Опубликовано 6 июня 2016 г. | Обновлено 8 июня 2016 г.
Бюллетень по безопасности Android содержит подробную информацию об уязвимостях безопасности, затрагивающих устройства Android. Одновременно с этим бюллетенем мы выпустили обновление безопасности для устройств Nexus посредством беспроводного обновления (OTA). Образы прошивки Nexus также были размещены на сайте разработчиков Google . Уровни исправлений безопасности от 1 июня 2016 г. или более поздние устраняют эти проблемы. Обратитесь к документации Nexus , чтобы узнать, как проверить уровень исправлений безопасности.
Партнеры были уведомлены о проблемах, описанных в бюллетене, 02 мая 2016 года или ранее. Там, где это применимо, исправления исходного кода для этих проблем были выпущены в репозиторий Android Open Source Project (AOSP).
Наиболее серьезной проблемой является критическая уязвимость безопасности, которая может сделать возможным удаленное выполнение кода на уязвимом устройстве с помощью нескольких методов, таких как электронная почта, просмотр веб-страниц и MMS при обработке мультимедийных файлов. Оценка серьезности основана на влиянии, которое эксплуатация уязвимости может оказать на затронутое устройство, при условии, что средства защиты платформы и службы отключены в целях разработки или в случае успешного обхода.
У нас не было сообщений об активном использовании клиентами или злоупотреблении этими недавно обнаруженными проблемами. Подробную информацию о средствах защиты платформы безопасности Android и службах защиты, таких как SafetyNet, которые повышают безопасность платформы Android, см. в разделе «Средства по снижению рисков для Android и служб Google».
Мы рекомендуем всем клиентам принять эти обновления на свои устройства.
Меры по смягчению последствий для Android и сервисов Google
Это краткий обзор мер, обеспечиваемых платформой безопасности Android и средствами защиты служб, такими как SafetyNet. Эти возможности снижают вероятность успешного использования уязвимостей безопасности на Android.
- Использование многих проблем на Android усложняется из-за усовершенствований в новых версиях платформы Android. Мы рекомендуем всем пользователям по возможности обновиться до последней версии Android.
- Команда безопасности Android активно отслеживает злоупотребления с помощью Verify Apps и SafetyNet , которые предназначены для предупреждения пользователей о потенциально вредных приложениях . Проверка приложений включена по умолчанию на устройствах с Google Mobile Services и особенно важна для пользователей, которые устанавливают приложения не из Google Play. Инструменты рутирования устройств запрещены в Google Play, но Verify Apps предупреждает пользователей, когда они пытаются установить обнаруженное приложение для рутирования — независимо от того, откуда оно получено. Кроме того, Verify Apps пытается идентифицировать и заблокировать установку известных вредоносных приложений, использующих уязвимость повышения привилегий. Если такое приложение уже установлено, Verify Apps уведомит пользователя и попытается удалить обнаруженное приложение.
- При необходимости приложения Google Hangouts и Messenger не передают мультимедиа автоматически в такие процессы, как Mediaserver.
Благодарности
Мы хотели бы поблагодарить этих исследователей за их вклад:
- Ди Шен ( @returnsme ) из KeenLab ( @keen_lab ), Tencent: CVE-2016-2468
- Галь Бениамини ( @laginimaineb ): CVE-2016-2476
- Гэнцзя Чен ( @chengjia4574 ), pjf ( weibo.com/jfpan ) из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
- Хао Чен, Гуан Гун и Вэньлинь Ян из команды Mobile Safe, Qihoo 360 Technology Co. Ltd.: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016- 2498
- Иво Банас : CVE-2016-2496.
- Цзяньцян Чжао( @jianqiangzhao ) и pjf ( weibo.com/jfpan ) из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2490, CVE-2016-2491
- Ли Кэмпбелл из Google: CVE-2016-2500.
- Мачей Шавловски из команды безопасности Google: CVE-2016-2474.
- Марко Нелиссен и Макс Спектор из Google: CVE-2016-2487.
- Марк Брэнд из Google Project Zero: CVE-2016-2494.
- Минцзянь Чжоу ( @Mingjian_Zhou ), Чиачи Ву ( @chiachih_wu ) и Сюсянь Цзян из команды C0RE : CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481. , CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
- Скотт Бауэр ( @ScottyBauer1 ): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489.
- Василий Васильев: CVE-2016-2463
- Вейчао Сан ( @sunblate ) из Alibaba Inc.: CVE-2016-2495.
- Силин Гонг из отдела платформы безопасности Tencent: CVE-2016-2499.
- Зак Риггл ( @ebeip90 ) из группы безопасности Android: CVE-2016-2493.
Подробности об уязвимостях безопасности
В разделах ниже мы приводим подробную информацию о каждой уязвимости безопасности, относящейся к уровню исправления от 2016-06-01. Приведено описание проблемы, обоснование серьезности и таблица с CVE, связанной ошибкой Android, серьезностью, обновленными устройствами Nexus, обновленными версиями AOSP (где применимо) и датой сообщения. Когда оно станет доступным, мы свяжем изменение AOSP, устраняющее проблему, с идентификатором ошибки. Если несколько изменений относятся к одной ошибке, дополнительные ссылки AOSP связаны с номерами, следующими за идентификатором ошибки.
Уязвимость удаленного выполнения кода на медиасервере
Уязвимость удаленного выполнения кода в Mediaserver может позволить злоумышленнику, используя специально созданный файл, вызвать повреждение памяти во время обработки мультимедийных файлов и данных. Проблеме присвоен критический уровень из-за возможности удаленного выполнения кода в контексте процесса Mediaserver. Процесс Mediaserver имеет доступ к аудио- и видеопотокам, а также доступ к привилегиям, к которым сторонние приложения обычно не имеют доступа.
Затронутая функциональность предоставляется как основная часть операционной системы, и существует множество приложений, которые позволяют получить доступ к ней с помощью удаленного контента, в первую очередь MMS и воспроизведения мультимедиа в браузере.
| CVE | Ошибки Android | Строгость | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2016-2463 | 27855419 | Критический | Весь Нексус | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 марта 2016 г. |
Уязвимости удаленного выполнения кода в libwebm
Уязвимости удаленного выполнения кода в libwebm могут позволить злоумышленнику использовать специально созданный файл, чтобы вызвать повреждение памяти во время обработки медиафайлов и данных. Проблеме присвоен критический уровень из-за возможности удаленного выполнения кода в контексте процесса Mediaserver. Процесс Mediaserver имеет доступ к аудио- и видеопотокам, а также доступ к привилегиям, к которым сторонние приложения обычно не имеют доступа.
Затронутая функциональность предоставляется как основная часть операционной системы, и существует множество приложений, которые позволяют получить доступ к ней с помощью удаленного контента, в первую очередь MMS и воспроизведения мультимедиа в браузере.
| CVE | Ошибки Android | Строгость | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2016-2464 | 23167726 [ 2 ] | Критический | Весь Нексус | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Внутренний Google |
Уязвимость, связанная с повышением привилегий в видеодрайвере Qualcomm
Уязвимость, связанная с повышением привилегий в видеодрайвере Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.
| CVE | Ошибки Android | Строгость | Обновленные устройства Nexus | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-2465 | 27407865* | Критический | Нексус 5, Нексус 5X, Нексус 6, Нексус 6P | 21 февраля 2016 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость, связанная с повышением привилегий в звуковом драйвере Qualcomm
Уязвимость, связанная с повышением привилегий в звуковом драйвере Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.
| CVE | Ошибки Android | Строгость | Обновленные устройства Nexus | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-2466 | 27947307* | Критический | Нексус 6 | 27 февраля 2016 г. |
| CVE-2016-2467 | 28029010* | Критический | Нексус 5 | 13 марта 2014 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Повышение привилегий через драйвер графического процессора Qualcomm
Уязвимость, связанная с повышением привилегий в драйвере графического процессора Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.
| CVE | Ошибки Android | Строгость | Обновленные устройства Nexus | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-2468 | 27475454* | Критический | Нексус 5, Нексус 5X, Нексус 6, Нексус 6P, Нексус 7 | 2 марта 2016 г. |
| CVE-2016-2062 | 27364029* | Критический | Нексус 5X, Нексус 6P | 6 марта 2016 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость, связанная с повышением привилегий в драйвере Qualcomm Wi-Fi
Уязвимость, связанная с повышением привилегий в драйвере Qualcomm Wi-Fi, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.
| CVE | Ошибки Android | Строгость | Обновленные устройства Nexus | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-2474 | 27424603* | Критический | Нексус 5X | Внутренний Google |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость, связанная с повышением привилегий в драйвере Broadcom Wi-Fi
Уязвимость, связанная с повышением привилегий в драйвере Broadcom Wi-Fi, может позволить локальному вредоносному приложению вызывать системные вызовы, изменяющие настройки и поведение устройства, не имея на это привилегий. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения локального доступа к расширенным возможностям.
| CVE | Ошибки Android | Строгость | Обновленные устройства Nexus | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-2475 | 26425765* | Высокий | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013 г.), Nexus 9, Nexus Player, Pixel C | 6 января 2016 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость, связанная с повышением привилегий в звуковом драйвере Qualcomm
Уязвимость, связанная с повышением привилегий в звуковом драйвере Qualcomm, может позволить вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала требуется взломать службу, которая может вызывать драйвер.
| CVE | Ошибки Android | Строгость | Обновленные устройства Nexus | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-2066 | 26876409* | Высокий | Нексус 5, Нексус 5X, Нексус 6, Нексус 6P | 29 января 2016 г. |
| CVE-2016-2469 | 27531992* | Высокий | Нексус 5, Нексус 6, Нексус 6П | 4 марта 2016 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость повышения привилегий на медиасервере
Уязвимость, связанная с несанкционированным повышением привилегий в Mediaserver, может позволить локальному вредоносному приложению выполнить произвольный код в контексте системного приложения с повышенными правами. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения локального доступа к расширенным возможностям, таким как привилегии разрешений Signature или SignatureOrSystem , которые недоступны стороннему приложению.
| CVE | Ошибки Android | Строгость | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2016-2476 | 27207275 [ 2 ] [ 3 ] [ 4 ] | Высокий | Весь Нексус | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 февраля 2016 г. |
| CVE-2016-2477 | 27251096 | Высокий | Весь Нексус | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 февраля 2016 г. |
| CVE-2016-2478 | 27475409 | Высокий | Весь Нексус | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 марта 2016 г. |
| CVE-2016-2479 | 27532282 | Высокий | Весь Нексус | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 марта 2016 г. |
| CVE-2016-2480 | 27532721 | Высокий | Весь Нексус | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 марта 2016 г. |
| CVE-2016-2481 | 27532497 | Высокий | Весь Нексус | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 марта 2016 г. |
| CVE-2016-2482 | 27661749 | Высокий | Весь Нексус | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 марта 2016 г. |
| CVE-2016-2483 | 27662502 | Высокий | Весь Нексус | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 марта 2016 г. |
| CVE-2016-2484 | 27793163 | Высокий | Весь Нексус | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 марта 2016 г. |
| CVE-2016-2485 | 27793367 | Высокий | Весь Нексус | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 марта 2016 г. |
| CVE-2016-2486 | 27793371 | Высокий | Весь Нексус | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 марта 2016 г. |
| CVE-2016-2487 | 27833616 [ 2 ] [ 3 ] | Высокий | Весь Нексус | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Внутренний Google |
Уязвимость, связанная с повышением привилегий в драйвере камеры Qualcomm
Уязвимость, связанная с повышением привилегий в драйвере камеры Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала требуется взломать службу, которая может вызывать драйвер.
| CVE | Ошибки Android | Строгость | Обновленные устройства Nexus | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-2061 | 27207747* | Высокий | Нексус 5X, Нексус 6P | 15 февраля 2016 г. |
| CVE-2016-2488 | 27600832* | Высокий | Нексус 5, Нексус 5X, Нексус 6, Нексус 6P, Нексус 7 (2013 г.) | Внутренний Google |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость, связанная с повышением привилегий в видеодрайвере Qualcomm
Уязвимость, связанная с повышением привилегий в видеодрайвере Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала требуется взломать службу, которая может вызывать драйвер.
| CVE | Ошибки Android | Строгость | Обновленные устройства Nexus | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-2489 | 27407629* | Высокий | Нексус 5, Нексус 5X, Нексус 6, Нексус 6P | 21 февраля 2016 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость, связанная с повышением привилегий в драйвере камеры NVIDIA
Уязвимость, связанная с повышением привилегий в драйвере камеры NVIDIA, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала требуется взломать службу для вызова драйвера.
| CVE | Ошибки Android | Строгость | Обновленные устройства Nexus | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-2490 | 27533373* | Высокий | Нексус 9 | 6 марта 2016 г. |
| CVE-2016-2491 | 27556408* | Высокий | Нексус 9 | 8 марта 2016 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость, связанная с повышением привилегий в драйвере Qualcomm Wi-Fi
Уязвимость, связанная с повышением привилегий в драйвере Qualcomm Wi-Fi, может позволить вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала требуется взломать службу, которая может вызывать драйвер.
| CVE | Ошибки Android | Строгость | Обновленные устройства Nexus | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-2470 | 27662174* | Высокий | Нексус 7 (2013) | 13 марта 2016 г. |
| CVE-2016-2471 | 27773913* | Высокий | Нексус 7 (2013) | 19 марта 2016 г. |
| CVE-2016-2472 | 27776888* | Высокий | Нексус 7 (2013) | 20 марта 2016 г. |
| CVE-2016-2473 | 27777501* | Высокий | Нексус 7 (2013) | 20 марта 2016 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость, связанная с повышением привилегий в драйвере управления питанием MediaTek
Повышение привилегий в драйвере управления питанием MediaTek может позволить локальному вредоносному приложению выполнять произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала требуется скомпрометировать устройство и получить root-права для вызова драйвера.
| CVE | Ошибки Android | Строгость | Обновленные устройства Nexus | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-2492 | 28085410* | Высокий | Андроид Один | 7 апреля 2016 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость, связанная с повышением привилегий на уровне эмуляции SD-карты
Уязвимость, связанная с повышением привилегий на уровне эмуляции пользовательского пространства SD-карты, может позволить локальному вредоносному приложению выполнить произвольный код в контексте системного приложения с повышенными правами. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения локального доступа к расширенным возможностям, таким как привилегии разрешений Signature или SignatureOrSystem , которые недоступны стороннему приложению.
| CVE | Ошибки Android | Строгость | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2016-2494 | 28085658 | Высокий | Весь Нексус | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 апреля 2016 г. |
Уязвимость, связанная с повышением привилегий в драйвере Broadcom Wi-Fi
Уязвимость, связанная с повышением привилегий в драйвере Broadcom Wi-Fi, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала требуется взломать службу для вызова драйвера.
| CVE | Ошибки Android | Строгость | Обновленные устройства Nexus | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-2493 | 26571522* | Высокий | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013 г.), Nexus Player, Pixel C | Внутренний Google |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость удаленного отказа в обслуживании на медиасервере
Уязвимость удаленного отказа в обслуживании в Mediaserver может позволить злоумышленнику использовать специально созданный файл, чтобы вызвать зависание или перезагрузку устройства. Проблеме присвоен высокий уровень из-за возможности удаленного отказа в обслуживании.
| CVE | Ошибки Android | Строгость | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2016-2495 | 28076789 [ 2 ] | Высокий | Весь Нексус | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 апреля 2016 г. |
Уязвимость, связанная с повышением привилегий в пользовательском интерфейсе Framework
Уязвимость, связанная с несанкционированным повышением привилегий в диалоговом окне разрешений пользовательского интерфейса Framework, может позволить злоумышленнику получить доступ к неавторизованным файлам в личном хранилище. Этой проблеме присвоен средний уровень серьезности, поскольку она может быть использована для неправомерного получения « опасных » разрешений.
| CVE | Ошибки Android | Строгость | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2016-2496 | 26677796 [ 2 ] [ 3 ] | Умеренный | Весь Нексус | 6.0, 6.1 | 26 мая 2015 г. |
Уязвимость раскрытия информации в драйвере Qualcomm Wi-Fi
Раскрытие информации в драйвере Qualcomm Wi-Fi может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала требуется взломать службу, которая может вызывать драйвер.
| CVE | Ошибки Android | Строгость | Обновленные устройства Nexus | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-2498 | 27777162* | Умеренный | Нексус 7 (2013) | 20 марта 2016 г. |
* Исправление этой проблемы отсутствует в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость раскрытия информации в медиасервере
Уязвимость раскрытия информации в Mediaserver может позволить приложению получить доступ к конфиденциальной информации. Этой проблеме присвоен средний уровень серьезности, поскольку ее можно использовать для доступа к данным без разрешения.
| CVE | Ошибки Android | Строгость | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2016-2499 | 27855172 | Умеренный | Весь Нексус | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 марта 2016 г. |
Уязвимость раскрытия информации в диспетчере действий
Уязвимость раскрытия информации в компоненте Activity Manager может позволить приложению получить доступ к конфиденциальной информации. Этой проблеме присвоен средний уровень серьезности, поскольку ее можно использовать для доступа к данным без разрешения.
| CVE | Ошибки Android | Строгость | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2016-2500 | 19285814 | Умеренный | Весь Нексус | 5.0.2, 5.1.1, 6.0, 6.0.1 | Внутренний Google |
Общие вопросы и ответы
В этом разделе даны ответы на распространенные вопросы, которые могут возникнуть после прочтения этого бюллетеня.
1. Как определить, обновлено ли мое устройство для устранения этих проблем?
Уровни исправлений безопасности от 1 июня 2016 г. или более поздние устраняют эти проблемы (инструкции по проверке уровня исправлений безопасности см. в документации Nexus ). Производители устройств, включающие эти обновления, должны установить уровень строки исправления следующим образом: [ro.build.version.security_patch]:[2016-06-01]
2. Как определить, на каких устройствах Nexus возникает та или иная проблема?
В разделе «Сведения об уязвимостях безопасности» в каждой таблице есть столбец «Обновленные устройства Nexus», в котором указан диапазон затронутых устройств Nexus, обновленных для каждой проблемы. В этом столбце есть несколько вариантов:
- Все устройства Nexus . Если проблема затрагивает все устройства Nexus, в столбце «Обновленные устройства Nexus » таблицы будет указано «Все Nexus». «All Nexus» включает следующие поддерживаемые устройства : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013 г.), Nexus 9, Android One, Nexus Player и Pixel C.
- Некоторые устройства Nexus . Если проблема не затрагивает все устройства Nexus, затронутые устройства Nexus перечислены в столбце «Обновленные устройства Nexus» .
- Нет устройств Nexus . Если проблема не затронула ни одно устройство Nexus, в столбце «Обновленные устройства Nexus » в таблице будет указано «Нет».
Редакции
- 6 июня 2016 г.: Бюллетень опубликован.
- 07 июня 2016 г.:
- Бюллетень изменен и теперь включает ссылки на AOSP.
- CVE-2016-2496 удален из бюллетеня.
- 8 июня 2016 г.: CVE-2016-2496 снова добавлен в бюллетень.