Veröffentlicht am 06.06.2016 | Aktualisiert am 08. Juni 2016
Das Android Security Bulletin enthält Details zu Sicherheitslücken, die Android-Geräte betreffen. Neben dem Bulletin haben wir ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Site veröffentlicht. Sicherheitspatch-Level vom 1. Juni 2016 oder später beheben diese Probleme. Lesen Sie die Nexus-Dokumentation , um zu erfahren, wie Sie den Sicherheits-Patch-Level überprüfen.
Partner wurden über die im Bulletin beschriebenen Probleme am 2. Mai 2016 oder früher benachrichtigt. Wo zutreffend, wurden Quellcode-Patches für diese Probleme im Repository des Android Open Source Project (AOSP) veröffentlicht.
Das schwerwiegendste Problem ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät durch mehrere Methoden wie E-Mail, Webbrowsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstmitigationen werden zu Entwicklungszwecken deaktiviert oder erfolgreich umgangen.
Wir haben keine Berichte über aktive Ausbeutung oder Missbrauch dieser neu gemeldeten Probleme durch Kunden erhalten. Einzelheiten zum Schutz der Android-Sicherheitsplattform und zum Schutz von Diensten wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Android- und Google- Dienstminderungen.
Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.
Minderungen für Android- und Google-Dienste
Dies ist eine Zusammenfassung der Schutzmaßnahmen, die von der Android-Sicherheitsplattform und den Dienstschutzmaßnahmen wie SafetyNet bereitgestellt werden. Diese Fähigkeiten verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden könnten.
- Die Nutzung für viele Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
- Das Android-Sicherheitsteam überwacht aktiv auf Missbrauch mit Verify Apps und SafetyNet , die entwickelt wurden, um Benutzer vor potenziell schädlichen Anwendungen zu warnen. Apps überprüfen ist standardmäßig auf Geräten mit Google Mobile Services aktiviert und ist besonders wichtig für Benutzer, die Anwendungen von außerhalb von Google Play installieren. Geräte-Rooting-Tools sind in Google Play verboten, aber Verify Apps warnt Benutzer, wenn sie versuchen, eine erkannte Rooting-Anwendung zu installieren – unabhängig davon, woher sie stammt. Darüber hinaus versucht Verify Apps, die Installation bekannter bösartiger Anwendungen zu identifizieren und zu blockieren, die eine Schwachstelle bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, die erkannte Anwendung zu entfernen.
- Entsprechend übergeben Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie Mediaserver.
Danksagungen
Wir möchten diesen Forschern für ihre Beiträge danken:
- Di Shen ( @returnsme ) von KeenLab ( @keen_lab ), Tencent: CVE-2016-2468
- Gal Beniamini ( @laginimaineb ): CVE-2016-2476
- Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) von IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
- Hao Chen, Guang Gong und Wenlin Yang vom Mobile Safe Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016- 2498
- Iwo Banas : CVE-2016-2496
- Jianqiang Zhao( @jianqiangzhao ) und pjf ( weibo.com/jfpan ) von IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2490, CVE-2016-2491
- Lee Campbell von Google: CVE-2016-2500
- Maciej Szawłowski vom Google-Sicherheitsteam: CVE-2016-2474
- Marco Nelissen und Max Spector von Google: CVE-2016-2487
- Marke von Google Project Zero: CVE-2016-2494
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team : CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481 , CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
- Scott Bauer ( @ScottyBauer1 ): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
- Vasily Vasilev: CVE-2016-2463
- Weichao Sun ( @sunblate ) von Alibaba Inc.: CVE-2016-2495
- Xiling Gong von der Abteilung für Sicherheitsplattformen von Tencent: CVE-2016-2499
- Zach Riggle ( @ebeip90 ) vom Android-Sicherheitsteam: CVE-2016-2493
Details zu Sicherheitslücken
In den folgenden Abschnitten stellen wir Details zu allen Sicherheitslückeni bereit, die für das Patch-Level 2016-06-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Android-Fehler, dem Schweregrad, aktualisierten Nexus-Geräten, aktualisierten AOSP-Versionen (falls zutreffend) und dem gemeldeten Datum. Wenn verfügbar, werden wir die AOSP-Änderung, die das Problem behebt, mit der Fehler-ID verknüpfen. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern nach der Fehler-ID verknüpft.
Schwachstelle bezüglich Remotecodeausführung in Mediaserver
Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Mediaserver könnte es einem Angreifer ermöglichen, mithilfe einer speziell gestalteten Datei während der Mediendatei- und Datenverarbeitung eine Speicherbeschädigung zu verursachen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Prozesses als kritisch eingestuft. Der Mediaserver-Prozess hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, die es ermöglichen, sie mit Remote-Inhalten zu erreichen, insbesondere MMS und Browser-Wiedergabe von Medien.
| CVE | Android-Fehler | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-2463 | 27855419 | Kritisch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25. März 2016 |
Sicherheitslücken bezüglich Remotecodeausführung in libwebm
Sicherheitsanfälligkeiten bezüglich Remotecodeausführung in libwebm können es einem Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um während der Mediendatei- und Datenverarbeitung eine Speicherbeschädigung zu verursachen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Prozesses als kritisch eingestuft. Der Mediaserver-Prozess hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, die es ermöglichen, sie mit Remote-Inhalten zu erreichen, insbesondere MMS und Browser-Wiedergabe von Medien.
| CVE | Android-Fehler | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-2464 | 23167726 [ 2 ] | Kritisch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google-intern |
Elevation of Privilege-Schwachstelle im Qualcomm-Grafiktreiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Grafiktreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.
| CVE | Android-Fehler | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2465 | 27407865* | Kritisch | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 21. Februar 2016 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Qualcomm Sound-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Soundtreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.
| CVE | Android-Fehler | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2466 | 27947307* | Kritisch | Verbindung 6 | 27. Februar 2016 |
| CVE-2016-2467 | 28029010* | Kritisch | Nexus 5 | 13. März 2014 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Qualcomm-GPU-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-GPU-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.
| CVE | Android-Fehler | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2468 | 27475454* | Kritisch | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 | 2. März 2016 |
| CVE-2016-2062 | 27364029* | Kritisch | Nexus 5X, Nexus 6P | 6. März 2016 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.
| CVE | Android-Fehler | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2474 | 27424603* | Kritisch | Nexus 5X | Google-intern |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Broadcom Wi-Fi-Treiber
Eine Schwachstelle bezüglich der Erhöhung von Berechtigungen im Broadcom Wi-Fi-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, Systemaufrufe aufzurufen, die die Geräteeinstellungen und das Verhalten ohne die entsprechenden Berechtigungen ändern. Dieses Problem wird als Hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen zu erhalten.
| CVE | Android-Fehler | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2475 | 26425765* | Hoch | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 6. Januar 2016 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Qualcomm Sound-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Soundtreiber könnte es einer bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines Dienstes erfordert, der den Treiber anrufen kann.
| CVE | Android-Fehler | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2066 | 26876409* | Hoch | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 29. Januar 2016 |
| CVE-2016-2469 | 27531992* | Hoch | Nexus 5, Nexus 6, Nexus 6P | 4. März 2016 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle in Mediaserver
Eine Schwachstelle bezüglich Rechteerweiterungen in Mediaserver könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext einer Systemanwendung mit erhöhten Rechten auszuführen. Dieses Problem wird als hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungen zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Android-Fehler | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-2476 | 27207275 [ 2 ] [ 3 ] [ 4 ] | Hoch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11. Februar 2016 |
| CVE-2016-2477 | 27251096 | Hoch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17. Februar 2016 |
| CVE-2016-2478 | 27475409 | Hoch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3. März 2016 |
| CVE-2016-2479 | 27532282 | Hoch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6. März 2016 |
| CVE-2016-2480 | 27532721 | Hoch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6. März 2016 |
| CVE-2016-2481 | 27532497 | Hoch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6. März 2016 |
| CVE-2016-2482 | 27661749 | Hoch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14. März 2016 |
| CVE-2016-2483 | 27662502 | Hoch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14. März 2016 |
| CVE-2016-2484 | 27793163 | Hoch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22. März 2016 |
| CVE-2016-2485 | 27793367 | Hoch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22. März 2016 |
| CVE-2016-2486 | 27793371 | Hoch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22. März 2016 |
| CVE-2016-2487 | 27833616 [ 2 ] [ 3 ] | Hoch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google-intern |
Elevation of Privilege-Schwachstelle im Qualcomm-Kameratreiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Kameratreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines Dienstes erfordert, der den Treiber anrufen kann.
| CVE | Android-Fehler | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2061 | 27207747* | Hoch | Nexus 5X, Nexus 6P | 15. Februar 2016 |
| CVE-2016-2488 | 27600832* | Hoch | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | Google-intern |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Qualcomm-Grafiktreiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Grafiktreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines Dienstes erfordert, der den Treiber anrufen kann.
| CVE | Android-Fehler | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2489 | 27407629* | Hoch | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 21. Februar 2016 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im NVIDIA-Kameratreiber
Eine Elevation-of-Privilege-Schwachstelle im NVIDIA-Kameratreiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines Dienstes erfordert, um den Treiber anzurufen.
| CVE | Android-Fehler | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2490 | 27533373* | Hoch | Verbindung 9 | 6. März 2016 |
| CVE-2016-2491 | 27556408* | Hoch | Verbindung 9 | 8. März 2016 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber könnte es einer bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines Dienstes erfordert, der den Treiber anrufen kann.
| CVE | Android-Fehler | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2470 | 27662174* | Hoch | Verbindung 7 (2013) | 13. März 2016 |
| CVE-2016-2471 | 27773913* | Hoch | Verbindung 7 (2013) | 19. März 2016 |
| CVE-2016-2472 | 27776888* | Hoch | Verbindung 7 (2013) | 20. März 2016 |
| CVE-2016-2473 | 27777501* | Hoch | Verbindung 7 (2013) | 20. März 2016 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im MediaTek Power Management-Treiber
Eine Rechteerweiterung im MediaTek-Power-Management-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst eine Kompromittierung des Geräts und eine Erhöhung auf Root erfordert, um den Treiber aufzurufen.
| CVE | Android-Fehler | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2492 | 28085410* | Hoch | Android One | 7. April 2016 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle in der SD-Karten-Emulationsschicht
Eine Schwachstelle bezüglich Rechteerweiterungen in der Userspace-Emulationsebene der SD-Karte könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext einer Systemanwendung mit erhöhten Rechten auszuführen. Dieses Problem wird als hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungen zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Android-Fehler | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-2494 | 28085658 | Hoch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7. April 2016 |
Elevation of Privilege-Schwachstelle im Broadcom Wi-Fi-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Broadcom Wi-Fi-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines Dienstes erfordert, um den Treiber anzurufen.
| CVE | Android-Fehler | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2493 | 26571522* | Hoch | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Player, Pixel C | Google-intern |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Remote-Denial-of-Service-Schwachstelle in Mediaserver
Eine Remote-Denial-of-Service-Schwachstelle in Mediaserver könnte es einem Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um ein Gerät hängen zu lassen oder neu zu starten. Dieses Problem wird aufgrund der Möglichkeit von Remote-Denial-of-Service als Hoch eingestuft.
| CVE | Android-Fehler | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-2495 | 28076789 [ 2 ] | Hoch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6. April 2016 |
Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in der Framework-Benutzeroberfläche
Eine Schwachstelle bezüglich Rechteerweiterungen im Berechtigungsdialogfenster der Framework-Benutzeroberfläche könnte es einem Angreifer ermöglichen, Zugriff auf nicht autorisierte Dateien im privaten Speicher zu erlangen. Dieses Problem wird als mäßig eingestuft, da es dazu verwendet werden könnte, „ gefährliche “ Berechtigungen zu erlangen.
| CVE | Android-Fehler | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-2496 | 26677796 [ 2 ] [ 3 ] | Mäßig | Alles Nexus | 6.0, 6.1 | 26. Mai 2015 |
Schwachstelle bezüglich der Offenlegung von Informationen im Qualcomm Wi-Fi-Treiber
Eine Offenlegung von Informationen im Qualcomm Wi-Fi-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst die Kompromittierung eines Dienstes erfordert, der den Treiber anrufen kann.
| CVE | Android-Fehler | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2498 | 27777162* | Mäßig | Verbindung 7 (2013) | 20. März 2016 |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Offenlegung von Informationen Sicherheitslücke in Mediaserver
Eine Schwachstelle zur Offenlegung von Informationen in Mediaserver könnte es einer Anwendung ermöglichen, auf vertrauliche Informationen zuzugreifen. Dieses Problem wird als mittel eingestuft, da es zum unerlaubten Zugriff auf Daten verwendet werden könnte.
| CVE | Android-Fehler | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-2499 | 27855172 | Mäßig | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24. März 2016 |
Sicherheitslücke bezüglich der Offenlegung von Informationen im Aktivitätsmanager
Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in der Activity Manager-Komponente könnte es einer Anwendung ermöglichen, auf vertrauliche Informationen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es für den Zugriff auf Daten ohne Genehmigung verwendet werden könnte.
| CVE | Android-Fehler | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-2500 | 19285814 | Mäßig | Alles Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google-intern |
Häufige Fragen und Antworten
In diesem Abschnitt werden allgemeine Fragen beantwortet, die nach dem Lesen dieses Bulletins auftreten können.
1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?
Sicherheits-Patch-Level vom 1. Juni 2016 oder später beheben diese Probleme (Anweisungen zum Überprüfen des Sicherheits-Patch-Levels finden Sie in der Nexus-Dokumentation ). Gerätehersteller, die diese Updates enthalten, sollten die Patch-String-Ebene auf Folgendes festlegen: [ro.build.version.security_patch]:[2016-06-01]
2. Wie kann ich feststellen, welche Nexus-Geräte von jedem Problem betroffen sind?
Im Abschnitt Details zur Sicherheitslücke enthält jede Tabelle eine Spalte Aktualisierte Nexus-Geräte, die den Bereich der betroffenen Nexus-Geräte abdeckt, die für jedes Problem aktualisiert wurden. Diese Spalte hat einige Optionen:
- Alle Nexus-Geräte : Wenn ein Problem alle Nexus-Geräte betrifft, wird in der Tabelle „Alle Nexus“ in der Spalte „ Aktualisierte Nexus-Geräte “ angezeigt. „Alle Nexus“ umfasst die folgenden unterstützten Geräte : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player und Pixel C.
- Einige Nexus-Geräte : Wenn ein Problem nicht alle Nexus-Geräte betrifft, werden die betroffenen Nexus-Geräte in der Spalte „ Aktualisierte Nexus-Geräte “ aufgeführt.
- Keine Nexus-Geräte : Wenn keine Nexus-Geräte von dem Problem betroffen sind, wird in der Tabelle „Keine“ in der Spalte „ Aktualisierte Nexus-Geräte “ angezeigt.
Revisionen
- 06. Juni 2016: Bulletin veröffentlicht.
- 07. Juni 2016:
- Bulletin überarbeitet, um AOSP-Links aufzunehmen.
- CVE-2016-2496 aus dem Bulletin entfernt.
- 8. Juni 2016: CVE-2016-2496 wieder zum Bulletin hinzugefügt.