Publicado em 06 de julho de 2016 | Atualizado em 1º de abril de 2019
O Boletim de Segurança do Android contém detalhes de vulnerabilidades de segurança que afetam dispositivos Android. Juntamente com o boletim, lançamos uma atualização de segurança para dispositivos Nexus por meio de uma atualização over-the-air (OTA). As imagens do firmware do Nexus também foram divulgadas no site do Google Developers . Os níveis de patch de segurança de 5 de julho de 2016 ou posteriores abordam todos os problemas aplicáveis neste boletim. Consulte a documentação para saber como verificar o nível do patch de segurança.
Os parceiros foram notificados sobre os problemas descritos no boletim em 06 de junho de 2016 ou antes. Quando aplicável, os patches de código-fonte para esses problemas foram lançados no repositório Android Open Source Project (AOSP). Este boletim também inclui links para patches fora do AOSP.
O mais grave desses problemas é uma vulnerabilidade crítica de segurança que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como e-mail, navegação na Web e MMS ao processar arquivos de mídia. A avaliação da gravidade baseia-se no efeito que a exploração da vulnerabilidade poderia ter num dispositivo afetado, assumindo que as mitigações da plataforma e do serviço estão desativadas para fins de desenvolvimento ou se forem contornadas com sucesso.
Não tivemos relatos de exploração ativa de clientes ou abuso desses problemas recentemente relatados. Consulte a seção de mitigações de serviços do Android e do Google para obter detalhes sobre as proteções da plataforma de segurança Android e proteções de serviço, como SafetyNet, que melhoram a segurança da plataforma Android.
Incentivamos todos os clientes a aceitarem essas atualizações em seus dispositivos.
Anúncios
- Este boletim define duas sequências de nível de patch de segurança para fornecer aos parceiros Android a flexibilidade de agir mais rapidamente para corrigir um subconjunto de vulnerabilidades semelhantes em todos os dispositivos Android. Consulte Perguntas e respostas comuns para obter informações adicionais:
- 01/07/2016 : String de nível de patch de segurança parcial. Esta sequência de nível de patch de segurança indica que todos os problemas associados a 01/07/2016 foram resolvidos.
- 05/07/2016 : String de nível de patch de segurança completa. Esta sequência de nível de patch de segurança indica que todos os problemas associados a 01/07/2016 e 05/07/2016 foram resolvidos.
- Os dispositivos Nexus suportados receberão uma única atualização OTA com o nível de patch de segurança de 5 de julho de 2016.
Mitigações de serviços do Android e do Google
Este é um resumo das mitigações fornecidas pela plataforma de segurança Android e proteções de serviços como SafetyNet. Esses recursos reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.
- A exploração de muitos problemas no Android é dificultada pelas melhorias nas versões mais recentes da plataforma Android. Encorajamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
- A equipe de segurança do Android monitora ativamente abusos com Verify Apps e SafetyNet , que são projetados para alertar os usuários sobre aplicativos potencialmente prejudiciais . A verificação de aplicativos está ativada por padrão em dispositivos com Google Mobile Services e é especialmente importante para usuários que instalam aplicativos fora do Google Play. Ferramentas de root de dispositivos são proibidas no Google Play, mas o Verify Apps avisa os usuários quando eles tentam instalar um aplicativo de root detectado, não importa de onde ele venha. Além disso, o Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará remover o aplicativo detectado.
- Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam mídia automaticamente para processos como o Mediaserver.
Reconhecimentos
Gostaríamos de agradecer a estes pesquisadores por suas contribuições:
- Abhishek Arya, Oliver Chang e Martin Barbella da equipe de segurança do Google Chrome: CVE-2016-3756, CVE-2016-3741, CVE-2016-3743, CVE-2016-3742
- Adam Donenfeld et al. da Check Point Software Technologies Ltd.: CVE-2016-2503
- Adam Powell do Google: CVE-2016-3752
- Alex Chapman e Paul Stone da Context Information Security: CVE-2016-3763
- Andy Tyler ( @ticarpi ) da e2e-assure : CVE-2016-2457
- Ben Hawkes do Google Project Zero: CVE-2016-3775
- Chiachih Wu ( @chiachih_wu ), Yuan-Tsung Lo ( computernik@gmail.com ) e Xuxian Jiang da equipe C0RE : CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, CVE-2016-3774
- Christopher Tate do Google: CVE-2016-3759
- Di Shen ( @returnsme ) da KeenLab ( @keen_lab ), Tencent: CVE-2016-3762
- Gengjia Chen ( @ chengjia4574 ), pjf ( weibo.com/jfpan ) do IceSword Lab, Qihoo 360 Technology Co. , CVE-2016-3767, CVE-2016-3810, CVE-2016-3795, CVE-2016-3796
- Greg Kaiser da equipe Android do Google: CVE-2016-3758
- Guang Gong (龚广) ( @oldfresher ) da equipe Mobile Safe, Qihoo 360 Technology Co. Ltd .: CVE-2016-3764
- Hao Chen e Guang Gong da Alpha Team, Qihoo 360 Technology Co. Ltd .: CVE-2016-3792, CVE-2016-3768
- Hao Qin do Laboratório de Pesquisa de Segurança, Cheetah Mobile : CVE-2016-3754, CVE-2016-3766
- Jianqiang Zhao ( @jianqiangzhao ) e pjf ( weibo.com/jfpan ) do IceSword Lab, Qihoo 360 Technology Co. Ltd : CVE-2016-3814, CVE-2016-3802, CVE-2016-3769, CVE-2016-3807, CVE-2016-3808
- Marco Nelissen do Google: CVE-2016-3818
- Marcar marca do Google Project Zero: CVE-2016-3757
- Michał Bednarski : CVE-2016-3750
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) e Xuxian Jiang da equipe C0RE : CVE-2016-3747, CVE-2016-3746, CVE-2016-3765
- Peng Xiao, Chengming Yang, Ning You, Chao Yang e Yang Ssong do Alibaba Mobile Security Group: CVE-2016-3800, CVE-2016-3799, CVE-2016-3801, CVE-2016-3812, CVE-2016-3798
- Peter Pi ( @heisecode ) da Trend Micro: CVE-2016-3793
- Ricky Wai do Google: CVE-2016-3749
- Roeland Krak: CVE-2016-3753
- Scott Bauer ( @ScottyBauer1 ): CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502
- Vasily Vasilev: CVE-2016-2507
- Weichao Sun ( @sunblate ) da Alibaba Inc.: CVE-2016-2508, CVE-2016-3755
- Wen Niu ( @NWMonster ) do KeenLab ( @keen_lab ), Tencent: CVE-2016-3809
- Xiling Gong do Departamento de Plataforma de Segurança Tencent: CVE-2016-3745
- Yacong Gu do TCA Lab, Instituto de Software, Academia Chinesa de Ciências: CVE-2016-3761
- Yongke Wang ( @Rudykewang ) do Xuanwu LAB, Tencent: CVE-2016-2505
- Yongke Wang ( @Rudykewang ) e Wei Wei ( @Danny__Wei ) do Xuanwu LAB, Tencent: CVE-2016-2506
- Yulong Zhang e Tao (Lenx) Wei do Baidu X-Lab: CVE-2016-3744
Nível do patch de segurança 01/07/2016 – detalhes da vulnerabilidade de segurança
Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 01/07/2016. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, referências associadas, gravidade, dispositivos Nexus atualizados, versões atualizadas do AOSP (quando aplicável) e data relatada. Quando disponível, vincularemos a alteração pública que abordou o problema ao ID do bug, como a lista de alterações do AOSP. Quando múltiplas alterações estão relacionadas a um único bug, referências adicionais são vinculadas a números após o ID do bug.
Vulnerabilidade de execução remota de código no Mediaserver
Uma vulnerabilidade de execução remota de código no Mediaserver poderia permitir que um invasor usando um arquivo especialmente criado causasse corrupção de memória durante o processamento de arquivos de mídia e dados. Este problema é classificado como Crítico devido à possibilidade de execução remota de código no contexto do processo Mediaserver. O processo Mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não poderiam acessar.
A funcionalidade afetada é fornecida como uma parte central do sistema operacional e há vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões AOSP atualizadas | Data relatada |
|---|---|---|---|---|---|
| CVE-2016-2506 | A-28175045 | Crítico | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 de abril de 2016 |
| CVE-2016-2505 | A-28333006 | Crítico | Todos os Nexus | 6.0, 6.0.1 | 21 de abril de 2016 |
| CVE-2016-2507 | A-28532266 | Crítico | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 de maio de 2016 |
| CVE-2016-2508 | A-28799341 [ 2 ] | Crítico | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 de maio de 2016 |
| CVE-2016-3741 | A-28165661 [ 2 ] | Crítico | Todos os Nexus | 6.0, 6.0.1 | Interno do Google |
| CVE-2016-3742 | A-28165659 | Crítico | Todos os Nexus | 6.0, 6.0.1 | Interno do Google |
| CVE-2016-3743 | A-27907656 | Crítico | Todos os Nexus | 6.0, 6.0.1 | Interno do Google |
Vulnerabilidade de execução remota de código em OpenSSL e BoringSSL
Uma vulnerabilidade de execução remota de código no OpenSSL e no BoringSSL pode permitir que um invasor, usando um arquivo especialmente criado, cause corrupção de memória durante o processamento de arquivos e dados. Este problema é classificado como Crítico devido à possibilidade de execução remota de código no contexto de um processo afetado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões AOSP atualizadas | Data relatada |
|---|---|---|---|---|---|
| CVE-2016-2108 | A-28175332 | Crítico | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 de maio de 2016 |
Vulnerabilidade de execução remota de código em Bluetooth
Uma vulnerabilidade de execução remota de código no Bluetooth pode permitir que um invasor proximal execute código arbitrário durante o processo de emparelhamento. Este problema é classificado como Alto devido à possibilidade de execução remota de código durante a inicialização de um dispositivo Bluetooth.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões AOSP atualizadas | Data relatada |
|---|---|---|---|---|---|
| CVE-2016-3744 | A-27930580 | Alto | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 30 de março de 2016 |
Vulnerabilidade de elevação de privilégio em libpng
Uma vulnerabilidade de elevação de privilégio no libpng pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um aplicativo de sistema elevado. Este problema é classificado como Alto porque pode ser usado para obter acesso local a recursos elevados, como privilégios de permissão Signature ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões AOSP atualizadas | Data relatada |
|---|---|---|---|---|---|
| CVE-2016-3751 | A-23265085 | Alto | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 de dezembro de 2015 |
Vulnerabilidade de elevação de privilégio no Mediaserver
Uma vulnerabilidade de elevação de privilégio no Mediaserver poderia permitir que um aplicativo malicioso local executasse código arbitrário no contexto de um aplicativo de sistema elevado. Este problema é classificado como Alto porque pode ser usado para obter acesso local a recursos elevados, como privilégios de permissão Signature ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões AOSP atualizadas | Data relatada |
|---|---|---|---|---|---|
| CVE-2016-3745 | A-28173666 | Alto | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 de abril de 2016 |
| CVE-2016-3746 | A-27890802 | Alto | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 de março de 2016 |
| CVE-2016-3747 | A-27903498 | Alto | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 de março de 2016 |
Vulnerabilidade de elevação de privilégio em soquetes
Uma vulnerabilidade de elevação de privilégios em soquetes poderia permitir que um aplicativo malicioso local acessasse chamadas do sistema fora de seu nível de permissão. Este problema é classificado como Alto porque pode permitir contornar as medidas de segurança em vigor para aumentar a dificuldade dos invasores explorarem a plataforma.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões AOSP atualizadas | Data relatada |
|---|---|---|---|---|---|
| CVE-2016-3748 | A-28171804 | Alto | Todos os Nexus | 6.0, 6.0.1 | 13 de abril de 2016 |
Vulnerabilidade de elevação de privilégio em LockSettingsService
Uma vulnerabilidade de elevação de privilégio no LockSettingsService pode permitir que um aplicativo malicioso redefina a senha de bloqueio de tela sem autorização do usuário. Esse problema é classificado como Alto porque é um desvio local dos requisitos de interação do usuário para qualquer desenvolvedor ou modificação nas configurações de segurança.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões AOSP atualizadas | Data relatada |
|---|---|---|---|---|---|
| CVE-2016-3749 | A-28163930 | Alto | Todos os Nexus | 6.0, 6.0.1 | Interno do Google |
Vulnerabilidade de elevação de privilégio em APIs do Framework
Uma vulnerabilidade de elevação de privilégio nas APIs do Parcels Framework poderia permitir que um aplicativo malicioso local contornasse as proteções do sistema operacional que isolam os dados do aplicativo de outros aplicativos. Este problema é classificado como Alto porque pode ser usado para obter acesso a dados aos quais o aplicativo não tem acesso.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões AOSP atualizadas | Data relatada |
|---|---|---|---|---|---|
| CVE-2016-3750 | A-28395952 | Alto | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 de dezembro de 2015 |
Vulnerabilidade de elevação de privilégio no serviço ChooserTarget
Uma vulnerabilidade de elevação de privilégio no serviço ChooserTarget pode permitir que um aplicativo malicioso local execute código no contexto de outro aplicativo. Este problema foi classificado como Alto porque pode ser usado para acessar atividades pertencentes a outro aplicativo sem permissão.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões AOSP atualizadas | Data relatada |
|---|---|---|---|---|---|
| CVE-2016-3752 | A-28384423 | Alto | Todos os Nexus | 6.0, 6.0.1 | Interno do Google |
Vulnerabilidade de divulgação de informações no Mediaserver
Uma vulnerabilidade de divulgação de informações no Mediaserver pode permitir que um invasor remoto acesse dados protegidos, normalmente acessíveis apenas a aplicativos instalados localmente que solicitam permissão. Este problema é classificado como Alto porque pode ser usado para acessar dados sem permissão.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões AOSP atualizadas | Data relatada |
|---|---|---|---|---|---|
| CVE-2016-3753 | A-27210135 | Alto | Nenhum* | 4.4.4 | 15 de fevereiro de 2016 |
* Os dispositivos Nexus suportados que instalaram todas as atualizações disponíveis não são afetados por esta vulnerabilidade.
Vulnerabilidade de divulgação de informações no OpenSSL
Uma vulnerabilidade de divulgação de informações no OpenSSL pode permitir que um invasor remoto acesse dados protegidos, normalmente acessíveis apenas a aplicativos instalados localmente que solicitam permissão. Este problema é classificado como Alto porque pode ser usado para acessar dados sem permissão.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões AOSP atualizadas | Data relatada |
|---|---|---|---|---|---|
| CVE-2016-2107 | A-28550804 | Alto | Nenhum* | 4.4.4, 5.0.2, 5.1.1 | 13 de abril de 2016 |
* Os dispositivos Nexus suportados que instalaram todas as atualizações disponíveis não são afetados por esta vulnerabilidade.
Vulnerabilidade de negação de serviço no Mediaserver
Uma vulnerabilidade de negação de serviço no Mediaserver pode permitir que um invasor use um arquivo especialmente criado para travar ou reinicializar o dispositivo. Este problema é classificado como Alto devido à possibilidade de uma negação de serviço remota temporária.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões AOSP atualizadas | Data relatada |
|---|---|---|---|---|---|
| CVE-2016-3754 | A-28615448 [ 2 ] | Alto | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 de maio de 2016 |
| CVE-2016-3755 | A-28470138 | Alto | Todos os Nexus | 6.0, 6.0.1 | 29 de abril de 2016 |
| CVE-2016-3756 | A-28556125 | Alto | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
Vulnerabilidade de negação de serviço na libc
Uma vulnerabilidade de negação de serviço na libc pode permitir que um invasor use um arquivo especialmente criado para travar ou reinicializar o dispositivo. Este problema é classificado como Alto devido à possibilidade de negação remota de serviço.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões AOSP atualizadas | Data relatada |
|---|---|---|---|---|---|
| CVE-2016-3818 | A-28740702 [ 2 ] | Alto | Nenhum* | 4.4.4 | Interno do Google |
* Os dispositivos Nexus suportados que instalaram todas as atualizações disponíveis não são afetados por esta vulnerabilidade.
Vulnerabilidade de elevação de privilégio em lsof
Uma vulnerabilidade de elevação de privilégio no lsof poderia permitir que um aplicativo malicioso local executasse código arbitrário que poderia levar ao comprometimento permanente do dispositivo. Este problema é classificado como Moderado porque requer etapas manuais incomuns.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões AOSP atualizadas | Data relatada |
|---|---|---|---|---|---|
| CVE-2016-3757 | A-28175237 | Moderado | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 de abril de 2016 |
Vulnerabilidade de elevação de privilégio no DexClassLoader
Uma vulnerabilidade de elevação de privilégio no DexClassLoader pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um processo privilegiado. Este problema é classificado como Moderado porque requer etapas manuais incomuns.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões AOSP atualizadas | Data relatada |
|---|---|---|---|---|---|
| CVE-2016-3758 | A-27840771 | Moderado | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
Vulnerabilidade de elevação de privilégio em APIs do Framework
Uma vulnerabilidade de elevação de privilégio nas APIs do Framework poderia permitir que um aplicativo malicioso local solicitasse permissões de backup e interceptasse todos os dados de backup. Este problema é classificado como Moderado porque requer permissões específicas para ignorar as proteções do sistema operacional que isolam os dados do aplicativo de outros aplicativos.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões AOSP atualizadas | Data relatada |
|---|---|---|---|---|---|
| CVE-2016-3759 | A-28406080 | Moderado | Todos os Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
Vulnerabilidade de elevação de privilégio em Bluetooth
Uma vulnerabilidade de elevação de privilégio no componente Bluetooth poderia permitir que um invasor local adicionasse um dispositivo Bluetooth autenticado que persistisse para o usuário principal. Este problema é classificado como Moderado porque pode ser usado para obter recursos elevados sem permissão explícita do usuário.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões AOSP atualizadas | Data relatada |
|---|---|---|---|---|---|
| CVE-2016-3760 | A-27410683 [ 2 ] [ 3 ] | Moderado | Todos os Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 de fevereiro de 2016 |
Vulnerabilidade de elevação de privilégio em NFC
Uma vulnerabilidade de elevação de privilégio em NFC poderia permitir que um aplicativo malicioso local em segundo plano acessasse informações de um aplicativo em primeiro plano. Este problema é classificado como Moderado porque pode ser usado para obter recursos elevados sem permissão explícita do usuário.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões AOSP atualizadas | Data relatada |
|---|---|---|---|---|---|
| CVE-2016-3761 | A-28300969 | Moderado | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 20 de abril de 2016 |
Vulnerabilidade de elevação de privilégio em soquetes
Uma vulnerabilidade de elevação de privilégio em soquetes poderia permitir que um aplicativo malicioso local obtivesse acesso a certos tipos de soquete incomuns, possivelmente levando à execução arbitrária de código dentro do contexto do kernel. Este problema é classificado como Moderado porque pode permitir contornar as medidas de segurança em vigor para aumentar a dificuldade dos invasores explorarem a plataforma.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões AOSP atualizadas | Data relatada |
|---|---|---|---|---|---|
| CVE-2016-3762 | A-28612709 | Moderado | Todos os Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 21 de abril de 2016 |
Vulnerabilidade de divulgação de informações no Proxy Auto-Config
Uma vulnerabilidade de divulgação de informações no componente Proxy Auto-Config pode permitir que um aplicativo acesse informações confidenciais. Este problema foi classificado como Moderado porque pode ser usado para acessar dados sem permissão.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões AOSP atualizadas | Data relatada |
|---|---|---|---|---|---|
| CVE-2016-3763 | A-27593919 | Moderado | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 de março de 2016 |
Vulnerabilidade de divulgação de informações no Mediaserver
Uma vulnerabilidade de divulgação de informações no Mediaserver pode permitir que um aplicativo malicioso local acesse informações confidenciais. Este problema é classificado como Moderado porque pode ser usado para acessar dados sem permissão.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões AOSP atualizadas | Data relatada |
|---|---|---|---|---|---|
| CVE-2016-3764 | A-28377502 | Moderado | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 de abril de 2016 |
| CVE-2016-3765 | A-28168413 | Moderado | Todos os Nexus | 6.0, 6.0.1 | 8 de abril de 2016 |
Vulnerabilidade de negação de serviço no Mediaserver
Uma vulnerabilidade de negação de serviço no Mediaserver pode permitir que um invasor use um arquivo especialmente criado para travar ou reinicializar o dispositivo. Este problema é classificado como Moderado devido à possibilidade de negação remota de serviço.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões AOSP atualizadas | Data relatada |
|---|---|---|---|---|---|
| CVE-2016-3766 | A-28471206 [ 2 ] | Moderado | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 de abril de 2016 |
Nível do patch de segurança 05/07/2016 – detalhes da vulnerabilidade
Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível do patch 05/07/2016. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, referências associadas, gravidade, dispositivos Nexus atualizados, versões atualizadas do AOSP (quando aplicável) e data relatada. Quando disponível, vincularemos a alteração pública que abordou o problema ao ID do bug, como a lista de alterações do AOSP. Quando múltiplas alterações estão relacionadas a um único bug, referências adicionais são vinculadas a números após o ID do bug.
Vulnerabilidade de elevação de privilégio no driver GPU Qualcomm
Uma vulnerabilidade de elevação de privilégio no driver da GPU Qualcomm pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como Crítico devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-2503 | A-28084795* QC-CR1006067 | Crítico | Nexus 5X, Nexus 6P | 5 de abril de 2016 |
| CVE-2016-2067 | A-28305757 QC-CR988993 | Crítico | Nexus 5X, Nexus 6, Nexus 6P | 20 de abril de 2016 |
* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de elevação de privilégio no driver MediaTek Wi-Fi
Uma vulnerabilidade de elevação de privilégio no driver MediaTek Wi-Fi pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como Crítico devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3767 | A-28169363* M-ALPS02689526 | Crítico | Android Um | 6 de abril de 2016 |
* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de elevação de privilégio no componente de desempenho da Qualcomm
Uma vulnerabilidade de elevação de privilégio no componente de desempenho da Qualcomm poderia permitir que um aplicativo malicioso local executasse código arbitrário dentro do contexto do kernel. Este problema é classificado como de gravidade crítica devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3768 | A-28172137* QC-CR1010644 | Crítico | Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 9 de abril de 2016 |
* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de elevação de privilégio no driver de vídeo NVIDIA
Uma vulnerabilidade de elevação de privilégio no driver de vídeo NVIDIA pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como Crítico devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3769 | A-28376656* N-CVE20163769 | Crítico | Nexus 9 | 18 de abril de 2016 |
* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de elevação de privilégio em drivers MediaTek (específico do dispositivo)
Uma vulnerabilidade de elevação de privilégio em vários drivers MediaTek pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como Crítico devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3770 | A-28346752* M-ALPS02703102 | Crítico | Android Um | 22 de abril de 2016 |
| CVE-2016-3771 | A-29007611* M-ALPS02703102 | Crítico | Android Um | 22 de abril de 2016 |
| CVE-2016-3772 | A-29008188* M-ALPS02703102 | Crítico | Android Um | 22 de abril de 2016 |
| CVE-2016-3773 | A-29008363* M-ALPS02703102 | Crítico | Android Um | 22 de abril de 2016 |
| CVE-2016-3774 | A-29008609* M-ALPS02703102 | Crítico | Android Um | 22 de abril de 2016 |
* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de elevação de privilégio no sistema de arquivos do kernel
Uma vulnerabilidade de elevação de privilégio no sistema de arquivos do kernel poderia permitir que um aplicativo malicioso local executasse código arbitrário dentro do contexto do kernel. Este problema é classificado como Crítico devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3775 | A-28588279* | Crítico | Nexus 5X, Nexus 6, Nexus 6P e Nexus Player, Pixel C | 4 de maio de 2016 |
* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de elevação de privilégio no driver USB
Uma vulnerabilidade de elevação de privilégio no driver USB pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como de gravidade crítica devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2015-8816 | A-28712303* | Crítico | Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 4 de maio de 2016 |
* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de elevação de privilégio em componentes Qualcomm
A tabela abaixo contém vulnerabilidades de segurança que afetam os componentes da Qualcomm, incluindo bootloader, driver de câmera, driver de personagem, rede, driver de som e driver de vídeo.
O mais grave desses problemas é classificado como Crítico devido à possibilidade de execução arbitrária de código, levando à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade* | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2014-9795 | A-28820720 QC-CR681957 [ 2 ] | Crítico | Nexus 5 | 8 de agosto de 2014 |
| CVE-2014-9794 | A-28821172 QC-CR646385 | Crítico | Nexo 7 (2013) | 8 de agosto de 2014 |
| CVE-2015-8892 | A-28822807 QC-CR902998 | Crítico | Nexus 5X, Nexus 6P | 30 de dezembro de 2015 |
| CVE-2014-9781 | A-28410333 QC-CR556471 | Alto | Nexo 7 (2013) | 6 de fevereiro de 2014 |
| CVE-2014-9786 | A-28557260 QC-CR545979 | Alto | Nexus 5, Nexus 7 (2013) | 13 de março de 2014 |
| CVE-2014-9788 | A-28573112 QC-CR548872 | Alto | Nexus 5 | 13 de março de 2014 |
| CVE-2014-9779 | A-28598347 QC-CR548679 | Alto | Nexus 5 | 13 de março de 2014 |
| CVE-2014-9780 | A-28602014 QC-CR542222 | Alto | Nexus 5, Nexus 5X, Nexus 6P | 13 de março de 2014 |
| CVE-2014-9789 | A-28749392 QC-CR556425 | Alto | Nexus 5 | 13 de março de 2014 |
| CVE-2014-9793 | A-28821253 QC-CR580567 | Alto | Nexo 7 (2013) | 13 de março de 2014 |
| CVE-2014-9782 | A-28431531 QC-CR511349 | Alto | Nexus 5, Nexus 7 (2013) | 31 de março de 2014 |
| CVE-2014-9783 | A-28441831 QC-CR511382 [ 2 ] | Alto | Nexo 7 (2013) | 31 de março de 2014 |
| CVE-2014-9785 | A-28469042 QC-CR545747 | Alto | Nexo 7 (2013) | 31 de março de 2014 |
| CVE-2014-9787 | A-28571496 QC-CR545764 | Alto | Nexo 7 (2013) | 31 de março de 2014 |
| CVE-2014-9784 | A-28442449 QC-CR585147 | Alto | Nexus 5, Nexus 7 (2013) | 30 de abril de 2014 |
| CVE-2014-9777 | A-28598501 QC-CR563654 | Alto | Nexus 5, Nexus 7 (2013) | 30 de abril de 2014 |
| CVE-2014-9778 | A-28598515 QC-CR563694 | Alto | Nexus 5, Nexus 7 (2013) | 30 de abril de 2014 |
| CVE-2014-9790 | A-28769136 QC-CR545716 [ 2 ] | Alto | Nexus 5, Nexus 7 (2013) | 30 de abril de 2014 |
| CVE-2014-9792 | A-28769399 QC-CR550606 | Alto | Nexus 5 | 30 de abril de 2014 |
| CVE-2014-9797 | A-28821090 QC-CR674071 | Alto | Nexus 5 | 3 de julho de 2014 |
| CVE-2014-9791 | A-28803396 QC-CR659364 | Alto | Nexo 7 (2013) | 29 de agosto de 2014 |
| CVE-2014-9796 | A-28820722 QC-CR684756 | Alto | Nexus 5, Nexus 7 (2013) | 30 de setembro de 2014 |
| CVE-2014-9800 | A-28822150 QC-CR692478 | Alto | Nexus 5, Nexus 7 (2013) | 31 de outubro de 2014 |
| CVE-2014-9799 | A-28821731 QC-CR691916 | Alto | Nexus 5, Nexus 7 (2013) | 31 de outubro de 2014 |
| CVE-2014-9801 | A-28822060 QC-CR705078 | Alto | Nexus 5 | 28 de novembro de 2014 |
| CVE-2014-9802 | A-28821965 QC-CR705108 | Alto | Nexus 5, Nexus 7 (2013) | 31 de dezembro de 2014 |
| CVE-2015-8891 | A-28842418 QC-CR813930 | Alto | Nexus 5, Nexus 7 (2013) | 29 de maio de 2015 |
| CVE-2015-8888 | A-28822465 QC-CR813933 | Alto | Nexus 5 | 30 de junho de 2015 |
| CVE-2015-8889 | A-28822677 QC-CR804067 | Alto | Nexus 6P | 30 de junho de 2015 |
| CVE-2015-8890 | A-28822878 QC-CR823461 | Alto | Nexus 5, Nexus 7 (2013) | 19 de agosto de 2015 |
*A classificação de gravidade desses problemas é fornecida diretamente pela Qualcomm.
Vulnerabilidade de elevação de privilégio no driver USB da Qualcomm
Uma vulnerabilidade de elevação de privilégio no driver USB da Qualcomm pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como Alto porque requer primeiro o comprometimento de um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-2502 | A-27657963 QC-CR997044 | Alto | Nexus 5X, Nexus 6P | 11 de março de 2016 |
Vulnerabilidade de elevação de privilégio no driver Qualcomm Wi-Fi
Uma vulnerabilidade de elevação de privilégio no driver Qualcomm Wi-Fi pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como Alto porque requer primeiro o comprometimento de um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3792 | A-27725204 QC-CR561022 | Alto | Nexo 7 (2013) | 17 de março de 2016 |
Vulnerabilidade de elevação de privilégio no driver de câmera Qualcomm
Uma vulnerabilidade de elevação de privilégio no driver da câmera Qualcomm pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como Alto porque requer primeiro o comprometimento de um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-2501 | A-27890772*QC-CR1001092 | Alto | Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 27 de março de 2016 |
* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de elevação de privilégio no driver da câmera NVIDIA
Uma vulnerabilidade de elevação de privilégio no driver da câmera NVIDIA pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como Alto porque requer primeiro o comprometimento de um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3793 | A-28026625* N-CVE20163793 | Alto | Nexus 9 | 5 de abril de 2016 |
* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de elevação de privilégio no driver de energia MediaTek
Uma elevação de privilégio no driver de energia MediaTek pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como Alto porque requer primeiro o comprometimento de um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3795 | A-28085222* M-ALPS02677244 | Alto | Android Um | 7 de abril de 2016 |
| CVE-2016-3796 | A-29008443* M-ALPS02677244 | Alto | Android Um | 7 de abril de 2016 |
* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de elevação de privilégio no driver Qualcomm Wi-Fi
Uma vulnerabilidade de elevação de privilégio no driver Qualcomm Wi-Fi pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como Alto porque requer primeiro o comprometimento de um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3797 | A-28085680* QC-CR1001450 | Alto | Nexus 5X | 7 de abril de 2016 |
* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de elevação de privilégio no driver do sensor de hardware MediaTek
Uma vulnerabilidade de elevação de privilégio no driver do sensor de hardware MediaTek pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como Alto porque requer primeiro o comprometimento de um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3798 | A-28174490* M-ALPS02703105 | Alto | Android Um | 11 de abril de 2016 |
* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de elevação de privilégio no driver de vídeo MediaTek
Uma vulnerabilidade de elevação de privilégio no driver de vídeo MediaTek pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como Alto porque requer primeiro o comprometimento de um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3799 | A-28175025* M-ALPS02693738 | Alto | Android Um | 11 de abril de 2016 |
| CVE-2016-3800 | A-28175027* M-ALPS02693739 | Alto | Android Um | 11 de abril de 2016 |
* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de elevação de privilégio no driver GPS MediaTek
Uma vulnerabilidade de elevação de privilégio no driver GPS MediaTek pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como Alto porque requer primeiro o comprometimento de um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3801 | A-28174914* M-ALPS02688853 | Alto | Android Um | 11 de abril de 2016 |
* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de elevação de privilégio no sistema de arquivos do kernel
Uma vulnerabilidade de elevação de privilégio no sistema de arquivos do kernel poderia permitir que um aplicativo malicioso local executasse código arbitrário dentro do contexto do kernel. Este problema é classificado como Alto porque requer primeiro o comprometimento de um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3802 | A-28271368* | Alto | Nexus 9 | 19 de abril de 2016 |
| CVE-2016-3803 | A-28588434* | Alto | Nexus 5X, Nexus 6P | 4 de maio de 2016 |
* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de elevação de privilégio no driver de gerenciamento de energia MediaTek
Uma elevação de privilégio no motorista de gerenciamento de energia Mediatek pode permitir que uma aplicação maliciosa local execute o código arbitrário no contexto do kernel. Este problema é classificado como alto porque primeiro requer comprometimento de um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3804 | A-28332766* M-ALPS02694410 | Alto | Android | 20 de abril de 2016 |
| CVE-2016-3805 | A-28333002* M-ALPS02694412 | Alto | Android | 21 de abril de 2016 |
* O patch para este problema não está disponível ao público. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .
Elevação da vulnerabilidade de privilégios no driver de exibição Mediatek
Uma elevação da vulnerabilidade de privilégios no driver de exibição MEDIATEK pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Este problema é classificado como alto porque primeiro requer comprometimento de um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3806 | A-28402341* M-ALPS02715341 | Alto | Android | 26 de abril de 2016 |
* O patch para este problema não está disponível ao público. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .
Elevação da vulnerabilidade de privilégios no driver de interface periférica em série
Uma elevação da vulnerabilidade de privilégios no driver de interface periférica em série pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Este problema é classificado como alto porque primeiro requer comprometimento de um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3807 | A-28402196* | Alto | Nexus 5x, Nexus 6p | 26 de abril de 2016 |
| CVE-2016-3808 | A-28430009* | Alto | Pixel c | 26 de abril de 2016 |
* O patch para este problema não está disponível ao público. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .
Elevação da vulnerabilidade de privilégios no driver de som Qualcomm
Uma elevação da vulnerabilidade de privilégios no driver de som Qualcomm pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Este problema é classificado como alta severidade, pois primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-2068 | A-28470967 QC-CR1006609 | Alto | Nexus 5, Nexus 5x, Nexus 6, Nexus 6p | 28 de abril de 2016 |
Elevação da vulnerabilidade de privilégios no kernel
Uma elevação da vulnerabilidade de privilégios no kernel pode permitir que uma aplicação maliciosa local execute o código arbitrário no contexto do kernel. Este problema é classificado como alto porque primeiro requer comprometimento de um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2014-9803 | A-28557020 Kernel a montante | Alto | Nexus 5x, Nexus 6p | Google interno |
Vulnerabilidade de divulgação de informações no componente de rede
Uma vulnerabilidade de divulgação de informações no componente de rede pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Esse problema é classificado como alto porque pode ser usado para acessar dados sensíveis sem permissão explícita do usuário.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3809 | A-27532522* | Alto | Todo o nexo | 5 de março de 2016 |
* O patch para este problema não está disponível ao público. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .
Vulnerabilidade de divulgação de informações no driver Wi-Fi MediaTek
Uma vulnerabilidade de divulgação de informações no driver Wi-Fi MediaTek pode permitir que uma aplicação maliciosa local acesse dados fora de seus níveis de permissão. Esse problema é classificado como alto porque pode ser usado para acessar dados sensíveis sem permissão explícita do usuário.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3810 | A-28175522* M-ALPS02694389 | Alto | Android | 12 de abril de 2016 |
* O patch para este problema não está disponível ao público. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .
Elevação da vulnerabilidade de privilégios no driver de vídeo do kernel
Uma elevação da vulnerabilidade de privilégios no driver de vídeo do kernel pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Este problema é classificado como moderado, pois primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3811 | A-28447556* | Moderado | Nexus 9 | Google interno |
* O patch para este problema não está disponível ao público. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .
Vulnerabilidade de divulgação de informações no driver de codec de vídeo mediatek
Uma vulnerabilidade de divulgação de informações no driver de codec de vídeo Mediatek pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Este problema é classificado como moderado, pois primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3812 | A-28174833* M-ALPS02688832 | Moderado | Android | 11 de abril de 2016 |
* O patch para este problema não está disponível ao público. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .
Vulnerabilidade de divulgação de informações no driver da Qualcomm USB
Uma vulnerabilidade de divulgação de informações no motorista da Qualcomm USB pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Este problema é classificado como moderado, pois primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3813 | A-28172322* QC-CR1010222 | Moderado | Nexus 5, Nexus 5x, Nexus 6, Nexus 6p | 11 de abril de 2016 |
* O patch para este problema não está disponível ao público. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .
Vulnerabilidade de divulgação de informações no driver de câmera NVIDIA
Uma vulnerabilidade de divulgação de informações no driver de câmera da NVIDIA pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Este problema é classificado como moderado, pois primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3814 | A-28193342* N-CVE20163814 | Moderado | Nexus 9 | 14 de abril de 2016 |
| CVE-2016-3815 | A-28522274* N-CVE20163815 | Moderado | Nexus 9 | 1º de maio de 2016 |
* O patch para este problema não está disponível ao público. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .
Vulnerabilidade de divulgação de informações no driver de exibição de mediatek
Uma vulnerabilidade de divulgação de informações no driver de exibição Mediatek pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Este problema é classificado como moderado, pois primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-3816 | A-28402240* | Moderado | Android | 26 de abril de 2016 |
* O patch para este problema não está disponível ao público. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .
Vulnerabilidade de divulgação de informações no driver de teletipo de kernel
Uma vulnerabilidade de divulgação de informações no driver de teletipo pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Este problema é classificado como moderado, pois primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2016-0723 | A-28409131 Kernel a montante | Moderado | Nexus 5, Nexus 5x, Nexus 6, Nexus 6p, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 26 de abril de 2016 |
Negação de vulnerabilidade de serviço no Qualcomm Bootloader
Uma vulnerabilidade de negação de serviço no Qualcomm Bootloader pode permitir que um aplicativo malicioso local causasse um compromisso local de dispositivo permanente, o que pode exigir refletir o sistema operacional para reparar o dispositivo. Este problema é classificado como moderado, pois primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data relatada |
|---|---|---|---|---|
| CVE-2014-9798 | A-28821448 QC-CR681965 | Moderado | Nexus 5 | 31 de outubro de 2014 |
| CVE-2015-8893 | A-28822690 QC-CR822275 | Moderado | Nexus 5, Nexus 7 (2013) | 19 de agosto de 2015 |
Perguntas e respostas comuns
Esta seção responde a perguntas comuns que podem surgir após a leitura deste boletim.
1. Como determino se meu dispositivo está atualizado para resolver esses problemas?
Os níveis de patch de segurança de 2016-07-01 ou posteriormente abordam todos os problemas associados ao nível de string de patch de segurança 2016-7-7-01. Os níveis de patch de segurança de 2016-07-05 ou posteriormente abordam todas as questões associadas ao nível da cadeia de segurança de segurança 2016-07-07-05. Consulte o centro de ajuda para obter instruções sobre como verificar o nível do patch de segurança. Os fabricantes de dispositivos que incluem estas atualizações devem definir o nível da string do patch como: [ro.build.version.security_patch]: [2016-07-01] ou [ro.build.version.security_patch]: [2016-07-05].
2. Por que esse boletim tem duas seqüências de patch de segurança?
Este boletim possui duas seqüências de patch de segurança para fornecer aos parceiros do Android a flexibilidade de se mover mais rapidamente para corrigir um subconjunto de vulnerabilidades semelhantes em todos os dispositivos Android. Os parceiros do Android são incentivados a corrigir todos os problemas neste boletim e usar a sequência mais recente de níveis de patch de segurança.
Os dispositivos que usam o nível de patch de segurança de 5 de julho de 2016 ou mais recentes devem incluir todos os patches aplicáveis neste (e anterior) boletins de segurança.
Os dispositivos que usam o nível de patch de segurança de 1º de julho de 2016 devem incluir todos os problemas associados a esse nível de patch de segurança, bem como correções para todos os problemas relatados em boletins de segurança anteriores. Os dispositivos que usam o nível de patch de segurança de 1º de julho de 2016 também podem incluir um subconjunto de correções associadas ao nível do patch de segurança de 5 de julho de 2016.
3. Como determino quais dispositivos Nexus são afetados por cada problema?
Nas seções de vulnerabilidade de segurança 2016-07-01 e 2016-07-07 , cada tabela possui uma coluna atualizada de dispositivos Nexus que cobre a gama de dispositivos Nexus afetados atualizados para cada edição. Esta coluna tem algumas opções:
- Todos os dispositivos Nexus : se um problema afetar todos os dispositivos Nexus, a tabela terá “All Nexus” na coluna Atualizada de dispositivos Nexus . "All Nexus" encapsula os seguintes dispositivos suportados : Nexus 5, Nexus 5x, Nexus 6, Nexus 6p, Nexus 7 (2013), Nexus 9, Android One, Nexus Player e Pixel C.
- Alguns dispositivos Nexus : se um problema não afetar todos os dispositivos Nexus, os dispositivos Nexus afetados serão listados na coluna Atualizada de dispositivos Nexus .
- Não são dispositivos Nexus : se nenhum dispositivo Nexus for afetado pelo problema, a tabela terá "nenhuma" na coluna Atualizada de dispositivos Nexus .
4. Para que as entradas no mapa da coluna de referências?
As entradas na coluna Referências da tabela de detalhes da vulnerabilidade podem conter um prefixo que identifica a organização à qual pertence o valor de referência. Esses prefixos são mapeados da seguinte forma:
| Prefixo | Referência |
|---|---|
| A- | ID do bug do Android |
| CQ- | Número de referência da Qualcomm |
| M- | Número de referência MediaTek |
| N- | Número de referência NVIDIA |
Revisões
- 06 de julho de 2016: Publicado no Boletim.
- 07 de julho de 2016:
- Adicionado Links AOSP.
- Removido CVE-2016-3794 porque é uma duplicata de CVE-2016-3814
- Atribuição adicionada para CVE-2016-2501 e CVE-2016-2502
- 11 de julho de 2016: Atribuição atualizada para CVE-2016-3750
- 14 de julho de 2016: Atribuição atualizada para CVE-2016-2503
- 1 de abril de 2019: Links de patches atualizados para CVE-2016-3818