Opublikowano 06 czerwca 2016 | Zaktualizowano 08 czerwca 2016 r.
Biuletyn Android Security Bulletin zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Wraz z biuletynem udostępniliśmy aktualizację zabezpieczeń urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA). Obrazy oprogramowania sprzętowego Nexusa zostały również udostępnione w witrynie Google Developer . Poziomy poprawek zabezpieczeń z 1 czerwca 2016 r. lub nowsze rozwiązują te problemy. Zapoznaj się z dokumentacją Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń.
Partnerzy zostali powiadomieni o problemach opisanych w biuletynie 2 maja 2016 r. lub wcześniej. W stosownych przypadkach w repozytorium Android Open Source Project (AOSP) udostępniono poprawki kodu źródłowego dla tych problemów.
Najpoważniejszym problemem jest krytyczna luka w zabezpieczeniach, która podczas przetwarzania plików multimedialnych może umożliwić zdalne wykonanie kodu na zaatakowanym urządzeniu za pomocą wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS. Ocena dotkliwości opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy, przy założeniu, że platforma i usługi ograniczania zagrożeń są wyłączone w celach programistycznych lub pomyślnie ominięte.
Nie mieliśmy żadnych doniesień o aktywnym wykorzystywaniu lub nadużywaniu przez klientów tych nowo zgłoszonych problemów. Zapoznaj się z sekcją Android i Google Service Mitigations , aby uzyskać szczegółowe informacje na temat zabezpieczeń platformy Android i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android.
Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Ograniczenia dotyczące Androida i usług Google
To jest podsumowanie środków łagodzących zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Te możliwości zmniejszają prawdopodobieństwo pomyślnego wykorzystania luk w zabezpieczeniach w systemie Android.
- Wykorzystanie wielu problemów w systemie Android jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do aktualizacji do najnowszej wersji Androida tam, gdzie to możliwe.
- Zespół Android Security aktywnie monitoruje nadużycia za pomocą funkcji Verify Apps i SafetyNet , które mają ostrzegać użytkowników o potencjalnie szkodliwych aplikacjach . Weryfikacja aplikacji jest domyślnie włączona na urządzeniach z usługami Google Mobile Services i jest szczególnie ważna dla użytkowników instalujących aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale Weryfikacja aplikacji ostrzega użytkowników, gdy próbują zainstalować wykrytą aplikację do rootowania — bez względu na to, skąd pochodzi. Ponadto Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji, które wykorzystują lukę w eskalacji uprawnień. Jeśli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wykrytej aplikacji.
- W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.
Podziękowanie
Chcielibyśmy podziękować tym badaczom za ich wkład:
- Di Shen ( @returnsme ) z KeenLab ( @keen_lab ), Tencent: CVE-2016-2468
- Gal Beniamini ( @laginimaineb ): CVE-2016-2476
- Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) z IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
- Hao Chen, Guang Gong i Wenlin Yang z Mobile Safe Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016- 2498
- Iwo Bany : CVE-2016-2496
- Jianqiang Zhao( @jianqiangzhao ) i pjf ( weibo.com/jfpan ) z IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2490, CVE-2016-2491
- Lee Campbell z Google: CVE-2016-2500
- Maciej Szawłowski z Google Security Team: CVE-2016-2474
- Marco Nelissen i Max Spector z Google: CVE-2016-2487
- Oznacz markę Google Project Zero: CVE-2016-2494
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481 , CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
- Scott Bauer ( @ScottyBauer1 ): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
- Wasilij Wasilew: CVE-2016-2463
- Weichao Sun ( @sunblate ) z Alibaba Inc.: CVE-2016-2495
- Xiling Gong Departamentu Platformy Bezpieczeństwa Tencent: CVE-2016-2499
- Zach Riggle ( @ebeip90 ) z zespołu ds. bezpieczeństwa systemu Android: CVE-2016-2493
Szczegóły luki w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej z luk w zabezpieczeniachi, które dotyczą poziomu poprawki 2016-06-01. Znajduje się tam opis problemu, uzasadnienie istotności oraz tabela z CVE, powiązanym błędem Androida, istotnością, zaktualizowanymi urządzeniami Nexus, zaktualizowanymi wersjami AOSP (jeśli dotyczy) oraz datą zgłoszenia. Gdy będzie to możliwe, połączymy zmianę AOSP, która rozwiązała problem, z identyfikatorem błędu. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odniesienia AOSP są powiązane z liczbami następującymi po identyfikatorze błędu.
Luka umożliwiająca zdalne wykonanie kodu w Mediaserver
Luka w zabezpieczeniach serwera Mediaserver umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku do uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu Mediaserver. Proces Mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie miały dostępu aplikacje innych firm.
Zakłócona funkcja jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności MMS i odtwarzanie multimediów w przeglądarce.
| CVE | Błędy Androida | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-2463 | 27855419 | Krytyczny | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 marca 2016 |
Luki w zabezpieczeniach zdalnego wykonania kodu w libwebm
Luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu przy użyciu biblioteki libwebm mogą umożliwić osobie atakującej użycie specjalnie spreparowanego pliku do uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu Mediaserver. Proces Mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie miały dostępu aplikacje innych firm.
Zakłócona funkcja jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności MMS i odtwarzanie multimediów w przeglądarce.
| CVE | Błędy Androida | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-2464 | 23167726 [ 2 ] | Krytyczny | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Wewnętrzne Google |
Podwyższona luka w zabezpieczeniach dotycząca uprawnień w sterowniku wideo Qualcomm
Luka umożliwiająca podniesienie uprawnień w sterowniku wideo Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Błędy Androida | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-2465 | 27407865* | Krytyczny | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 21 lut 2016 |
* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka uprzywilejowania w sterowniku dźwięku Qualcomm
Luka umożliwiająca podniesienie uprawnień w sterowniku dźwięku Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Błędy Androida | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-2466 | 27947307* | Krytyczny | Nexus 6 | 27 lut 2016 |
| CVE-2016-2467 | 28029010* | Krytyczny | Nexus 5 | 13 marca 2014 r. |
* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższenie poziomu luki uprawnień w sterowniku GPU Qualcomm
Luka umożliwiająca podniesienie uprawnień w sterowniku procesora graficznego Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Błędy Androida | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-2468 | 27475454* | Krytyczny | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 | 2 marca 2016 |
| CVE-2016-2062 | 27364029* | Krytyczny | Nexus 5X, Nexus 6P | 6 marca 2016 |
* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka dotycząca uprawnień w sterowniku Qualcomm Wi-Fi
Luka umożliwiająca podniesienie uprawnień w sterowniku Qualcomm Wi-Fi może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Błędy Androida | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-2474 | 27424603* | Krytyczny | Nexus 5X | Wewnętrzne Google |
* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka w zabezpieczeniach w zakresie uprawnień w sterowniku Broadcom Wi-Fi
Luka umożliwiająca podniesienie uprawnień w sterowniku Broadcom Wi-Fi może umożliwić lokalnej złośliwej aplikacji wywoływanie wywołań systemowych zmieniających ustawienia i zachowanie urządzenia bez odpowiednich uprawnień. Ten problem jest oceniany jako wysoki, ponieważ może być wykorzystany do uzyskania lokalnego dostępu do podwyższonych możliwości.
| CVE | Błędy Androida | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-2475 | 26425765* | Wysoki | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 6 stycznia 2016 |
* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka uprzywilejowania w sterowniku dźwięku Qualcomm
Luka umożliwiająca podniesienie uprawnień w sterowniku dźwięku Qualcomm może umożliwić złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga narażenia usługi, która może zadzwonić do kierowcy.
| CVE | Błędy Androida | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-2066 | 26876409* | Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 29 stycznia 2016 |
| CVE-2016-2469 | 27531992* | Wysoki | Nexus 5, Nexus 6, Nexus 6P | 4 marca 2016 |
* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższenie luki w uprawnieniach w Mediaserver
Luka umożliwiająca podniesienie uprawnień w serwerze Mediaserver może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem został oceniony jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, takich jak uprawnienia podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy Androida | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-2476 | 27207275 [ 2 ] [ 3 ] [ 4 ] | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 lut 2016 |
| CVE-2016-2477 | 27251096 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 lut 2016 |
| CVE-2016-2478 | 27475409 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 marca 2016 |
| CVE-2016-2479 | 27532282 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 marca 2016 |
| CVE-2016-2480 | 27532721 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 marca 2016 |
| CVE-2016-2481 | 27532497 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 marca 2016 |
| CVE-2016-2482 | 27661749 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 marca 2016 r. |
| CVE-2016-2483 | 27662502 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 marca 2016 r. |
| CVE-2016-2484 | 27793163 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 marca 2016 |
| CVE-2016-2485 | 27793367 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 marca 2016 |
| CVE-2016-2486 | 27793371 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 marca 2016 |
| CVE-2016-2487 | 27833616 [ 2 ] [ 3 ] | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Wewnętrzne Google |
Podwyższona luka w zabezpieczeniach uprawnień w sterowniku kamery Qualcomm
Luka umożliwiająca podniesienie uprawnień w sterowniku aparatu Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga narażenia usługi, która może zadzwonić do kierowcy.
| CVE | Błędy Androida | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-2061 | 27207747* | Wysoki | Nexus 5X, Nexus 6P | 15 lut 2016 |
| CVE-2016-2488 | 27600832* | Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | Wewnętrzne Google |
* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka w zabezpieczeniach dotycząca uprawnień w sterowniku wideo Qualcomm
Luka umożliwiająca podniesienie uprawnień w sterowniku wideo Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga narażenia usługi, która może zadzwonić do kierowcy.
| CVE | Błędy Androida | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-2489 | 27407629* | Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 21 lut 2016 |
* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższenie luki związanej z przywilejami w sterowniku kamery NVIDIA
Luka umożliwiająca podniesienie uprawnień w sterowniku kamery NVIDIA może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia usługi, aby zadzwonić do kierowcy.
| CVE | Błędy Androida | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-2490 | 27533373* | Wysoki | Nexus 9 | 6 marca 2016 |
| CVE-2016-2491 | 27556408* | Wysoki | Nexus 9 | 8 marca 2016 |
* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka dotycząca uprawnień w sterowniku Qualcomm Wi-Fi
Luka umożliwiająca podniesienie uprawnień w sterowniku Qualcomm Wi-Fi może umożliwić złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga narażenia usługi, która może zadzwonić do kierowcy.
| CVE | Błędy Androida | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-2470 | 27662174* | Wysoki | Nexus 7 (2013) | 13 marca 2016 r. |
| CVE-2016-2471 | 27773913* | Wysoki | Nexus 7 (2013) | 19 marca 2016 r. |
| CVE-2016-2472 | 27776888* | Wysoki | Nexus 7 (2013) | 20 marca 2016 |
| CVE-2016-2473 | 27777501* | Wysoki | Nexus 7 (2013) | 20 marca 2016 |
* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka w zabezpieczeniach uprawnień w sterowniku zarządzania energią MediaTek
Podniesienie uprawnień w sterowniku zarządzania energią MediaTek może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga złamania zabezpieczeń urządzenia i podniesienia uprawnień do roota, aby zadzwonić do sterownika.
| CVE | Błędy Androida | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-2492 | 28085410* | Wysoki | Android Jeden | 7 kwi 2016 |
* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka w zabezpieczeniach uprawnień w warstwie emulacji karty SD
Luka umożliwiająca podniesienie uprawnień w warstwie emulacji przestrzeni użytkownika karty SD może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem został oceniony jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, takich jak uprawnienia podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.
| CVE | Błędy Androida | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-2494 | 28085658 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 kwi 2016 |
Podwyższona luka w zabezpieczeniach w zakresie uprawnień w sterowniku Broadcom Wi-Fi
Luka umożliwiająca podniesienie uprawnień w sterowniku Broadcom Wi-Fi może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia usługi, aby zadzwonić do kierowcy.
| CVE | Błędy Androida | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-2493 | 26571522* | Wysoki | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Player, Pixel C | Wewnętrzne Google |
* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Luka w zabezpieczeniach zdalnej odmowy usługi w Mediaserver
Luka umożliwiająca zdalną odmowę usługi w serwerze Mediaserver może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku w celu zawieszenia lub ponownego uruchomienia urządzenia. Ten problem jest oceniany jako wysoki ze względu na możliwość zdalnej odmowy usługi.
| CVE | Błędy Androida | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-2495 | 28076789 [ 2 ] | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 kwi 2016 |
Podwyższona luka w zabezpieczeniach uprawnień w interfejsie użytkownika Framework
Luka umożliwiająca podniesienie uprawnień w oknie dialogowym uprawnień interfejsu Framework UI może umożliwić osobie atakującej uzyskanie dostępu do nieautoryzowanych plików w magazynie prywatnym. Ten problem jest oceniany jako Umiarkowany, ponieważ może zostać użyty do niewłaściwego uzyskania „ niebezpiecznych ” uprawnień.
| CVE | Błędy Androida | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-2496 | 26677796 [ 2 ] [ 3 ] | Umiarkowany | Wszystkie Nexusy | 6,0, 6,1 | 26 maja 2015 |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w sterowniku Qualcomm Wi-Fi
Ujawnienie informacji w sterowniku Qualcomm Wi-Fi może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia usługi, która może zadzwonić do sterownika.
| CVE | Błędy Androida | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-2498 | 27777162* | Umiarkowany | Nexus 7 (2013) | 20 marca 2016 |
* Łata dla tego problemu nie znajduje się w AOSP. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w Mediaserver
Luka umożliwiająca ujawnienie informacji w Mediaserver może umożliwić aplikacji dostęp do poufnych informacji. Ten problem jest oceniany jako średni, ponieważ może być używany do uzyskiwania dostępu do danych bez pozwolenia.
| CVE | Błędy Androida | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-2499 | 27855172 | Umiarkowany | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 marca 2016 |
Podatność na ujawnienie informacji w Menedżerze działań
Luka umożliwiająca ujawnienie informacji w komponencie Menedżera aktywności może umożliwić aplikacji dostęp do poufnych informacji. Ten problem ma ocenę Umiarkowany, ponieważ może być używany do uzyskiwania dostępu do danych bez pozwolenia.
| CVE | Błędy Androida | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-2500 | 19285814 | Umiarkowany | Wszystkie Nexusy | 5.0.2, 5.1.1, 6.0, 6.0.1 | Wewnętrzne Google |
Często zadawane pytania i odpowiedzi
W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?
Poziomy poprawek zabezpieczeń z 1 czerwca 2016 r. lub później rozwiązują te problemy (zapoznaj się z dokumentacją Nexusa, aby uzyskać instrukcje, jak sprawdzić poziom poprawek zabezpieczeń). Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[2016-06-01]
2. Jak określić, których urządzeń Nexus dotyczy dany problem?
W sekcji Szczegóły luki w zabezpieczeniach każda tabela zawiera kolumnę Zaktualizowane urządzenia Nexus, która obejmuje zakres urządzeń Nexus, których dotyczy problem, zaktualizowanych dla każdego problemu. Ta kolumna ma kilka opcji:
- Wszystkie urządzenia Nexus : jeśli problem dotyczy wszystkich urządzeń Nexus, w tabeli w kolumnie Zaktualizowane urządzenia Nexus pojawi się „Wszystkie Nexusy”. „Wszystkie Nexusy” obejmują następujące obsługiwane urządzenia : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player i Pixel C.
- Niektóre urządzenia Nexus : jeśli problem nie dotyczy wszystkich urządzeń Nexus, urządzenia Nexus, których dotyczy problem, są wymienione w kolumnie Zaktualizowane urządzenia Nexus .
- Brak urządzeń Nexus : jeśli problem nie dotyczy żadnych urządzeń Nexus, w kolumnie Zaktualizowane urządzenia Nexus pojawi się „Brak”.
Rewizje
- 06 czerwca 2016: Biuletyn opublikowany.
- 07 czerwca 2016:
- Zaktualizowano biuletyn, aby zawierał łącza AOSP.
- CVE-2016-2496 usunięty z biuletynu.
- 08 czerwca 2016: CVE-2016-2496 dodany z powrotem do biuletynu.