Pubblicato il 6 giugno 2016 | Aggiornato l'8 giugno 2016
Il Bollettino sulla sicurezza Android contiene dettagli delle vulnerabilità di sicurezza che interessano i dispositivi Android. Insieme al bollettino, abbiamo rilasciato un aggiornamento della sicurezza per i dispositivi Nexus tramite un aggiornamento over-the-air (OTA). Le immagini del firmware di Nexus sono state rilasciate anche sul sito Google for Developers. I livelli patch di sicurezza a partire dal 1° giugno 2016 risolvono questi problemi. Consulta la documentazione di Nexus per scoprire come controllare il livello della patch di sicurezza.
I partner sono stati informati dei problemi descritti nel bollettino il 2 maggio 2016 o prima. Ove applicabile, le patch del codice sorgente per questi problemi sono state rilasciate nel repository Android Open Source Project (AOSP).
Il problema più grave è una vulnerabilità di sicurezza critica che potrebbe consentire l'esecuzione di codice remoto su un dispositivo interessato tramite diversi metodi, come email, navigazione web e MMS durante l'elaborazione di file multimediali. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, supponendo che le mitigazioni della piattaforma e del servizio siano disattivate a scopo di sviluppo o se sono state aggirate.
Non abbiamo ricevuto segnalazioni di sfruttamento o abuso attivo da parte dei clienti di questi problemi appena segnalati. Consulta la sezione Mitigazioni per Android e i servizi Google per informazioni dettagliate sulle protezioni della piattaforma di sicurezza Android e sulle protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android.
Invitiamo tutti i clienti ad accettare questi aggiornamenti sui loro dispositivi.
Mitigazioni per Android e servizi Google
Questo è un riepilogo delle mitigazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni dei servizi, come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità di sicurezza possano essere sfruttate con successo su Android.
- Lo sfruttamento di molti problemi su Android è reso più difficile dai miglioramenti nelle versioni più recenti della piattaforma Android. Invitiamo tutti gli utenti a eseguire l'aggiornamento all'ultima versione di Android, se possibile.
- Il team di sicurezza di Android monitora attivamente gli abusi con Verify Apps e SafetyNet, progettati per avvisare gli utenti di applicazioni potenzialmente dannose. Verifica app è attivata per impostazione predefinita sui dispositivi con Google Mobile Services, ed è particolarmente importante per gli utenti che installano applicazioni al di fuori di Google Play. Gli strumenti di rooting del dispositivo sono vietati in Google Play, ma Verifica app avvisa gli utenti quando tentano di installare un'applicazione di rooting rilevata, indipendentemente dalla sua provenienza. Inoltre, Verifica app tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di escalation dei privilegi. Se un'applicazione di questo tipo è già stata installata, Verifica app invierà una notifica all'utente e tenterà di rimuovere l'applicazione rilevata.
- A seconda dei casi, le applicazioni Google Hangouts e Messenger non trasmettono automaticamente i contenuti multimediali a processi come Mediaserver.
Ringraziamenti
Vogliamo ringraziare per il loro contributo i seguenti ricercatori:
- Di Shen (@returnsme) di KeenLab (@keen_lab), Tencent: CVE-2016-2468
- Gal Beniamini (@laginimaineb): CVE-2016-2476
- Gengjia Chen (@chengjia4574), pjf (weibo.com/jfpan) di IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
- Hao Chen, Guang Gong e Wenlin Yang del team Mobile Safe di Qihoo 360 Technology Co. Ltd.: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016-2498
- Iwo Banas: CVE-2016-2496
- Jianqiang Zhao(@jianqiangzhao) e pjf (weibo.com/jfpan) di IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2490, CVE-2016-2491
- Lee Campbell di Google: CVE-2016-2500
- Maciej Szawłowski del team di sicurezza di Google: CVE-2016-2474
- Marco Nelissen e Max Spector di Google: CVE-2016-2487
- Mark Brand di Google Project Zero: CVE-2016-2494
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) e Xuxian Jiang del team C0RE: CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481, CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
- Scott Bauer (@ScottyBauer1): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
- Vasily Vasilev: CVE-2016-2463
- Weichao Sun (@sunblate) di Alibaba Inc.: CVE-2016-2495
- Xiling Gong del reparto Tencent Security Platform: CVE-2016-2499
- Zach Riggle (@ebeip90) del team di sicurezza di Android: CVE-2016-2493
Dettagli sulla vulnerabilità di sicurezza
Nelle sezioni seguenti vengono forniti dettagli su ciascuna delle vulnerabilità di sicurezza che si applicano al livello del patch del 1° giugno 2016. Sono presenti una descrizione del problema, una motivazione della gravità e una tabella con il CVE, il bug Android associato, la gravità, i dispositivi Nexus aggiornati, le versioni AOSP aggiornate (se applicabili) e la data di segnalazione. Se disponibile, collegheremo la modifica AOSP che ha risolto il problema all'ID bug. Quando più modifiche riguardano un singolo bug, i riferimenti AOSP aggiuntivi sono collegati ai numeri che seguono l'ID bug.
Vulnerabilità di esecuzione di codice remoto in Mediaserver
Una vulnerabilità di esecuzione di codice da remoto in Mediaserver potrebbe consentire a un utente malintenzionato di utilizzare un file appositamente creato per causare la corruzione della memoria durante l'elaborazione di file multimediali e dati. Questo problema è classificato come Critico a causa della possibilità di eseguire codice remoto nel contesto del processo Mediaserver. Il processo Mediaserver ha accesso agli stream audio e video, nonché ai privilegi a cui le app di terze parti non potrebbero normalmente accedere.
La funzionalità interessata è fornita come parte integrante del sistema operativo e esistono più applicazioni che consentono di accedervi con contenuti remoti, in particolare MMS e riproduzione di contenuti multimediali nel browser.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-2463 | 27855419 | Critico | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 marzo 2016 |
Vulnerabilità di esecuzione di codice remoto in libwebm
Le vulnerabilità di esecuzione di codice da remoto con libwebm potrebbero consentire a un utente malintenzionato di utilizzare un file appositamente creato per causare la corruzione della memoria durante l'elaborazione di file multimediali e dati. Questo problema è classificato come Critico a causa della possibilità di eseguire codice remoto nel contesto del processo Mediaserver. Il processo Mediaserver ha accesso agli stream audio e video, nonché ai privilegi a cui le app di terze parti non potrebbero normalmente accedere.
La funzionalità interessata è fornita come parte integrante del sistema operativo e esistono più applicazioni che consentono di accedervi con contenuti remoti, in particolare MMS e riproduzione di contenuti multimediali nel browser.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-2464 | 23167726 [2] | Critico | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno Google |
Vulnerabilità di elevazione dei privilegi nel driver video Qualcomm
Una vulnerabilità di elevazione dei privilegi nel driver video Qualcomm potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come critico a causa della possibilità di una compromissione permanente locale del dispositivo, che potrebbe richiedere il riflash del sistema operativo per la riparazione del dispositivo.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2465 | 27407865* | Critico | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 21 feb 2016 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito Google Developer.
Vulnerabilità di elevazione dei privilegi nel driver audio Qualcomm
Una vulnerabilità di elevazione dei privilegi nel driver audio Qualcomm potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come critico a causa della possibilità di una compromissione permanente locale del dispositivo, che potrebbe richiedere il riflash del sistema operativo per la riparazione del dispositivo.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2466 | 27947307* | Critico | Nexus 6 | 27 febbraio 2016 |
| CVE-2016-2467 | 28029010* | Critico | Nexus 5 | 13 marzo 2014 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito Google Developer.
Vulnerabilità di elevazione dei privilegi nel driver GPU Qualcomm
Una vulnerabilità di elevazione dei privilegi nel driver della GPU Qualcomm potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come Critico a causa della possibilità di un compromesso permanente del dispositivo locale, che potrebbe richiedere il riflash del sistema operativo per riparare il dispositivo.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2468 | 27475454* | Critico | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 | 2 marzo 2016 |
| CVE-2016-2062 | 27364029* | Critico | Nexus 5X, Nexus 6P | 6 marzo 2016 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito Google Developer.
Vulnerabilità di elevazione dei privilegi nel driver Wi-Fi Qualcomm
Una vulnerabilità di elevazione dei privilegi nel driver Wi-Fi Qualcomm potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come critico a causa della possibilità di una compromissione permanente locale del dispositivo, che potrebbe richiedere il riflash del sistema operativo per la riparazione del dispositivo.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2474 | 27424603* | Critico | Nexus 5X | Interno Google |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito Google Developer.
Vulnerabilità di elevazione dei privilegi nel driver Wi-Fi Broadcom
Una vulnerabilità di elevazione dei privilegi nel driver Wi-Fi Broadcom potrebbe consentire a un'applicazione locale dannosa di richiamare chiamate di sistema modificando le impostazioni e il comportamento del dispositivo senza i privilegi necessari. Questo problema è classificato come grave perché potrebbe essere utilizzato per ottenere l'accesso locale a funzionalità con privilegi elevati.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2475 | 26425765* | Alto | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 6 gennaio 2016 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito Google Developer.
Vulnerabilità di elevazione dei privilegi nel driver audio Qualcomm
Una vulnerabilità di elevazione dei privilegi nel driver audio Qualcomm potrebbe consentire a un'applicazione dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come Alto perché richiede innanzitutto di compromettere un servizio che può chiamare il conducente.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2066 | 26876409* | Alto | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 29 gen 2016 |
| CVE-2016-2469 | 27531992* | Alto | Nexus 5, Nexus 6, Nexus 6P | 4 marzo 2016 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito Google Developer.
Vulnerabilità di elevazione dei privilegi in Mediaserver
Una vulnerabilità di elevazione dei privilegi in Mediaserver potrebbe consentire a un'applicazione local maligna di eseguire codice arbitrario nel contesto di un'applicazione di sistema con privilegi elevati. Questo problema è classificato come Alto perché potrebbe essere utilizzato per ottenere l'accesso locale a funzionalità con privilegi elevati, come i privilegi delle autorizzazioni Signature o SignatureOrSystem, che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-2476 | 27207275 [2] [3] [4] | Alto | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 febbraio 2016 |
| CVE-2016-2477 | 27251096 | Alto | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 febbraio 2016 |
| CVE-2016-2478 | 27475409 | Alto | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 marzo 2016 |
| CVE-2016-2479 | 27532282 | Alto | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 marzo 2016 |
| CVE-2016-2480 | 27532721 | Alto | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 marzo 2016 |
| CVE-2016-2481 | 27532497 | Alto | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 marzo 2016 |
| CVE-2016-2482 | 27661749 | Alto | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 marzo 2016 |
| CVE-2016-2483 | 27662502 | Alto | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 marzo 2016 |
| CVE-2016-2484 | 27793163 | Alto | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 marzo 2016 |
| CVE-2016-2485 | 27793367 | Alto | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 marzo 2016 |
| CVE-2016-2486 | 27793371 | Alto | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 marzo 2016 |
| CVE-2016-2487 | 27833616 [2] [3] | Alto | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno Google |
Vulnerabilità di elevazione dei privilegi nel driver della fotocamera Qualcomm
Una vulnerabilità di elevazione dei privilegi nel driver della fotocamera Qualcomm potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come Alto perché richiede innanzitutto di compromettere un servizio che può chiamare il conducente.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2061 | 27207747* | Alto | Nexus 5X, Nexus 6P | 15 febbraio 2016 |
| CVE-2016-2488 | 27600832* | Alto | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | Interno Google |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito Google Developer.
Vulnerabilità di elevazione dei privilegi nel driver video Qualcomm
Una vulnerabilità di elevazione dei privilegi nel driver video Qualcomm potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come Alto perché richiede innanzitutto di compromettere un servizio che può chiamare il conducente.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2489 | 27407629* | Alto | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 21 feb 2016 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito Google Developer.
Vulnerabilità di elevazione dei privilegi nel driver della videocamera NVIDIA
Una vulnerabilità di elevazione dei privilegi nel driver della videocamera NVIDIA potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come Alto perché richiede innanzitutto la compromissione di un servizio per chiamare il driver.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2490 | 27533373* | Alto | Nexus 9 | 6 marzo 2016 |
| CVE-2016-2491 | 27556408* | Alto | Nexus 9 | 8 marzo 2016 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito Google Developer.
Vulnerabilità di elevazione dei privilegi nel driver Wi-Fi Qualcomm
Una vulnerabilità di elevazione dei privilegi nel driver Wi-Fi Qualcomm potrebbe consentire a un'applicazione dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come Alto perché richiede innanzitutto di compromettere un servizio che può chiamare il conducente.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2470 | 27662174* | Alto | Nexus 7 (2013) | 13 marzo 2016 |
| CVE-2016-2471 | 27773913* | Alto | Nexus 7 (2013) | 19 mar 2016 |
| CVE-2016-2472 | 27776888* | Alto | Nexus 7 (2013) | 20 marzo 2016 |
| CVE-2016-2473 | 27777501* | Alto | Nexus 7 (2013) | 20 marzo 2016 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito Google Developer.
Vulnerabilità di elevazione dei privilegi nel driver di gestione dell'alimentazione MediaTek
Un'elevazione dei privilegi nel driver di gestione dell'alimentazione MediaTek potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come Alto perché richiede prima di compromettere il dispositivo e un'elevazione al root per chiamare il driver.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2492 | 28085410* | Alto | Android One | 7 aprile 2016 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito Google Developer.
Vulnerabilità di elevazione dei privilegi nel livello di emulazione della scheda SD
Una vulnerabilità di elevazione dei privilegi nel livello di emulazione dello spazio utente della scheda SD potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto di un'applicazione di sistema con privilegi elevati. Questo problema è classificato come Alto perché potrebbe essere utilizzato per ottenere l'accesso locale a funzionalità con privilegi elevati, come i privilegi delle autorizzazioni Signature o SignatureOrSystem, che non sono accessibili a un'applicazione di terze parti.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-2494 | 28085658 | Alto | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 aprile 2016 |
Vulnerabilità di elevazione dei privilegi nel driver Wi-Fi Broadcom
Una vulnerabilità di elevazione dei privilegi nel driver Wi-Fi Broadcom potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come Alto perché richiede innanzitutto la compromissione di un servizio per chiamare il driver.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2493 | 26571522* | Alto | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Player, Pixel C | Interno Google |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito Google Developer.
Vulnerabilità Denial of Service remota in Mediaserver
Una vulnerabilità di denial of service remoto in Mediaserver potrebbe consentire a un malintenzionato di utilizzare un file appositamente creato per causare un blocco o un riavvio del dispositivo. Questo problema è classificato come Alto a causa della possibilità di un attacco di negazione del servizio da remoto.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-2495 | 28076789 [2] | Alto | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 aprile 2016 |
Vulnerabilità di elevazione dei privilegi nell'interfaccia utente del framework
Una vulnerabilità di elevazione dei privilegi nella finestra della finestra di dialogo delle autorizzazioni dell'interfaccia utente del Framework potrebbe consentire a un malintenzionato di ottenere l'accesso a file non autorizzati nello spazio di archiviazione privato. Questo problema è classificato come moderato perché potrebbe essere utilizzato per ottenere impropriamente autorizzazioni "pericolose".
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-2496 | 26677796 [2] [3] | Moderata | Tutti i Nexus | 6.0, 6.1 | 26 maggio 2015 |
Vulnerabilità di divulgazione di informazioni nel driver Wi-Fi Qualcomm
La divulgazione di informazioni nel driver Wi-Fi Qualcomm potrebbe consentire a un'applicazione malevola locale di accedere ai dati al di fuori dei suoi livelli di autorizzazione. Questo problema è classificato come moderato perché richiede innanzitutto di compromettere un servizio che può chiamare il conducente.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-2498 | 27777162* | Moderata | Nexus 7 (2013) | 20 marzo 2016 |
* La patch per questo problema non è in AOSP. L'aggiornamento è contenuto nei driver binari più recenti per i dispositivi Nexus disponibili sul sito Google Developer.
Vulnerabilità di divulgazione di informazioni in Mediaserver
Una vulnerabilità di divulgazione di informazioni in Mediaserver potrebbe consentire a un'applicazione di accedere a informazioni sensibili. Questo problema è classificato come moderato perché potrebbe essere utilizzato per accedere ai dati senza autorizzazione.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-2499 | 27855172 | Moderata | Tutti i Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 marzo 2016 |
Vulnerabilità di divulgazione di informazioni in Activity Manager
Una vulnerabilità di divulgazione di informazioni nel componente Activity Manager potrebbe consentire a un'applicazione di accedere a informazioni sensibili. Questo problema è classificato come moderato perché potrebbe essere utilizzato per accedere ai dati senza autorizzazione.
| CVE | Bug di Android | Gravità | Dispositivi Nexus aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-2500 | 19285814 | Moderata | Tutti i Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno Google |
Domande frequenti e risposte
Questa sezione risponde alle domande frequenti che potrebbero sorgere dopo aver letto questo bollettino.
1. Come faccio a stabilire se il mio dispositivo è aggiornato per risolvere questi problemi?
I livelli patch di sicurezza a partire dal 1° giugno 2016 risolvono questi problemi (consulta la documentazione di Nexus per istruzioni su come controllare il livello patch di sicurezza). I produttori di dispositivi che includono questi aggiornamenti devono impostare il livello della stringa della patch su: [ro.build.version.security_patch]:[2016-06-01]
2. Come faccio a determinare quali dispositivi Nexus sono interessati da ogni problema?
Nella sezione Dettagli sulla vulnerabilità di sicurezza, ogni tabella contiene una colonna Dispositivi Nexus aggiornati che copre l'intervallo di dispositivi Nexus interessati aggiornati per ogni problema. Questa colonna offre alcune opzioni:
- Tutti i dispositivi Nexus: se un problema riguarda tutti i dispositivi Nexus, nella tabella sarà presente "Tutti i Nexus" nella colonna Dispositivi Nexus aggiornati. "Tutti i Nexus" racchiude i seguenti dispositivi supportati: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player e Pixel C.
- Alcuni dispositivi Nexus: se un problema non riguarda tutti i dispositivi Nexus, i dispositivi Nexus interessati sono elencati nella colonna Dispositivi Nexus aggiornati.
- Nessun dispositivo Nexus: se nessun dispositivo Nexus è interessato dal problema, nella colonna Dispositivi Nexus aggiornati della tabella sarà presente il valore "Nessun dispositivo".
Revisioni
- 6 giugno 2016: pubblicazione del bollettino.
- 7 giugno 2016:
- Bollettino rivisto per includere i link AOSP.
- CVE-2016-2496 rimossa dal bollettino.
- 8 giugno 2016: CVE-2016-2496 aggiunta di nuovo al bollettino.