Dipublikasikan 06 Juni 2016 | Diperbarui 08 Juni 2016
Buletin Keamanan Android berisi detail kerentanan keamanan yang memengaruhi perangkat Android. Bersama dengan buletin ini, kami telah merilis update keamanan ke perangkat Nexus melalui update over-the-air (OTA). Image firmware Nexus juga telah dirilis ke situs Google Developer. Level Patch Keamanan 01 Juni 2016 atau yang lebih baru mengatasi masalah ini. Lihat dokumentasi Nexus untuk mempelajari cara memeriksa tingkat patch keamanan.
Partner telah diberi tahu tentang masalah yang dijelaskan dalam buletin pada 02 Mei 2016 atau sebelumnya. Jika berlaku, patch kode sumber untuk masalah ini telah dirilis ke repositori Android Open Source Project (AOSP).
Masalah yang paling parah adalah Kerentanan keamanan Kritis yang dapat memungkinkan eksekusi kode jarak jauh di perangkat yang terpengaruh melalui beberapa metode seperti email, penjelajahan web, dan MMS saat memproses file media. Penilaian keparahan berdasarkan efek yang mungkin akan ditimbulkan oleh eksploitasi kerentanan pada perangkat yang terpengaruh, dengan asumsi mitigasi platform dan layanan dinonaktifkan untuk tujuan pengembangan atau jika berhasil diabaikan.
Kami tidak menerima laporan tentang eksploitasi atau penyalahgunaan pelanggan aktif terhadap masalah yang baru dilaporkan ini. Lihat bagian Mitigasi Layanan Android dan Google untuk mengetahui detail tentang perlindungan platform keamanan Android dan perlindungan layanan seperti SafetyNet, yang meningkatkan keamanan platform Android.
Sebaiknya semua pelanggan menyetujui update ini ke perangkat mereka.
Mitigasi Layanan Google dan Android
Ini adalah ringkasan mitigasi yang disediakan oleh platform keamanan Android dan perlindungan layanan, seperti SafetyNet. Kemampuan ini mengurangi kemungkinan kerentanan keamanan berhasil dieksploitasi di Android.
- Eksploitasi untuk banyak masalah di Android menjadi lebih sulit karena peningkatan pada platform Android versi yang lebih baru. Sebaiknya semua pengguna mengupdate ke versi Android terbaru jika memungkinkan.
- Tim Keamanan Android secara aktif memantau penyalahgunaan dengan Verify Apps dan SafetyNet, yang dirancang untuk memperingatkan pengguna tentang Aplikasi yang Berpotensi Membahayakan. Verifikasi Aplikasi diaktifkan secara default di perangkat dengan Layanan Seluler Google, dan sangat penting bagi pengguna yang menginstal aplikasi dari luar Google Play. Alat rooting perangkat dilarang di Google Play, tetapi Verifikasi Aplikasi memperingatkan pengguna saat mereka mencoba menginstal aplikasi rooting yang terdeteksi—terlepas dari asalnya. Selain itu, Verify Apps mencoba mengidentifikasi dan memblokir penginstalan aplikasi berbahaya yang diketahui yang mengeksploitasi kerentanan eskalasi hak istimewa. Jika aplikasi tersebut telah diinstal, Verifikasi Aplikasi akan memberi tahu pengguna dan mencoba menghapus aplikasi yang terdeteksi.
- Sesuai kebutuhan, aplikasi Google Hangouts dan Messenger tidak otomatis meneruskan media ke proses seperti Mediaserver.
Ucapan Terima Kasih
Kami ingin mengucapkan terima kasih kepada para peneliti berikut atas kontribusi mereka:
- Di Shen (@returnsme) dari KeenLab (@keen_lab), Tencent: CVE-2016-2468
- Gal Beniamini (@laginimaineb): CVE-2016-2476
- Gengjia Chen (@chengjia4574), pjf (weibo.com/jfpan) dari IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
- Hao Chen, Guang Gong, dan Wenlin Yang dari Mobile Safe Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016-2498
- Iwo Banas: CVE-2016-2496
- Jianqiang Zhao(@jianqiangzhao) dan pjf (weibo.com/jfpan) dari IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2490, CVE-2016-2491
- Lee Campbell dari Google: CVE-2016-2500
- Maciej Szawłowski dari Tim Keamanan Google: CVE-2016-2474
- Marco Nelissen dan Max Spector dari Google: CVE-2016-2487
- Merek Tanda Project Zero Google: CVE-2016-2494
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu), dan Xuxian Jiang dari Tim C0RE: CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481, CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
- Scott Bauer (@ScottyBauer1): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
- Vasily Vasilev: CVE-2016-2463
- Weichao Sun (@sunblate) dari Alibaba Inc.: CVE-2016-2495
- Xiling Gong dari Tencent Security Platform Department: CVE-2016-2499
- Zach Riggle (@ebeip90) dari Tim Keamanan Android: CVE-2016-2493
Detail Kerentanan Keamanan
Di bagian di bawah, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku untuk tingkat patch 01-06-2016. Terdapat deskripsi masalah, rasionalitas tingkat keparahan, dan tabel dengan CVE, bug Android terkait, tingkat keparahan, perangkat Nexus yang diupdate, versi AOSP yang diupdate (jika berlaku), dan tanggal dilaporkan. Jika tersedia, kami akan menautkan perubahan AOSP yang mengatasi masalah tersebut ke ID bug. Jika beberapa perubahan terkait dengan satu bug, referensi AOSP tambahan akan ditautkan ke angka yang mengikuti ID bug.
Kerentanan Eksekusi Kode Jarak Jauh di Mediaserver
Kerentanan eksekusi kode jarak jauh di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan kerusakan memori selama pemrosesan file media dan data. Masalah ini diberi rating sebagai Kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks proses Mediaserver. Proses Mediaserver memiliki akses ke streaming audio dan video, serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.
Fungsi yang terpengaruh disediakan sebagai bagian inti dari sistem operasi, dan ada beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media browser.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2463 | 27855419 | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 Mar 2016 |
Kerentanan Eksekusi Kode Jarak Jauh di libwebm
Kerentanan eksekusi kode jarak jauh dengan libwebm dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan kerusakan memori selama pemrosesan file media dan data. Masalah ini diberi rating sebagai Kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks proses Mediaserver. Proses Mediaserver memiliki akses ke streaming audio dan video, serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.
Fungsi yang terpengaruh disediakan sebagai bagian inti dari sistem operasi, dan ada beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media browser.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2464 | 23167726 [2] | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Internal Google |
Kerentanan Elevasi Hak Istimewa di Driver Video Qualcomm
Kerentanan elevasi hak istimewa di driver video Qualcomm dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2465 | 27407865* | Kritis | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 21 Feb 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Driver Suara Qualcomm
Kerentanan peningkatan hak istimewa di driver suara Qualcomm dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2466 | 27947307* | Kritis | Nexus 6 | 27 Februari 2016 |
| CVE-2016-2467 | 28029010* | Kritis | Nexus 5 | 13 Maret 2014 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Driver GPU Qualcomm
Kerentanan peningkatan hak istimewa di driver GPU Qualcomm dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Kritis karena kemungkinan adanya compromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2468 | 27475454* | Kritis | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 | 2 Maret 2016 |
| CVE-2016-2062 | 27364029* | Kritis | Nexus 5X, Nexus 6P | 6 Mar 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Driver Wi-Fi Qualcomm
Kerentanan peningkatan hak istimewa di driver Wi-Fi Qualcomm dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2474 | 27424603* | Kritis | Nexus 5X | Internal Google |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Driver Wi-Fi Broadcom
Kerentanan peningkatan hak istimewa di driver Wi-Fi Broadcom dapat memungkinkan aplikasi berbahaya lokal memanggil panggilan sistem yang mengubah setelan dan perilaku perangkat tanpa hak istimewa untuk melakukannya. Masalah ini diberi rating Tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang ditingkatkan.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2475 | 26425765* | Tinggi | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 6 Januari 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Driver Suara Qualcomm
Kerentanan peningkatan hak istimewa di driver suara Qualcomm dapat memungkinkan aplikasi berbahaya mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi layanan yang dapat memanggil driver.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2066 | 26876409* | Tinggi | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 29 Jan 2016 |
| CVE-2016-2469 | 27531992* | Tinggi | Nexus 5, Nexus 6, Nexus 6P | 4 Mar 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Mediaserver
Kerentanan peningkatan hak istimewa di Mediaserver dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks aplikasi sistem yang ditingkatkan. Masalah ini diberi rating Tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang ditingkatkan, seperti hak istimewa izin Signature atau SignatureOrSystem, yang tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2476 | 27207275 [2] [3] [4] | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 Februari 2016 |
| CVE-2016-2477 | 27251096 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 Februari 2016 |
| CVE-2016-2478 | 27475409 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 Maret 2016 |
| CVE-2016-2479 | 27532282 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 Mar 2016 |
| CVE-2016-2480 | 27532721 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 Mar 2016 |
| CVE-2016-2481 | 27532497 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 Mar 2016 |
| CVE-2016-2482 | 27661749 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 Mar 2016 |
| CVE-2016-2483 | 27662502 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 Mar 2016 |
| CVE-2016-2484 | 27793163 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Mar 2016 |
| CVE-2016-2485 | 27793367 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Mar 2016 |
| CVE-2016-2486 | 27793371 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Mar 2016 |
| CVE-2016-2487 | 27833616 [2] [3] | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Internal Google |
Kerentanan Elevasi Hak Istimewa di Driver Kamera Qualcomm
Kerentanan elevasi hak istimewa di driver kamera Qualcomm dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi layanan yang dapat memanggil driver.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2061 | 27207747* | Tinggi | Nexus 5X, Nexus 6P | 15 Februari 2016 |
| CVE-2016-2488 | 27600832* | Tinggi | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | Internal Google |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Driver Video Qualcomm
Kerentanan elevasi hak istimewa di driver video Qualcomm dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi layanan yang dapat memanggil driver.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2489 | 27407629* | Tinggi | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 21 Feb 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Driver Kamera NVIDIA
Kerentanan peningkatan hak istimewa di driver kamera NVIDIA dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi layanan untuk memanggil driver.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2490 | 27533373* | Tinggi | Nexus 9 | 6 Mar 2016 |
| CVE-2016-2491 | 27556408* | Tinggi | Nexus 9 | 8 Maret 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Driver Wi-Fi Qualcomm
Kerentanan peningkatan hak istimewa di driver Wi-Fi Qualcomm dapat memungkinkan aplikasi berbahaya menjalankan kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi layanan yang dapat memanggil driver.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2470 | 27662174* | Tinggi | Nexus 7 (2013) | 13 Mar 2016 |
| CVE-2016-2471 | 27773913* | Tinggi | Nexus 7 (2013) | 19 Mar 2016 |
| CVE-2016-2472 | 27776888* | Tinggi | Nexus 7 (2013) | 20 Mar 2016 |
| CVE-2016-2473 | 27777501* | Tinggi | Nexus 7 (2013) | 20 Mar 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Driver Pengelolaan Daya MediaTek
Elevasi hak istimewa di driver pengelolaan daya MediaTek dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi perangkat dan peningkatan ke root untuk memanggil driver.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2492 | 28085410* | Tinggi | Android One | 7 April 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Elevasi Hak Istimewa di Lapisan Emulasi Kartu SD
Kerentanan peningkatan hak istimewa di lapisan emulasi ruang pengguna Kartu SD dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks aplikasi sistem yang ditingkatkan. Masalah ini diberi rating sebagai Tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang ditingkatkan, seperti hak istimewa izin Signature atau SignatureOrSystem, yang tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2494 | 28085658 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 April 2016 |
Kerentanan Elevasi Hak Istimewa di Driver Wi-Fi Broadcom
Kerentanan elevasi hak istimewa di driver Wi-Fi Broadcom dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi layanan untuk memanggil driver.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2493 | 26571522* | Tinggi | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Player, Pixel C | Internal Google |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Denial of Service Jarak Jauh di Mediaserver
Kerentanan denial of service jarak jauh di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan perangkat hang atau memulai ulang. Masalah ini diberi rating Tinggi karena kemungkinan denial of service jarak jauh.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2495 | 28076789 [2] | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 April 2016 |
Kerentanan Elevasi Hak Istimewa di UI Framework
Kerentanan eskalasi hak istimewa di jendela dialog izin UI Framework dapat memungkinkan penyerang mendapatkan akses ke file yang tidak sah di penyimpanan pribadi. Masalah ini diberi rating Sedang karena dapat digunakan untuk mendapatkan izin "berbahaya" secara tidak tepat.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2496 | 26677796 [2] [3] | Sedang | Semua Nexus | 6.0, 6.1 | 26 Mei 2015 |
Kerentanan Pengungkapan Informasi di Driver Wi-Fi Qualcomm
Pengungkapan informasi di driver Wi-Fi Qualcomm dapat memungkinkan aplikasi malicious lokal mengakses data di luar tingkat izinnya. Masalah ini diberi rating Sedang karena pertama-tama memerlukan kompromi layanan yang dapat memanggil driver.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2498 | 27777162* | Sedang | Nexus 7 (2013) | 20 Mar 2016 |
* Patch untuk masalah ini tidak ada di AOSP. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan Pengungkapan Informasi di Mediaserver
Kerentanan pengungkapan informasi di Mediaserver dapat memungkinkan aplikasi mengakses informasi sensitif. Masalah ini diberi rating Sedang karena dapat digunakan untuk mengakses data tanpa izin.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2499 | 27855172 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 Mar 2016 |
Kerentanan Pengungkapan Informasi di Pengelola Aktivitas
Kerentanan pengungkapan informasi di komponen Pengelola Aktivitas dapat memungkinkan aplikasi mengakses informasi sensitif. Masalah ini diberi rating Sedang karena dapat digunakan untuk mengakses data tanpa izin.
| CVE | Bug Android | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2500 | 19285814 | Sedang | Semua Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | Internal Google |
Pertanyaan Umum dan Jawaban
Bagian ini menjawab pertanyaan umum yang mungkin muncul setelah membaca berita ini.
1. Bagaimana cara menentukan apakah perangkat saya telah diupdate untuk menyelesaikan masalah ini?
Level Patch Keamanan 01 Juni 2016 atau yang lebih baru mengatasi masalah ini (lihat dokumentasi Nexus untuk mengetahui petunjuk cara memeriksa level patch keamanan). Produsen perangkat yang menyertakan update ini harus menetapkan level string patch ke: [ro.build.version.security_patch]:[2016-06-01]
2. Bagaimana cara menentukan perangkat Nexus yang terpengaruh oleh setiap masalah?
Di bagian Detail Kerentanan Keamanan, setiap tabel memiliki kolom Perangkat Nexus yang Diupdate yang mencakup rentang perangkat Nexus yang terpengaruh dan diupdate untuk setiap masalah. Kolom ini memiliki beberapa opsi:
- Semua perangkat Nexus: Jika masalah memengaruhi semua perangkat Nexus, tabel akan menampilkan “Semua Nexus” di kolom Perangkat Nexus yang diupdate. “Semua Nexus” mencakup perangkat yang didukung berikut: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, dan Pixel C.
- Beberapa perangkat Nexus: Jika masalah tidak memengaruhi semua perangkat Nexus, perangkat Nexus yang terpengaruh akan tercantum di kolom Perangkat Nexus yang diupdate.
- Tidak ada perangkat Nexus: Jika tidak ada perangkat Nexus yang terpengaruh oleh masalah ini, tabel akan menampilkan “Tidak ada” di kolom Perangkat Nexus yang diupdate.
Revisi
- 06 Juni 2016: Buletin diterbitkan.
- 07 Juni 2016:
- Buletin direvisi untuk menyertakan link AOSP.
- CVE-2016-2496 dihapus dari buletin.
- 08 Juni 2016: CVE-2016-2496 ditambahkan kembali ke buletin.