616 [ 2 ] [ 3 ] | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Wewnętrzne Google |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku aparatu Qualcomm
Luka w zabezpieczeniach sterownika aparatu Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia usługi, która może nawiązać połączenie ze sterownikiem.
| CVE | Błędy Androida | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-2061 | 27207747* | Wysoki | Nexusa 5X, Nexusa 6P | 15 lutego 2016 r |
| CVE-2016-2488 | 27600832* | Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | Wewnętrzne Google |
* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku wideo Qualcomm
Luka w sterowniku wideo Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia usługi, która może nawiązać połączenie ze sterownikiem.
| CVE | Błędy Androida | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-2489 | 27407629* | Wysoki | Nexusa 5, Nexusa 5X, Nexusa 6, Nexusa 6P | 21 lutego 2016 r |
* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku kamery NVIDIA
Luka w zabezpieczeniach sterownika kamery NVIDIA umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia bezpieczeństwa usługi, aby zadzwonić do kierowcy.
| CVE | Błędy Androida | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-2490 | 27533373* | Wysoki | Nexusa 9 | 6 marca 2016 r |
| CVE-2016-2491 | 27556408* | Wysoki | Nexusa 9 | 8 marca 2016 r |
* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku Wi-Fi Qualcomm
Luka w zabezpieczeniach sterownika Qualcomm Wi-Fi umożliwiająca podniesienie uprawnień może umożliwić złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia usługi, która może nawiązać połączenie ze sterownikiem.
| CVE | Błędy Androida | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-2470 | 27662174* | Wysoki | Nexus 7 (2013) | 13 marca 2016 r |
| CVE-2016-2471 | 27773913* | Wysoki | Nexus 7 (2013) | 19 marca 2016 r |
| CVE-2016-2472 | 27776888* | Wysoki | Nexus 7 (2013) | 20 marca 2016 r |
| CVE-2016-2473 | 27777501* | Wysoki | Nexus 7 (2013) | 20 marca 2016 r |
* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku zarządzania energią MediaTek
Podniesienie uprawnień w sterowniku zarządzania energią MediaTek może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ wymaga najpierw złamania zabezpieczeń urządzenia i podniesienia uprawnień do konta root w celu wywołania sterownika.
| CVE | Błędy Androida | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-2492 | 28085410* | Wysoki | Android Jeden | 7 kwietnia 2016 r |
* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach związanej z podniesieniem uprawnień w warstwie emulacji karty SD
Luka umożliwiająca podniesienie uprawnień w warstwie emulacji przestrzeni użytkownika karty SD może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy Androida | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-2494 | 28085658 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 kwietnia 2016 r |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku Wi-Fi Broadcom
Luka w zabezpieczeniach sterownika Wi-Fi Broadcom umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia bezpieczeństwa usługi, aby zadzwonić do kierowcy.
| CVE | Błędy Androida | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-2493 | 26571522* | Wysoki | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Player, Pixel C | Wewnętrzne Google |
* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luka w zabezpieczeniach serwera multimediów umożliwiająca zdalną odmowę usługi
Luka w zabezpieczeniach serwera Mediaserver umożliwiająca zdalną odmowę usługi może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku w celu spowodowania zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnej odmowy usługi.
| CVE | Błędy Androida | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-2495 | 28076789 [ 2 ] | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 kwietnia 2016 r |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w interfejsie użytkownika Framework
Luka umożliwiająca podniesienie uprawnień w oknie dialogowym uprawnień interfejsu użytkownika Framework może umożliwić osobie atakującej uzyskanie dostępu do nieautoryzowanych plików w prywatnej pamięci. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do niewłaściwego uzyskania „ niebezpiecznych ” uprawnień.
| CVE | Błędy Androida | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-2496 | 26677796 [ 2 ] [ 3 ] | Umiarkowany | Cały Nexus | 6.0, 6.1 | 26 maja 2015 r |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w sterowniku Qualcomm Wi-Fi
Ujawnienie informacji w sterowniku Wi-Fi Qualcomm może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia usługi, która może nawiązać połączenie ze kierowcą.
| CVE | Błędy Androida | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-2498 | 27777162* | Umiarkowany | Nexus 7 (2013) | 20 marca 2016 r |
* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luka w zabezpieczeniach serwera multimediów umożliwiająca ujawnienie informacji
Luka w zabezpieczeniach Mediaservera umożliwiająca ujawnienie informacji może umożliwić aplikacji dostęp do poufnych informacji. Ten problem został oceniony jako umiarkowany, ponieważ można go wykorzystać do uzyskania dostępu do danych bez pozwolenia.
| CVE | Błędy Androida | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-2499 | 27855172 | Umiarkowany | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 marca 2016 r |
Luka w zabezpieczeniach Menedżera aktywności umożliwiająca ujawnienie informacji
Luka w komponencie Menedżera aktywności umożliwiająca ujawnienie informacji może umożliwić aplikacji dostęp do poufnych informacji. Ten problem ma ocenę umiarkowaną, ponieważ można go wykorzystać do uzyskania dostępu do danych bez pozwolenia.
| CVE | Błędy Androida | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-2500 | 19285814 | Umiarkowany | Cały Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | Wewnętrzne Google |
Często zadawane pytania i odpowiedzi
W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?
Poziomy poprawek zabezpieczeń z 1 czerwca 2016 r. lub nowsze rozwiązują te problemy (instrukcje dotyczące sprawdzania poziomu poprawek zabezpieczeń można znaleźć w dokumentacji Nexusa ). Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[2016-06-01]
2. Jak ustalić, których urządzeń Nexus dotyczy dany problem?
W sekcji Szczegóły luki w zabezpieczeniach każda tabela zawiera kolumnę Zaktualizowane urządzenia Nexus, która obejmuje zakres urządzeń Nexus, których dotyczy problem, zaktualizowanych w przypadku każdego problemu. Ta kolumna ma kilka opcji:
- Wszystkie urządzenia Nexus : jeśli problem dotyczy wszystkich urządzeń Nexus, w kolumnie Zaktualizowane urządzenia Nexus w tabeli będzie widoczna informacja „Wszystkie Nexusy”. „Wszystkie Nexusy” obejmują następujące obsługiwane urządzenia : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player i Pixel C.
- Niektóre urządzenia Nexus : jeśli problem nie dotyczy wszystkich urządzeń Nexus, dotknięte urządzenia Nexus zostaną wyświetlone w kolumnie Zaktualizowane urządzenia Nexus .
- Brak urządzeń Nexus : jeśli problem nie dotyczy żadnego urządzenia Nexus, w kolumnie Zaktualizowane urządzenia Nexus w tabeli będzie widoczna informacja „Brak”.
Wersje
- 06 czerwca 2016: Biuletyn opublikowany.
- 07 czerwca 2016:
- Biuletyn zmieniony w celu uwzględnienia łączy AOSP.
- CVE-2016-2496 usunięto z biuletynu.
- 8 czerwca 2016 r.: CVE-2016-2496 ponownie dodano do biuletynu.