עלון אבטחה של Android—יוני 2016

קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

פורסם ב-06 ביוני 2016 | עודכן ב-08 ביוני 2016

עלון האבטחה של אנדרואיד מכיל פרטים על פרצות אבטחה המשפיעות על מכשירי אנדרואיד. לצד העלון, פרסמנו עדכון אבטחה למכשירי Nexus באמצעות עדכון אוויר (OTA). תמונות הקושחה של Nexus שוחררו גם לאתר Google Developer . רמות תיקון האבטחה מ-01 ביוני 2016 ואילך מטפלות בבעיות אלה. עיין בתיעוד של Nexus כדי ללמוד כיצד לבדוק את רמת תיקון האבטחה.

שותפים קיבלו הודעה על הבעיות המתוארות בעלון ב-2 במאי 2016 או קודם לכן. במידת האפשר, תיקוני קוד מקור עבור בעיות אלה שוחררו למאגר Android Open Source Project (AOSP).

הבעיה החמורה ביותר היא פגיעות אבטחה קריטית שעלולה לאפשר ביצוע קוד מרחוק במכשיר מושפע באמצעות מספר שיטות כגון דואר אלקטרוני, גלישה באינטרנט ו-MMS בעת עיבוד קובצי מדיה. הערכת החומרה מבוססת על ההשפעה שאולי תהיה לניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה וההפחתות השירות מושבתות למטרות פיתוח או אם יעקפו בהצלחה.

לא קיבלנו דיווחים על ניצול פעיל של לקוחות או שימוש לרעה בבעיות אלה שדווחו לאחרונה. עיין בסעיף הפחתת השירותים של אנדרואיד וגוגל לפרטים על הגנות פלטפורמת האבטחה של אנדרואיד והגנות שירות כגון SafetyNet, המשפרות את האבטחה של פלטפורמת אנדרואיד.

אנו מעודדים את כל הלקוחות לקבל עדכונים אלה למכשירים שלהם.

מצמצמות שירותי אנדרואיד וגוגל

זהו סיכום של ההקלות המסופקות על ידי פלטפורמת האבטחה אנדרואיד והגנות שירות, כגון SafetyNet. יכולות אלו מפחיתות את הסבירות שניתן יהיה לנצל בהצלחה פרצות אבטחה באנדרואיד.

  • ניצול בעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
  • צוות אבטחת אנדרואיד עוקב באופן פעיל אחר שימוש לרעה באמצעות Verify Apps ו- SafetyNet , שנועדו להזהיר משתמשים מפני יישומים שעלולים להזיק . אימות אפליקציות מופעל כברירת מחדל במכשירים עם שירותי Google Mobile , והוא חשוב במיוחד למשתמשים המתקינים אפליקציות מחוץ ל-Google Play. כלי השתרשות מכשירים אסורים ב-Google Play, אך Verify Apps מזהיר משתמשים כאשר הם מנסים להתקין אפליקציית השתרשות שזוהתה - לא משנה מאיפה היא מגיעה. בנוסף, Verify Apps מנסה לזהות ולחסום התקנה של יישומים זדוניים ידועים המנצלים פגיעות של הסלמה של הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע למשתמש וינסה להסיר את היישום שזוהה.
  • בהתאם, יישומי Google Hangouts ו-Messenger אינם מעבירים מדיה אוטומטית לתהליכים כגון Mediaserver.

תודות

ברצוננו להודות לחוקרים אלו על תרומתם:

  • Di Shen ( @returnsme ) מ- KeenLab ( @keen_lab ), Tencent: CVE-2016-2468
  • גל בנימיני ( @laginimaineb ): CVE-2016-2476
  • Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) ממעבדת IceSword, Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
  • Hao Chen, Guang Gong, ו-Wenlin Yang מ-Mobile Safe Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016- 2498
  • Iwo Banas : CVE-2016-2496
  • Jianqiang Zhao( @jianqiangzhao ) ו-pjf ( weibo.com/jfpan ) ממעבדת IceSword, Qihoo 360 Technology Co. Ltd.: CVE-2016-2490, CVE-2016-2491
  • לי קמפבל מגוגל: CVE-2016-2500
  • Maciej Szawłowski מצוות האבטחה של Google: CVE-2016-2474
  • מרקו נליסן ומקס ספקטור מגוגל: CVE-2016-2487
  • מארק ברנד של Google Project Zero: CVE-2016-2494
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), ו-Xuxian Jiang מצוות C0RE : CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-242801, CVE-24801, CVE-24801 , CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
  • סקוט באואר ( @ScottyBauer1 ): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
  • וסילי ואסילב: CVE-2016-2463
  • Weichao Sun ( @sunblate ) מ-Alibaba Inc.: CVE-2016-2495
  • Xiling Gong ממחלקת פלטפורמת האבטחה של Tencent: CVE-2016-2499
  • זאק ריגל ( @ebeip90 ) מצוות האבטחה של אנדרואיד: CVE-2016-2493

פרטי פגיעות אבטחה

בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה שחלות על רמת התיקון של 2016-06-01. יש תיאור של הבעיה, רציונל החומרה וטבלה עם ה-CVE, באג אנדרואיד המשויך, חומרת חומרה, מכשירי Nexus מעודכנים, גרסאות AOSP מעודכנות (כאשר רלוונטי) ותאריך הדיווח. כאשר יהיה זמין, נקשר את השינוי ב-AOSP שטיפל בבעיה למזהה הבאג. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות של AOSP מקושרות למספרים בעקבות מזהה הבאג.

פגיעות של ביצוע קוד מרחוק ב-Mediaserver

פגיעות של ביצוע קוד מרחוק ב-Mediaserver עלולה לאפשר לתוקף המשתמש בקובץ בעל מבנה מיוחד לגרום לפגיעה בזיכרון במהלך עיבוד קבצי מדיה ונתונים. בעיה זו מדורגת כקריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של תהליך Mediaserver. לתהליך Mediaserver יש גישה לזרמי אודיו ווידאו, כמו גם גישה להרשאות שאפליקציות צד שלישי לא יכלו לגשת אליהן בדרך כלל.

הפונקציונליות המושפעת מסופקת כחלק מרכזי ממערכת ההפעלה, וישנן מספר יישומים המאפשרים להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת מדיה בדפדפן.

CVE באגים באנדרואיד חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-2463 27855419 קריטי הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 25 במרץ 2016

פגיעויות של ביצוע קוד מרחוק ב-libwebm

פגיעויות של ביצוע קוד מרחוק עם libwebm עלולות לאפשר לתוקף המשתמש בקובץ בעל מבנה מיוחד לגרום לפגיעה בזיכרון במהלך עיבוד קבצי מדיה ומידע. בעיה זו מדורגת כקריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של תהליך Mediaserver. לתהליך Mediaserver יש גישה לזרמי אודיו ווידאו, כמו גם גישה להרשאות שאפליקציות צד שלישי לא יכלו לגשת אליהן בדרך כלל.

הפונקציונליות המושפעת מסופקת כחלק מרכזי ממערכת ההפעלה, וישנן מספר יישומים המאפשרים להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת מדיה בדפדפן.

CVE באגים באנדרואיד חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-2464 23167726 [ 2 ] קריטי הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google פנימי

פגיעות העלאת הרשאות ב-Qualcomm Video Driver

הפגיעות של העלאת הרשאות במנהל התקן הווידאו של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.

CVE באגים באנדרואיד חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-2465 27407865* קריטי Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 21 בפברואר 2016

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות העלאת הרשאות ב-Qualcomm Sound Driver

הפגיעות של העלאת הרשאות במנהל התקן הסאונד של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.

CVE באגים באנדרואיד חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-2466 27947307* קריטי Nexus 6 27 בפברואר 2016
CVE-2016-2467 28029010* קריטי נקסוס 5 13 במרץ 2014

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות העלאת הרשאות במנהל ההתקן של Qualcomm GPU

הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm GPU עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.

CVE באגים באנדרואיד חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-2468 27475454* קריטי Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 2 במרץ 2016
CVE-2016-2062 27364029* קריטי Nexus 5X, Nexus 6P 6 במרץ 2016

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות העלאת הרשאות במנהל התקן Wi-Fi של Qualcomm

הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.

CVE באגים באנדרואיד חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-2474 27424603* קריטי Nexus 5X Google פנימי

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות העלאת הרשאות במנהל התקן Wi-Fi של Broadcom

הפגיעות של העלאת הרשאות במנהל ההתקן של Broadcom Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית להפעיל שיחות מערכת ולשנות את הגדרות והתנהגות המכשיר ללא ההרשאות לעשות זאת. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות גבוהות.

CVE באגים באנדרואיד חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-2475 26425765* גָבוֹהַ Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C 6 בינואר 2016

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות העלאת הרשאות ב-Qualcomm Sound Driver

הפגיעות של העלאת הרשאות במנהל התקן הסאונד של Qualcomm עלולה לאפשר לאפליקציה זדונית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה התפשרות על שירות שיכול להתקשר לנהג.

CVE באגים באנדרואיד חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-2066 26876409* גָבוֹהַ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 29 בינואר 2016
CVE-2016-2469 27531992* גָבוֹהַ Nexus 5, Nexus 6, Nexus 6P 4 במרץ 2016

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות ב-Mediaserver

פגיעות העלאת הרשאות ב-Mediaserver עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של יישום מערכת מוגבה. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.

CVE באגים באנדרואיד חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-2476 27207275 [ 2 ] [ 3 ] [ 4 ] גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 בפברואר 2016
CVE-2016-2477 27251096 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 בפברואר 2016
CVE-2016-2478 27475409 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 במרץ 2016
CVE-2016-2479 27532282 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 במרץ 2016
CVE-2016-2480 27532721 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 במרץ 2016
CVE-2016-2481 27532497 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 במרץ 2016
CVE-2016-2482 27661749 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 במרץ 2016
CVE-2016-2483 27662502 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 במרץ 2016
CVE-2016-2484 27793163 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 במרץ 2016
CVE-2016-2485 27793367 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 במרץ 2016
CVE-2016-2486 27793371 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 במרץ 2016
CVE-2016-2487 27833616 [ 2 ] [ 3 ] גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google פנימי

פגיעות העלאת הרשאות במנהל התקן המצלמה של קוואלקום

הפגיעות של העלאת הרשאות במנהל ההתקן של מצלמת Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה התפשרות על שירות שיכול להתקשר לנהג.

CVE באגים באנדרואיד חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-2061 27207747* גָבוֹהַ Nexus 5X, Nexus 6P 15 בפברואר 2016
CVE-2016-2488 27600832* גָבוֹהַ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) Google פנימי

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות העלאת הרשאות ב-Qualcomm Video Driver

הפגיעות של העלאת הרשאות במנהל התקן הווידאו של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה התפשרות על שירות שיכול להתקשר לנהג.

CVE באגים באנדרואיד חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-2489 27407629* גָבוֹהַ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 21 בפברואר 2016

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות העלאת הרשאות במנהל ההתקן של מצלמת NVIDIA

הפגיעות של העלאת הרשאות במנהל ההתקן של מצלמת NVIDIA עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה התפשרות על שירות כדי להתקשר לנהג.

CVE באגים באנדרואיד חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-2490 27533373* גָבוֹהַ Nexus 9 6 במרץ 2016
CVE-2016-2491 27556408* גָבוֹהַ Nexus 9 8 במרץ 2016

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות העלאת הרשאות במנהל התקן Wi-Fi של Qualcomm

הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm Wi-Fi עלולה לאפשר לאפליקציה זדונית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה התפשרות על שירות שיכול להתקשר לנהג.

CVE באגים באנדרואיד חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-2470 27662174* גָבוֹהַ Nexus 7 (2013) 13 במרץ 2016
CVE-2016-2471 27773913* גָבוֹהַ Nexus 7 (2013) 19 במרץ 2016
CVE-2016-2472 27776888* גָבוֹהַ Nexus 7 (2013) 20 במרץ 2016
CVE-2016-2473 27777501* גָבוֹהַ Nexus 7 (2013) 20 במרץ 2016

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל ההתקן של MediaTek Power Management

העלאת הרשאות במנהל ההתקן של MediaTek לניהול צריכת החשמל יכולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה במכשיר והגבהה לשורש כדי לקרוא למנהל ההתקן.

CVE באגים באנדרואיד חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-2492 28085410* גָבוֹהַ Android One 7 באפריל, 2016

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות העלאת הרשאות בשכבת הדמיית כרטיס SD

פגיעות העלאת הרשאות בשכבת אמולציית מרחב המשתמש של כרטיס SD עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של יישום מערכת מוגבה. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.

CVE באגים באנדרואיד חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-2494 28085658 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 באפריל, 2016

פגיעות העלאת הרשאות במנהל התקן Wi-Fi של Broadcom

הפגיעות של העלאת הרשאות במנהל ההתקן של Broadcom Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה התפשרות על שירות כדי להתקשר לנהג.

CVE באגים באנדרואיד חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-2493 26571522* גָבוֹהַ Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Player, Pixel C Google פנימי

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות מניעת שירות מרחוק ב-Mediaserver

פגיעות של מניעת שירות מרחוק ב-Mediaserver עלולה לאפשר לתוקף להשתמש בקובץ בעל מבנה מיוחד כדי לגרום להתקן להיתקע או לאתחל מחדש. נושא זה מדורג כגבוה בשל האפשרות של מניעת שירות מרחוק.

CVE באגים באנדרואיד חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-2495 28076789 [ 2 ] גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 באפריל, 2016

הפגיעות של העלאת הרשאות בממשק המשתמש של Framework

הפגיעות של העלאת הרשאות בחלון הדו-שיח של הרשאות ממשק המשתמש של Framework עלולה לאפשר לתוקף לקבל גישה לקבצים לא מורשים באחסון פרטי. בעיה זו מדורגת כמתונה מכיוון שהיא עשויה לשמש כדי לקבל הרשאות " מסוכנות " באופן שגוי.

CVE באגים באנדרואיד חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-2496 26677796 [ 2 ] [ 3 ] לְמַתֵן הכל Nexus 6.0, 6.1 26 במאי 2015

פגיעות של חשיפת מידע במנהל התקן Wi-Fi של Qualcomm

חשיפת מידע במנהל התקן Wi-Fi של Qualcomm עשויה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה התפשרות על שירות שיכול להתקשר לנהג.

CVE באגים באנדרואיד חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-2498 27777162* לְמַתֵן Nexus 7 (2013) 20 במרץ 2016

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות של גילוי מידע ב-Mediaserver

פגיעות של חשיפת מידע ב-Mediaserver עלולה לאפשר לאפליקציה לגשת למידע רגיש. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי לגשת לנתונים ללא רשות.

CVE באגים באנדרואיד חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-2499 27855172 לְמַתֵן הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 במרץ 2016

פגיעות גילוי מידע במנהל הפעילות

פגיעות של חשיפת מידע ברכיב מנהל הפעילות עלולה לאפשר לאפליקציה לגשת למידע רגיש. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי לגשת לנתונים ללא הרשאה.

CVE באגים באנדרואיד חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-2500 19285814 לְמַתֵן הכל Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 Google פנימי

שאלות ותשובות נפוצות

סעיף זה עונה על שאלות נפוצות שעלולות להתרחש לאחר קריאת עלון זה.

1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלו?

רמות תיקון האבטחה מ-01 ביוני 2016 ואילך מטפלות בבעיות אלה (עיין בתיעוד של Nexus לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה). יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל: [ro.build.version.security_patch]:[2016-06-01]

2. כיצד אוכל לקבוע אילו מכשירי Nexus מושפעים מכל בעיה?

בקטע ' פרטי פגיעות אבטחה ', לכל טבלה יש עמודה מכשירי Nexus מעודכנים המכסה את מגוון מכשירי ה-Nexus המושפעים המעודכנים עבור כל בעיה. בעמודה זו יש כמה אפשרויות:

  • כל מכשירי ה-Nexus : אם בעיה משפיעה על כל מכשירי ה-Nexus, הטבלה תכלול "כל מכשירי ה-Nexus" בעמודה מכשירי ה-Nexus המעודכנים. "All Nexus" מכיל בתוכו את המכשירים הנתמכים הבאים: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player ו-Pixel C.
  • מכשירי Nexus מסוימים : אם בעיה לא משפיעה על כל מכשירי ה-Nexus, מכשירי ה-Nexus המושפעים רשומים בעמודה מכשירי Nexus מעודכנים .
  • אין מכשירי Nexus : אם אף מכשירי Nexus לא מושפעים מהבעיה, הטבלה תכלול "ללא" בעמודה מכשירי Nexus מעודכנים .

תיקונים

  • 06 ביוני 2016: פרסום העלון.
  • 7 ביוני 2016:
    • העלון תוקן כך שיכלול קישורי AOSP.
    • CVE-2016-2496 הוסר מעלון.
  • 8 ביוני, 2016: CVE-2016-2496 נוסף בחזרה לעלון.