Diterbitkan 06 Juni 2016 | Diperbarui 08 Juni 2016
Buletin Keamanan Android berisi rincian kerentanan keamanan yang memengaruhi perangkat Android. Bersamaan dengan buletin ini, kami telah merilis pembaruan keamanan untuk perangkat Nexus melalui pembaruan over-the-air (OTA). Gambar firmware Nexus juga telah dirilis ke situs Pengembang Google . Tingkat Patch Keamanan tanggal 1 Juni 2016 atau lebih baru mengatasi masalah ini. Lihat dokumentasi Nexus untuk mempelajari cara memeriksa tingkat patch keamanan.
Mitra telah diberitahu tentang masalah yang dijelaskan dalam buletin pada tanggal 02 Mei 2016 atau sebelumnya. Jika memungkinkan, patch kode sumber untuk masalah ini telah dirilis ke repositori Android Open Source Project (AOSP).
Masalah yang paling parah adalah kerentanan keamanan kritis yang memungkinkan eksekusi kode jarak jauh pada perangkat yang terpengaruh melalui berbagai metode seperti email, penjelajahan web, dan MMS saat memproses file media. Penilaian tingkat keparahan didasarkan pada dampak eksploitasi kerentanan pada perangkat yang terkena dampak, dengan asumsi platform dan mitigasi layanan dinonaktifkan untuk tujuan pengembangan atau jika berhasil dilewati.
Kami belum menerima laporan mengenai eksploitasi pelanggan aktif atau penyalahgunaan masalah yang baru dilaporkan ini. Lihat bagian Mitigasi Layanan Android dan Google untuk detail tentang perlindungan platform keamanan Android dan perlindungan layanan seperti SafetyNet, yang meningkatkan keamanan platform Android.
Kami mendorong semua pelanggan untuk menerima pembaruan ini pada perangkat mereka.
Mitigasi Layanan Android dan Google
Ini adalah ringkasan mitigasi yang diberikan oleh platform keamanan Android dan perlindungan layanan, seperti SafetyNet. Kemampuan ini mengurangi kemungkinan kerentanan keamanan berhasil dieksploitasi di Android.
- Eksploitasi banyak masalah di Android menjadi lebih sulit dengan penyempurnaan pada platform Android versi terbaru. Kami mendorong semua pengguna untuk memperbarui ke versi Android terbaru jika memungkinkan.
- Tim Keamanan Android secara aktif memantau penyalahgunaan dengan Verify Apps dan SafetyNet , yang dirancang untuk memperingatkan pengguna tentang Aplikasi yang Berpotensi Membahayakan . Verifikasi Aplikasi diaktifkan secara default pada perangkat dengan Layanan Seluler Google , dan ini sangat penting bagi pengguna yang memasang aplikasi dari luar Google Play. Alat rooting perangkat dilarang di Google Play, namun Verify Apps memperingatkan pengguna saat mereka mencoba memasang aplikasi rooting yang terdeteksi—tidak peduli dari mana asalnya. Selain itu, Verifikasi Aplikasi berupaya mengidentifikasi dan memblokir pemasangan aplikasi berbahaya yang diketahui mengeksploitasi kerentanan peningkatan hak istimewa. Jika aplikasi tersebut telah diinstal, Verifikasi Aplikasi akan memberi tahu pengguna dan berupaya menghapus aplikasi yang terdeteksi.
- Jika perlu, aplikasi Google Hangouts dan Messenger tidak secara otomatis meneruskan media ke proses seperti Server Media.
Ucapan Terima Kasih
Kami ingin mengucapkan terima kasih kepada para peneliti atas kontribusi mereka:
- Di Shen ( @returnsme ) dari KeenLab ( @keen_lab ), Tencent: CVE-2016-2468
- Gal Beniamini ( @laginimaineb ): CVE-2016-2476
- Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) dari IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
- Hao Chen, Guang Gong, dan Wenlin Yang dari Tim Mobile Safe, Qihoo 360 Technology Co. Ltd.: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016- 2498
- Iwo Banas : CVE-2016-2496
- Jianqiang Zhao( @jianqiangzhao ) dan pjf ( weibo.com/jfpan ) dari IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2490, CVE-2016-2491
- Lee Campbell dari Google: CVE-2016-2500
- Maciej Szawłowski dari Tim Keamanan Google: CVE-2016-2474
- Marco Nelissen dan Max Spector dari Google: CVE-2016-2487
- Tandai Merek Google Project Zero: CVE-2016-2494
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), dan Xuxian Jiang dari Tim C0RE : CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481 , CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
- Scott Bauer ( @ScottyBauer1 ): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
- Vasily Vasilev: CVE-2016-2463
- Weichao Sun ( @sunblate ) dari Alibaba Inc.: CVE-2016-2495
- Xiling Gong dari Departemen Platform Keamanan Tencent: CVE-2016-2499
- Zach Riggle ( @ebeip90 ) dari Tim Keamanan Android: CVE-2016-2493
Detail Kerentanan Keamanan
Pada bagian di bawah ini, kami memberikan rincian untuk masing-masing kerentanan keamanan yang berlaku pada tingkat patch 01-06-2016. Terdapat deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, bug Android terkait, tingkat keparahan, perangkat Nexus yang diperbarui, versi AOSP yang diperbarui (jika berlaku), dan tanggal yang dilaporkan. Jika tersedia, kami akan menautkan perubahan AOSP yang mengatasi masalah tersebut ke ID bug. Ketika beberapa perubahan berhubungan dengan satu bug, referensi AOSP tambahan ditautkan ke nomor setelah ID bug.
Kerentanan Eksekusi Kode Jarak Jauh di Server Media
Kerentanan eksekusi kode jarak jauh di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan kerusakan memori selama pemrosesan file media dan data. Masalah ini dinilai Kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks proses Server Media. Proses Mediaserver memiliki akses ke streaming audio dan video, serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.
Fungsionalitas yang terpengaruh disediakan sebagai bagian inti dari sistem operasi, dan terdapat beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media di browser.
| CVE | bug Android | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2463 | 27855419 | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 Maret 2016 |
Kerentanan Eksekusi Kode Jarak Jauh di libwebm
Kerentanan eksekusi kode jarak jauh dengan libwebm dapat memungkinkan penyerang menggunakan file yang dibuat khusus menyebabkan kerusakan memori selama file media dan pemrosesan data. Masalah ini dinilai Kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks proses Server Media. Proses Mediaserver memiliki akses ke streaming audio dan video, serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.
Fungsionalitas yang terpengaruh disediakan sebagai bagian inti dari sistem operasi, dan terdapat beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media di browser.
| CVE | bug Android | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2464 | 23167726 [ 2 ] | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Internal |
Peningkatan Kerentanan Hak Istimewa di Driver Video Qualcomm
Peningkatan kerentanan hak istimewa pada driver video Qualcomm dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Kritis karena kemungkinan kerusakan perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | bug Android | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2465 | 27407865* | Kritis | Perhubungan 5, Perhubungan 5X, Perhubungan 6, Perhubungan 6P | 21 Februari 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan Kerentanan Hak Istimewa di Qualcomm Sound Driver
Peningkatan kerentanan hak istimewa pada driver suara Qualcomm dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Kritis karena kemungkinan kerusakan perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | bug Android | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2466 | 27947307* | Kritis | Perhubungan 6 | 27 Februari 2016 |
| CVE-2016-2467 | 28029010* | Kritis | Nexus 5 | 13 Maret 2014 |
* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan Kerentanan Hak Istimewa pada Driver GPU Qualcomm
Peningkatan kerentanan hak istimewa pada driver GPU Qualcomm dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Kritis karena kemungkinan kerusakan perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | bug Android | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2468 | 27475454* | Kritis | Perhubungan 5, Perhubungan 5X, Perhubungan 6, Perhubungan 6P, Perhubungan 7 | 2 Maret 2016 |
| CVE-2016-2062 | 27364029* | Kritis | Perhubungan 5X, Perhubungan 6P | 6 Maret 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan Kerentanan Hak Istimewa di Driver Wi-Fi Qualcomm
Peningkatan kerentanan hak istimewa pada driver Wi-Fi Qualcomm dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Kritis karena kemungkinan kerusakan perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | bug Android | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2474 | 27424603* | Kritis | Perhubungan 5X | Google Internal |
* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan Kerentanan Hak Istimewa pada Driver Wi-Fi Broadcom
Peningkatan kerentanan hak istimewa pada driver Wi-Fi Broadcom dapat memungkinkan aplikasi jahat lokal memanggil panggilan sistem untuk mengubah pengaturan dan perilaku perangkat tanpa hak istimewa untuk melakukannya. Masalah ini dinilai Tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang lebih tinggi.
| CVE | bug Android | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2475 | 26425765* | Tinggi | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 6 Januari 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan Kerentanan Hak Istimewa di Qualcomm Sound Driver
Peningkatan kerentanan hak istimewa pada driver suara Qualcomm dapat memungkinkan aplikasi jahat mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena pertama-tama memerlukan kompromi pada layanan yang dapat menghubungi pengemudi.
| CVE | bug Android | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2066 | 26876409* | Tinggi | Perhubungan 5, Perhubungan 5X, Perhubungan 6, Perhubungan 6P | 29 Januari 2016 |
| CVE-2016-2469 | 27531992* | Tinggi | Perhubungan 5, Perhubungan 6, Perhubungan 6P | 4 Maret 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan Kerentanan Hak Istimewa di Server Media
Peningkatan kerentanan hak istimewa di Mediaserver dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks aplikasi sistem yang ditingkatkan. Masalah ini dinilai Tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang lebih tinggi, seperti hak istimewa izin Signature atau SignatureOrSystem , yang tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | bug Android | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2476 | 27207275 [ 2 ] [ 3 ] [ 4 ] | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 Februari 2016 |
| CVE-2016-2477 | 27251096 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 Februari 2016 |
| CVE-2016-2478 | 27475409 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 Maret 2016 |
| CVE-2016-2479 | 27532282 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 Maret 2016 |
| CVE-2016-2480 | 27532721 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 Maret 2016 |
| CVE-2016-2481 | 27532497 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 Maret 2016 |
| CVE-2016-2482 | 27661749 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 Maret 2016 |
| CVE-2016-2483 | 27662502 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 Maret 2016 |
| CVE-2016-2484 | 27793163 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Maret 2016 |
| CVE-2016-2485 | 27793367 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Maret 2016 |
| CVE-2016-2486 | 27793371 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Maret 2016 |
| CVE-2016-2487 | 27833616 [ 2 ] [ 3 ] | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Internal |
Peningkatan Kerentanan Hak Istimewa pada Driver Kamera Qualcomm
Peningkatan kerentanan hak istimewa pada driver kamera Qualcomm dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena pertama-tama memerlukan kompromi pada layanan yang dapat menghubungi pengemudi.
| CVE | bug Android | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2061 | 27207747* | Tinggi | Perhubungan 5X, Perhubungan 6P | 15 Februari 2016 |
| CVE-2016-2488 | 27600832* | Tinggi | Perhubungan 5, Perhubungan 5X, Perhubungan 6, Perhubungan 6P, Perhubungan 7 (2013) | Google Internal |
* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan Kerentanan Hak Istimewa di Driver Video Qualcomm
Peningkatan kerentanan hak istimewa pada driver video Qualcomm dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena pertama-tama memerlukan kompromi pada layanan yang dapat menghubungi pengemudi.
| CVE | bug Android | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2489 | 27407629* | Tinggi | Perhubungan 5, Perhubungan 5X, Perhubungan 6, Perhubungan 6P | 21 Februari 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan Kerentanan Hak Istimewa pada Driver Kamera NVIDIA
Peningkatan kerentanan hak istimewa pada driver kamera NVIDIA dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi layanan terlebih dahulu untuk memanggil pengemudi.
| CVE | bug Android | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2490 | 27533373* | Tinggi | Perhubungan 9 | 6 Maret 2016 |
| CVE-2016-2491 | 27556408* | Tinggi | Perhubungan 9 | 8 Maret 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan Kerentanan Hak Istimewa di Driver Wi-Fi Qualcomm
Peningkatan kerentanan hak istimewa pada driver Wi-Fi Qualcomm dapat memungkinkan aplikasi jahat mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena pertama-tama memerlukan kompromi pada layanan yang dapat menghubungi pengemudi.
| CVE | bug Android | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2470 | 27662174* | Tinggi | Perhubungan 7 (2013) | 13 Maret 2016 |
| CVE-2016-2471 | 27773913* | Tinggi | Perhubungan 7 (2013) | 19 Maret 2016 |
| CVE-2016-2472 | 27776888* | Tinggi | Perhubungan 7 (2013) | 20 Maret 2016 |
| CVE-2016-2473 | 27777501* | Tinggi | Perhubungan 7 (2013) | 20 Maret 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan Kerentanan Hak Istimewa pada Driver Manajemen Daya MediaTek
Peningkatan hak istimewa pada driver manajemen daya MediaTek dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena pertama-tama memerlukan kompromi perangkat dan ketinggian untuk melakukan root agar dapat memanggil driver.
| CVE | bug Android | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2492 | 28085410* | Tinggi | Android Satu | 7 April 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan Kerentanan Hak Istimewa di Lapisan Emulasi Kartu SD
Peningkatan kerentanan hak istimewa di lapisan emulasi ruang pengguna Kartu SD dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks aplikasi sistem yang ditingkatkan. Masalah ini dinilai Tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang lebih tinggi, seperti hak istimewa izin Signature atau SignatureOrSystem , yang tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | bug Android | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2494 | 28085658 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 April 2016 |
Peningkatan Kerentanan Hak Istimewa pada Driver Wi-Fi Broadcom
Peningkatan kerentanan hak istimewa pada driver Wi-Fi Broadcom dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi layanan terlebih dahulu untuk memanggil pengemudi.
| CVE | bug Android | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2493 | 26571522* | Tinggi | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Pemain Nexus, Piksel C | Google Internal |
* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Kerentanan Penolakan Layanan Jarak Jauh di Server Media
Kerentanan penolakan layanan jarak jauh di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan perangkat hang atau reboot. Masalah ini dinilai Tinggi karena kemungkinan penolakan layanan jarak jauh.
| CVE | bug Android | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2495 | 28076789 [ 2 ] | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 April 2016 |
Peningkatan Kerentanan Hak Istimewa dalam Kerangka UI
Peningkatan kerentanan hak istimewa di jendela dialog izin Framework UI dapat memungkinkan penyerang mendapatkan akses ke file tidak sah di penyimpanan pribadi. Masalah ini dinilai Sedang karena dapat digunakan untuk mendapatkan izin " berbahaya " secara tidak patut.
| CVE | bug Android | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2496 | 26677796 [ 2 ] [ 3 ] | Sedang | Semua Nexus | 6.0, 6.1 | 26 Mei 2015 |
Kerentanan Pengungkapan Informasi di Driver Wi-Fi Qualcomm
Pengungkapan informasi pada driver Wi-Fi Qualcomm dapat memungkinkan aplikasi jahat lokal mengakses data di luar tingkat izinnya. Masalah ini dinilai Sedang karena pertama-tama memerlukan kompromi terhadap layanan yang dapat menghubungi pengemudi.
| CVE | bug Android | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2498 | 27777162* | Sedang | Perhubungan 7 (2013) | 20 Maret 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Kerentanan Keterbukaan Informasi di Mediaserver
Kerentanan pengungkapan informasi di Mediaserver dapat memungkinkan aplikasi mengakses informasi sensitif. Masalah ini dinilai Sedang karena dapat digunakan untuk mengakses data tanpa izin.
| CVE | bug Android | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2499 | 27855172 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 Maret 2016 |
Kerentanan Pengungkapan Informasi di Manajer Aktivitas
Kerentanan pengungkapan informasi di komponen Manajer Aktivitas dapat memungkinkan aplikasi mengakses informasi sensitif. Masalah ini dinilai Sedang karena dapat digunakan untuk mengakses data tanpa izin.
| CVE | bug Android | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2500 | 19285814 | Sedang | Semua Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Internal |
Pertanyaan dan Jawaban Umum
Bagian ini menjawab pertanyaan umum yang mungkin muncul setelah membaca buletin ini.
1. Bagaimana cara menentukan apakah perangkat saya diperbarui untuk mengatasi masalah ini?
Tingkat Patch Keamanan 1 Juni 2016 atau lebih baru mengatasi masalah ini (lihat dokumentasi Nexus untuk petunjuk tentang cara memeriksa tingkat patch keamanan). Produsen perangkat yang menyertakan pembaruan ini harus menetapkan tingkat string patch ke: [ro.build.version.security_patch]:[2016-06-01]
2. Bagaimana cara menentukan perangkat Nexus mana yang terpengaruh oleh setiap masalah?
Di bagian Detail Kerentanan Keamanan , setiap tabel memiliki kolom Perangkat Nexus yang Diperbarui yang mencakup rentang perangkat Nexus yang terpengaruh dan diperbarui untuk setiap masalah. Kolom ini memiliki beberapa opsi:
- Semua perangkat Nexus : Jika masalah memengaruhi semua perangkat Nexus, tabel akan menampilkan “Semua Nexus” di kolom Perangkat Nexus yang Diperbarui . “Semua Nexus” merangkum perangkat yang didukung berikut: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, dan Pixel C.
- Beberapa perangkat Nexus : Jika masalah tidak memengaruhi semua perangkat Nexus, perangkat Nexus yang terpengaruh akan dicantumkan di kolom Perangkat Nexus yang Diperbarui .
- Tidak ada perangkat Nexus : Jika tidak ada perangkat Nexus yang terpengaruh oleh masalah ini, tabel akan menampilkan “Tidak Ada” di kolom Perangkat Nexus yang Diperbarui .
Revisi
- 06 Juni 2016: Buletin diterbitkan.
- 07 Juni 2016:
- Buletin direvisi untuk menyertakan link AOSP.
- CVE-2016-2496 dihapus dari buletin.
- 08 Juni 2016: CVE-2016-2496 ditambahkan kembali ke buletin.