Publicado em 6 de junho de 2016 | Atualizado em 8 de junho de 2016
O Boletim de segurança do Android contém detalhes das vulnerabilidades de segurança que afetam os dispositivos Android. Além do boletim, lançamos uma atualização de segurança para dispositivos Nexus por uma atualização over the air (OTA). As imagens de firmware do Nexus também foram lançadas no site para desenvolvedores do Google. Os níveis de patch de segurança de 1º de junho de 2016 ou mais recentes resolvem esses problemas. Consulte a documentação do Nexus para saber como verificar o nível do patch de segurança.
Os parceiros foram notificados sobre os problemas descritos no boletim em 2 de maio de 2016 ou antes. Quando aplicável, os patches de código-fonte para esses problemas foram lançados no repositório do Android Open Source Project (AOSP).
O problema mais grave é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por vários métodos, como e-mail, navegação na Web e MMS ao processar arquivos de mídia. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade teria em um dispositivo afetado, supondo que as mitigações de plataforma e serviço estejam desativadas para fins de desenvolvimento ou se forem contornadas.
Não recebemos relatos de exploração ou abuso ativo de clientes desses problemas recém-informados. Consulte a seção Mitigations do Android e do Google Service para saber mais sobre as proteções da plataforma de segurança do Android e as proteções de serviço, como SafetyNet, que melhoram a segurança da plataforma Android.
Recomendamos que todos os clientes aceitem essas atualizações nos dispositivos.
Mitigações do Android e dos serviços do Google
Este é um resumo das mitigações fornecidas pela plataforma de segurança do Android e proteções de serviço, como a SafetyNet. Esses recursos reduzem a probabilidade de que vulnerabilidades de segurança sejam exploradas no Android.
- A exploração de muitos problemas no Android fica mais difícil devido a melhorias nas versões mais recentes da Plataforma Android. Recomendamos que todos os usuários atualizem para a versão mais recente do Android, sempre que possível.
- A equipe de segurança do Android monitora ativamente os abusos com Verify Apps e SafetyNet, que foram criados para alertar os usuários sobre aplicativos potencialmente nocivos. A verificação de apps é ativada por padrão em dispositivos com Google Mobile Services e é especialmente importante para usuários que instalam apps fora do Google Play. Ferramentas de acesso root a dispositivos são proibidas no Google Play, mas o recurso "Verificar apps" alerta os usuários quando eles tentam instalar um aplicativo de acesso root detectado, não importa de onde ele vem. Além disso, o Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de elevação de privilégios. Se esse aplicativo já tiver sido instalado, o Verificar apps vai notificar o usuário e tentar remover o aplicativo detectado.
- Conforme apropriado, os apps do Google Hangouts e do Messenger não transmitem mídia automaticamente para processos como o Mediaserver.
Agradecimentos
Agradecemos as contribuições dos seguintes pesquisadores:
- Di Shen (@returnsme) do KeenLab (@keen_lab), Tencent: CVE-2016-2468.
- Gal Beniamini (@laginimaineb): CVE-2016-2476
- Gengjia Chen (@chengjia4574), pjf (weibo.com/jfpan) do IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
- Hao Chen, Guang Gong e Wenlin Yang, da equipe de segurança para dispositivos móveis da Qihoo 360 Technology Co., Ltd.: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016-2498
- Iwo Banas: CVE-2016-2496
- Jianqiang Zhao(@jianqiangzhao) e pjf (weibo.com/jfpan) do IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2490, CVE-2016-2491
- Lee Campbell, do Google: CVE-2016-2500
- Maciej Szawłowski, da equipe de segurança do Google: CVE-2016-2474
- Marco Nelissen e Max Spector do Google: CVE-2016-2487
- Marca Mark do Google Project Zero: CVE-2016-2494
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) e Xuxian Jiang da Equipe C0RE: CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481, CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
- Scott Bauer (@ScottyBauer1): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
- Vasily Vasilev: CVE-2016-2463
- Weichao Sun (@sunblate) da Alibaba Inc.: CVE-2016-2495
- Xiling Gong, do Departamento de Plataforma de Segurança da Tencent: CVE-2016-2499
- Zach Riggle (@ebeip90) da equipe de segurança do Android: CVE-2016-2493
Detalhes da vulnerabilidade de segurança
Nas seções abaixo, fornecemos detalhes sobre cada uma das vulnerabilidades de segurançai que se aplicam ao nível do patch 2016-06-01. Há uma descrição do problema, um raciocínio sobre a gravidade e uma tabela com o CVE, o bug associado do Android, a gravidade, os dispositivos Nexus atualizados, as versões atualizadas do AOSP (quando aplicável) e a data de registro. Quando disponível, vamos vincular a mudança do AOSP que resolveu o problema ao ID do bug. Quando várias mudanças se relacionam a um único bug, outras referências do AOSP são vinculadas a números que seguem o ID do bug.
Vulnerabilidade de execução remota de código no Mediaserver
Uma vulnerabilidade de execução remota de código no Mediaserver pode permitir que um invasor use um arquivo criado especialmente para causar corrupção de memória durante o processamento de arquivos de mídia e dados. Esse problema é classificado como crítico devido à possibilidade de execução remota de código no contexto do processo do Mediaserver. O processo do Mediaserver tem acesso a streams de áudio e vídeo, além de privilégios que apps de terceiros normalmente não podem acessar.
A funcionalidade afetada é fornecida como parte principal do sistema operacional, e há vários aplicativos que permitem o acesso a ela com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador.
| CVE | Bugs do Android | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-2463 | 27855419 | Crítico | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 de março de 2016 |
Vulnerabilidades de execução remota de código no libwebm
Vulnerabilidades de execução remota de código com libwebm podem permitir que um invasor use um arquivo criado especialmente para causar corrupção de memória durante o processamento de arquivos de mídia e dados. Esse problema é classificado como crítico devido à possibilidade de execução remota de código no contexto do processo do Mediaserver. O processo do Mediaserver tem acesso a streams de áudio e vídeo, além de privilégios que apps de terceiros normalmente não podem acessar.
A funcionalidade afetada é fornecida como parte principal do sistema operacional, e há vários aplicativos que permitem o acesso a ela com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador.
| CVE | Bugs do Android | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-2464 | 23167726 [2] | Crítico | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
Vulnerabilidade de elevação de privilégio no driver de vídeo Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de vídeo da Qualcomm pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente local do dispositivo, que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Bugs do Android | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2465 | 27407865* | Crítico | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 21 de fevereiro de 2016 |
* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégio no driver de som Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de som da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente local do dispositivo, que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Bugs do Android | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2466 | 27947307* | Crítico | Nexus 6 | 27 de fevereiro de 2016 |
| CVE-2016-2467 | 28029010* | Crítico | Nexus 5 | 13 de março de 2014 |
* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégio no driver da GPU da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver da GPU da Qualcomm pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente local do dispositivo, que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Bugs do Android | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2468 | 27475454* | Crítico | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 | 2 de março de 2016 |
| CVE-2016-2062 | 27364029* | Crítico | Nexus 5X, Nexus 6P | 6 de março de 2016 |
* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégio no driver do Wi-Fi da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de Wi-Fi da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente local do dispositivo, que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Bugs do Android | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2474 | 27424603* | Crítico | Nexus 5X | Interno do Google |
* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégio no driver de Wi-Fi da Broadcom
Uma vulnerabilidade de elevação de privilégio no driver de Wi-Fi da Broadcom pode permitir que um aplicativo malicioso local invoque chamadas do sistema para alterar as configurações e o comportamento do dispositivo sem os privilégios necessários. Esse problema é classificado como alto porque pode ser usado para conseguir acesso local a recursos elevados.
| CVE | Bugs do Android | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2475 | 26425765* | Alta | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 6 de janeiro de 2016 |
* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégio no driver de som Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de som da Qualcomm pode permitir que um aplicativo malicioso execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro ele precisa comprometer um serviço que pode chamar o driver.
| CVE | Bugs do Android | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2066 | 26876409* | Alta | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 29 de janeiro de 2016 |
| CVE-2016-2469 | 27531992* | Alta | Nexus 5, Nexus 6, Nexus 6P | 4 de março de 2016 |
* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégio no Mediaserver
Uma elevação de vulnerabilidade de privilégio no Mediaserver pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema foi classificado como "Alto" porque pode ser usado para conseguir acesso local a recursos elevados, como Signature ou SignatureOrSystem (links em inglês), que não são acessíveis a um aplicativo de terceiros.
| CVE | Bugs do Android | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-2476 | 27207275 [2] [3] [4] | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 de fevereiro de 2016 |
| CVE-2016-2477 | 27251096 | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 de fevereiro de 2016 |
| CVE-2016-2478 | 27475409 | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 de março de 2016 |
| CVE-2016-2479 | 27532282 | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 de março de 2016 |
| CVE-2016-2480 | 27532721 | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 de março de 2016 |
| CVE-2016-2481 | 27532497 | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 de março de 2016 |
| CVE-2016-2482 | 27661749 | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 de março de 2016 |
| CVE-2016-2483 | 27662502 | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 de março de 2016 |
| CVE-2016-2484 | 27793163 | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 de março de 2016 |
| CVE-2016-2485 | 27793367 | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 de março de 2016 |
| CVE-2016-2486 | 27793371 | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 de março de 2016 |
| CVE-2016-2487 | 27833616 [2] [3] | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
Vulnerabilidade de elevação de privilégio no driver da câmera Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver da câmera Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque, primeiro, ele exige comprometer um serviço que pode chamar o driver.
| CVE | Bugs do Android | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2061 | 27207747* | Alta | Nexus 5X, Nexus 6P | 15 de fevereiro de 2016 |
| CVE-2016-2488 | 27600832* | Alta | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | Interno do Google |
* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégio no driver de vídeo Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de vídeo da Qualcomm pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque, primeiro, ele exige comprometer um serviço que pode chamar o driver.
| CVE | Bugs do Android | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2489 | 27407629* | Alta | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 21 de fevereiro de 2016 |
* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégio no driver de câmera NVIDIA
Uma elevação de vulnerabilidade de privilégio no driver da câmera da NVIDIA pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque, primeiro, ele exige comprometer um serviço para chamar o driver.
| CVE | Bugs do Android | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2490 | 27533373* | Alta | Nexus 9 | 6 de março de 2016 |
| CVE-2016-2491 | 27556408* | Alta | Nexus 9 | 8 de março de 2016 |
* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégio no driver do Wi-Fi da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de Wi-Fi da Qualcomm pode permitir que um aplicativo malicioso execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro ele precisa comprometer um serviço que pode chamar o driver.
| CVE | Bugs do Android | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2470 | 27662174* | Alta | Nexus 7 (2013) | 13 de março de 2016 |
| CVE-2016-2471 | 27773913* | Alta | Nexus 7 (2013) | 19 de março de 2016 |
| CVE-2016-2472 | 27776888* | Alta | Nexus 7 (2013) | 20 de março de 2016 |
| CVE-2016-2473 | 27777501* | Alta | Nexus 7 (2013) | 20 de março de 2016 |
* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Elevação de privilégio no driver de gerenciamento de energia do MediaTek
Uma elevação de privilégio no driver de gerenciamento de energia do MediaTek pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro ele precisa comprometer o dispositivo e uma elevação para a raiz para chamar o driver.
| CVE | Bugs do Android | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2492 | 28085410* | Alta | Android One | 7 de abril de 2016 |
* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégio na camada de emulação de cartão SD
Uma vulnerabilidade de elevação de privilégios na camada de emulação do espaço do usuário do cartão SD pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um aplicativo do sistema com privilégios elevados. Essa questão foi classificada como alta porque pode ser usada para conseguir acesso local a recursos elevados, como os privilégios de permissões Signature ou SignatureOrSystem, que não são acessíveis a um aplicativo de terceiros.
| CVE | Bugs do Android | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-2494 | 28085658 | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 de abril de 2016 |
Vulnerabilidade de elevação de privilégio no driver de Wi-Fi da Broadcom
Uma elevação de vulnerabilidade de privilégio no driver de Wi-Fi da Broadcom pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque, primeiro, ele exige que um serviço seja comprometido para chamar o driver.
| CVE | Bugs do Android | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2493 | 26571522* | Alta | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Player, Pixel C | Interno do Google |
* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de negação de serviço remota no Mediaserver
Uma vulnerabilidade de negação de serviço remota no Mediaserver pode permitir que um invasor use um arquivo especialmente criado para causar uma falha ou reinicialização do dispositivo. Esse problema é classificado como alto devido à possibilidade de negação de serviço remota.
| CVE | Bugs do Android | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-2495 | 28076789 [2] | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 de abril de 2016 |
Vulnerabilidade de elevação de privilégio na interface do framework
Uma vulnerabilidade de elevação de privilégios na janela de diálogo de permissão da interface do framework pode permitir que um invasor tenha acesso a arquivos não autorizados no armazenamento privado. Esse problema foi classificado como moderado porque pode ser usado para obter permissões perigosas.
| CVE | Bugs do Android | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-2496 | 26677796 [2] [3] | Moderada | Todos os Nexus | 6.0, 6.1 | 26 de maio de 2015 |
Vulnerabilidade de divulgação de informações no driver do Wi-Fi da Qualcomm
Uma divulgação de informações no driver de Wi-Fi da Qualcomm pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema é classificado como moderado porque primeiro ele precisa comprometer um serviço que pode chamar o driver.
| CVE | Bugs do Android | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2498 | 27777162* | Moderada | Nexus 7 (2013) | 20 de março de 2016 |
* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de divulgação de informações no Mediaserver
Uma vulnerabilidade de divulgação de informações no Mediaserver pode permitir que um aplicativo acesse informações sensíveis. Esse problema foi classificado como moderado porque pode ser usado para acessar dados sem permissão.
| CVE | Bugs do Android | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-2499 | 27855172 | Moderada | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 de março de 2016 |
Vulnerabilidade de divulgação de informações no Gerenciador de atividades
Uma vulnerabilidade de divulgação de informações no componente do Gerenciador de atividades pode permitir que um aplicativo acesse informações sensíveis. Esse problema foi classificado como moderado porque pode ser usado para acessar dados sem permissão.
| CVE | Bugs do Android | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-2500 | 19285814 | Moderada | Todos os Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
Perguntas e respostas comuns
Esta seção responde a perguntas comuns que podem surgir após a leitura deste boletim.
1. Como determino se meu dispositivo está atualizado para resolver esses problemas?
Os níveis do patch de segurança de 1º de junho de 2016 ou mais recentes resolvem esses problemas. Consulte a documentação do Nexus para instruções sobre como verificar o nível do patch de segurança. Os fabricantes de dispositivos que incluem essas atualizações precisam definir o nível da string de patch como: [ro.build.version.security_patch]:[2016-06-01]
2. Como determinar quais dispositivos Nexus são afetados por cada problema?
Na seção Detalhes da vulnerabilidade de segurança, cada tabela tem uma coluna "Dispositivos Nexus atualizados" que abrange o intervalo de dispositivos Nexus afetados atualizados para cada problema. Essa coluna tem algumas opções:
- Todos os dispositivos Nexus: se um problema afetar todos os dispositivos Nexus, a tabela vai mostrar "Todos os Nexus" na coluna Dispositivos Nexus atualizados. "Todos os Nexus" engloba os seguintes dispositivos compatíveis: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player e Pixel C.
- Alguns dispositivos Nexus: se um problema não afetar todos os dispositivos Nexus, os dispositivos Nexus afetados serão listados na coluna Dispositivos Nexus atualizados.
- Nenhum dispositivo Nexus: se nenhum dispositivo Nexus for afetado pelo problema, a tabela vai mostrar "Nenhum" na coluna Dispositivos Nexus atualizados.
Revisões
- 6 de junho de 2016: publicação do boletim.
- 7 de junho de 2016:
- O boletim foi revisado para incluir links do AOSP.
- A CVE-2016-2496 foi removida do boletim.
- 8 de junho de 2016: CVE-2016-2496 foi adicionada novamente ao boletim.