Dipublikasikan 06 Juli 2016 | Diperbarui 1 April 2019
Buletin Keamanan Android berisi detail kerentanan keamanan yang memengaruhi perangkat Android. Bersama dengan buletin ini, kami telah merilis update keamanan ke perangkat Nexus melalui update over-the-air (OTA). Image firmware Nexus juga telah dirilis ke situs Developer Google. Level patch keamanan 05 Juli 2016 atau yang lebih baru mengatasi semua masalah yang berlaku dalam buletin ini. Lihat dokumentasi untuk mempelajari cara memeriksa tingkat patch keamanan.
Partner diberi tahu tentang masalah yang dijelaskan dalam buletin pada 06 Juni 2016 atau sebelumnya. Jika berlaku, patch kode sumber untuk masalah ini telah dirilis ke repositori Android Open Source Project (AOSP). Buletin ini juga menyertakan link ke patch di luar AOSP.
Masalah yang paling parah adalah kerentanan keamanan Kritis yang dapat memungkinkan eksekusi kode jarak jauh di perangkat yang terpengaruh melalui beberapa metode seperti email, penjelajahan web, dan MMS saat memproses file media. Penilaian keparahan berdasarkan efek yang mungkin akan ditimbulkan oleh eksploitasi kerentanan pada perangkat yang terpengaruh, dengan asumsi mitigasi platform dan layanan dinonaktifkan untuk tujuan pengembangan atau jika berhasil diabaikan.
Kami tidak menerima laporan tentang eksploitasi atau penyalahgunaan pelanggan aktif terhadap masalah yang baru dilaporkan ini. Lihat bagian Mitigasi layanan Android dan Google untuk mengetahui detail tentang perlindungan platform keamanan Android dan perlindungan layanan seperti SafetyNet, yang meningkatkan keamanan platform Android.
Sebaiknya semua pelanggan menyetujui update ini ke perangkat mereka.
Pengumuman
- Buletin ini menentukan dua string level patch keamanan untuk memberi partner
Android fleksibilitas agar dapat bergerak lebih cepat untuk memperbaiki sebagian
kerentanan yang serupa di semua perangkat Android. Lihat
Pertanyaan umum dan jawaban
untuk mengetahui informasi selengkapnya:
- 2016-07-01: String level patch keamanan parsial. String tingkat patch keamanan ini menunjukkan bahwa semua masalah yang terkait dengan 01-07-2016 telah ditangani.
- 2016-07-05: Selesaikan string level patch keamanan. String tingkat patch keamanan ini menunjukkan bahwa semua masalah yang terkait dengan 01-07-2016 dan 05-07-2016 telah ditangani.
- Perangkat Nexus yang didukung akan menerima satu update OTA dengan level patch keamanan 05 Juli 2016.
Mitigasi layanan Android dan Google
Ini adalah ringkasan mitigasi yang disediakan oleh platform keamanan Android dan perlindungan layanan seperti SafetyNet. Kemampuan ini mengurangi kemungkinan kerentanan keamanan dapat berhasil dieksploitasi di Android.
- Eksploitasi untuk banyak masalah di Android menjadi lebih sulit karena peningkatan pada platform Android versi yang lebih baru. Sebaiknya semua pengguna mengupdate ke versi Android terbaru jika memungkinkan.
- Tim Keamanan Android secara aktif memantau penyalahgunaan dengan Verify Apps dan SafetyNet, yang dirancang untuk memperingatkan pengguna tentang Aplikasi yang Berpotensi Membahayakan. Verifikasi Aplikasi diaktifkan secara default di perangkat dengan Layanan Seluler Google, dan sangat penting bagi pengguna yang menginstal aplikasi dari luar Google Play. Alat rooting perangkat dilarang di Google Play, tetapi Verifikasi Aplikasi memperingatkan pengguna saat mereka mencoba menginstal aplikasi rooting yang terdeteksi—terlepas dari mana aplikasi tersebut berasal. Selain itu, Verify Apps mencoba mengidentifikasi dan memblokir penginstalan aplikasi berbahaya yang diketahui mengeksploitasi kerentanan eskalasi hak istimewa. Jika aplikasi tersebut telah diinstal, Verifikasi Aplikasi akan memberi tahu pengguna dan mencoba menghapus aplikasi yang terdeteksi.
- Sesuai kebutuhan, aplikasi Google Hangouts dan Messenger tidak otomatis meneruskan media ke proses seperti Mediaserver.
Ucapan Terima Kasih
Kami ingin mengucapkan terima kasih kepada para peneliti berikut atas kontribusi mereka:
- Abhishek Arya, Oliver Chang, dan Martin Barbella dari Tim Keamanan Google Chrome: CVE-2016-3756, CVE-2016-3741, CVE-2016-3743, CVE-2016-3742
- Adam Donenfeld et al. dari Check Point Software Technologies Ltd.: CVE-2016-2503
- Adam Powell dari Google: CVE-2016-3752
- Alex Chapman dan Paul Stone dari Context Information Security: CVE-2016-3763
- Andy Tyler (@ticarpi) dari e2e-assure: CVE-2016-2457
- Ben Hawkes dari Google Project Zero: CVE-2016-3775
- Chiachih Wu (@chiachih_wu), Yuan-Tsung Lo (computernik@gmail.com), dan Xuxian Jiang dari Tim C0RE: CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, CVE-2016-3774
- Christopher Tate dari Google: CVE-2016-3759
- Di Shen (@returnsme) dari KeenLab (@keen_lab), Tencent: CVE-2016-3762
- Gengjia Chen (@chengjia4574), pjf (weibo.com/jfpan) dari IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-3806, CVE-2016-3816, CVE-2016-3805, CVE-2016-3804, CVE-2016-3767, CVE-2016-3810, CVE-2016-3795, CVE-2016-3796
- Greg Kaiser dari Tim Android Google: CVE-2016-3758
- Guang Gong (龚广) (@oldfresher) dari Tim Mobile Safe, Qihoo 360 Technology Co. Ltd.: CVE-2016-3764
- Hao Chen dan Guang Gong dari Tim Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2016-3792, CVE-2016-3768
- Hao Qin dari Security Research Lab, Cheetah Mobile: CVE-2016-3754, CVE-2016-3766
- Jianqiang Zhao (@jianqiangzhao) dan pjf (weibo.com/jfpan) dari IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-3814, CVE-2016-3802, CVE-2016-3769, CVE-2016-3807, CVE-2016-3808
- Marco Nelissen dari Google: CVE-2016-3818
- Merek Mark of Google Project Zero: CVE-2016-3757
- Michał Bednarski: CVE-2016-3750
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu), dan Xuxian Jiang dari Tim C0RE: CVE-2016-3747, CVE-2016-3746, CVE-2016-3765
- Peng Xiao, Chengming Yang, Ning You, Chao Yang, dan Yang Ssong dari Alibaba Mobile Security Group: CVE-2016-3800, CVE-2016-3799, CVE-2016-3801, CVE-2016-3812, CVE-2016-3798
- Peter Pi (@heisecode) dari Trend Micro: CVE-2016-3793
- Ricky Wai dari Google: CVE-2016-3749
- Roeland Krak: CVE-2016-3753
- Scott Bauer (@ScottyBauer1): CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502
- Vasily Vasilev: CVE-2016-2507
- Weichao Sun (@sunblate) dari Alibaba Inc.: CVE-2016-2508, CVE-2016-3755
- Wen Niu (@NWMonster) dari KeenLab (@keen_lab), Tencent: CVE-2016-3809
- Xiling Gong dari Tencent Security Platform Department: CVE-2016-3745
- Yacong Gu dari TCA Lab, Institute of Software, Chinese Academy of Sciences: CVE-2016-3761
- Yongke Wang (@Rudykewang) dari Xuanwu LAB, Tencent: CVE-2016-2505
- Yongke Wang (@Rudykewang) dan Wei Wei (@Danny__Wei) dari Xuanwu LAB, Tencent: CVE-2016-2506
- Yulong Zhang dan Tao (Lenx) Wei dari Baidu X-Lab: CVE-2016-3744
Tingkat patch keamanan 01-07-2016—Detail kerentanan keamanan
Di bagian di bawah, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku untuk tingkat patch 01-07-2016. Terdapat deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, referensi terkait, tingkat keparahan, perangkat Nexus yang diupdate, versi AOSP yang diupdate (jika berlaku), dan tanggal dilaporkan. Jika tersedia, kami akan menautkan perubahan publik yang mengatasi masalah tersebut ke ID bug, seperti daftar perubahan AOSP. Jika beberapa perubahan terkait dengan satu bug, referensi tambahan akan ditautkan ke angka yang mengikuti ID bug.
Kerentanan eksekusi kode jarak jauh di Mediaserver
Kerentanan eksekusi kode jarak jauh di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan kerusakan memori selama pemrosesan file media dan data. Masalah ini diberi rating sebagai Kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks proses Mediaserver. Proses Mediaserver memiliki akses ke streaming audio dan video, serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.
Fungsi yang terpengaruh disediakan sebagai bagian inti dari sistem operasi dan ada beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media browser.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2506 | A-28175045 | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 April 2016 |
| CVE-2016-2505 | A-28333006 | Kritis | Semua Nexus | 6.0, 6.0.1 | 21 April 2016 |
| CVE-2016-2507 | A-28532266 | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 Mei 2016 |
| CVE-2016-2508 | A-28799341 [2] | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 Mei 2016 |
| CVE-2016-3741 | A-28165661 [2] | Kritis | Semua Nexus | 6.0, 6.0.1 | Internal Google |
| CVE-2016-3742 | A-28165659 | Kritis | Semua Nexus | 6.0, 6.0.1 | Internal Google |
| CVE-2016-3743 | A-27907656 | Kritis | Semua Nexus | 6.0, 6.0.1 | Internal Google |
Kerentanan eksekusi kode jarak jauh di OpenSSL & BoringSSL
Kerentanan eksekusi kode jarak jauh di OpenSSL dan BoringSSL dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan kerusakan memori selama pemrosesan file dan data. Masalah ini diberi rating Kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks proses yang terpengaruh.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2108 | A-28175332 | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 Mei 2016 |
Kerentanan eksekusi kode jarak jauh di Bluetooth
Kerentanan eksekusi kode jarak jauh di Bluetooth dapat memungkinkan penyerang dekat mengeksekusi kode arbitrer selama proses penyambungan. Masalah ini dinilai sebagai Tinggi karena kemungkinan eksekusi kode jarak jauh selama inisialisasi perangkat Bluetooth.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3744 | A-27930580 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 30 Maret 2016 |
Kerentanan elevasi hak istimewa di libpng
Kerentanan elevasi hak istimewa di libpng dapat memungkinkan aplikasi berbahaya lokal menjalankan kode arbitrer dalam konteks aplikasi sistem yang ditinggikan. Masalah ini diberi rating Tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang ditingkatkan, seperti hak istimewa izin Signature atau SignatureOrSystem, yang tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3751 | A-23265085 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 Desember 2015 |
Kerentanan elevasi hak istimewa di Mediaserver
Kerentanan peningkatan hak istimewa di Mediaserver dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks aplikasi sistem yang ditingkatkan. Masalah ini diberi rating Tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang ditingkatkan, seperti hak istimewa izin Signature atau SignatureOrSystem, yang tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3745 | A-28173666 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 April 2016 |
| CVE-2016-3746 | A-27890802 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 Maret 2016 |
| CVE-2016-3747 | A-27903498 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 Mar 2016 |
Kerentanan elevasi hak istimewa di soket
Kerentanan elevasi hak istimewa di soket dapat memungkinkan aplikasi malicious lokal mengakses panggilan sistem di luar tingkat izinnya. Masalah ini diberi rating Tinggi karena dapat memungkinkan pengabaian langkah keamanan yang diterapkan untuk mempersulit penyerang dalam mengeksploitasi platform.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3748 | A-28171804 | Tinggi | Semua Nexus | 6.0, 6.0.1 | 13 April 2016 |
Kerentanan elevasi hak istimewa di LockSettingsService
Kerentanan eskalasi hak istimewa di LockSettingsService dapat memungkinkan aplikasi berbahaya mereset sandi kunci layar tanpa otorisasi dari pengguna. Masalah ini diberi rating Tinggi karena merupakan pengabaian lokal terhadap persyaratan interaksi pengguna untuk modifikasi setelan keamanan atau developer.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3749 | A-28163930 | Tinggi | Semua Nexus | 6.0, 6.0.1 | Internal Google |
Kerentanan elevasi hak istimewa di Framework API
Kerentanan elevasi hak istimewa di Parcels Framework API dapat memungkinkan aplikasi berbahaya lokal mengabaikan perlindungan sistem operasi yang mengisolasi data aplikasi dari aplikasi lain. Masalah ini diberi rating Tinggi karena dapat digunakan untuk mendapatkan akses ke data yang tidak dimiliki aplikasi.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3750 | A-28395952 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 Des 2015 |
Kerentanan elevasi hak istimewa di layanan ChooserTarget
Kerentanan eskalasi hak istimewa di layanan ChooserTarget dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode dalam konteks aplikasi lain. Masalah ini diberi rating Tinggi karena dapat digunakan untuk mengakses Aktivitas milik aplikasi lain tanpa izin.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3752 | A-28384423 | Tinggi | Semua Nexus | 6.0, 6.0.1 | Internal Google |
Kerentanan pengungkapan informasi di Mediaserver
Kerentanan pengungkapan informasi di Mediaserver dapat memungkinkan penyerang jarak jauh mengakses data yang dilindungi yang biasanya hanya dapat diakses oleh aplikasi yang diinstal secara lokal dan meminta izin. Masalah ini diberi rating Tinggi karena dapat digunakan untuk mengakses data tanpa izin.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3753 | A-27210135 | Tinggi | Tidak ada* | 4.4.4 | 15 Februari 2016 |
* Perangkat Nexus yang didukung dan telah menginstal semua update yang tersedia tidak dipengaruhi oleh kerentanan ini.
Kerentanan pengungkapan informasi di OpenSSL
Kerentanan pengungkapan informasi di OpenSSL dapat memungkinkan penyerang jarak jauh mengakses data yang dilindungi yang biasanya hanya dapat diakses oleh aplikasi yang diinstal secara lokal yang meminta izin. Masalah ini diberi rating Tinggi karena dapat digunakan untuk mengakses data tanpa izin.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2107 | A-28550804 | Tinggi | Tidak ada* | 4.4.4, 5.0.2, 5.1.1 | 13 April 2016 |
* Perangkat Nexus yang didukung dan telah menginstal semua update yang tersedia tidak dipengaruhi oleh kerentanan ini.
Kerentanan denial of service di Mediaserver
Kerentanan denial of service di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan perangkat hang atau mulai ulang. Masalah ini diberi rating Tinggi karena kemungkinan denial of service jarak jauh yang bersifat sementara.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3754 | A-28615448 [2] | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 Mei 2016 |
| CVE-2016-3755 | A-28470138 | Tinggi | Semua Nexus | 6.0, 6.0.1 | 29 April 2016 |
| CVE-2016-3756 | A-28556125 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Internal Google |
Kerentanan denial of service di libc
Kerentanan denial of service di libc dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan perangkat hang atau memulai ulang. Masalah ini diberi rating Tinggi karena kemungkinan serangan denial of service jarak jauh.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3818 | A-28740702 [2] | Tinggi | Tidak ada* | 4.4.4 | Internal Google |
* Perangkat Nexus yang didukung dan telah menginstal semua update yang tersedia tidak dipengaruhi oleh kerentanan ini.
Kerentanan elevasi hak istimewa di lsof
Kerentanan elevasi hak istimewa di lsof dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer yang dapat menyebabkan pelanggaran perangkat permanen. Masalah ini diberi rating Sedang karena memerlukan langkah manual yang tidak biasa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3757 | A-28175237 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 April 2016 |
Kerentanan elevasi hak istimewa di DexClassLoader
Kerentanan elevasi hak istimewa di DexClassLoader dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks proses dengan hak istimewa. Masalah ini diberi rating Sedang karena memerlukan langkah manual yang tidak biasa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3758 | A-27840771 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Internal Google |
Kerentanan elevasi hak istimewa di Framework API
Kerentanan elevasi hak istimewa di Framework API dapat memungkinkan aplikasi berbahaya lokal meminta izin pencadangan dan menyadap semua data pencadangan. Masalah ini diberi rating Sedang karena memerlukan izin tertentu untuk mengabaikan perlindungan sistem operasi yang mengisolasi data aplikasi dari aplikasi lain.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3759 | A-28406080 | Sedang | Semua Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | Internal Google |
Kerentanan elevasi hak istimewa di Bluetooth
Kerentanan elevasi hak istimewa di komponen Bluetooth dapat memungkinkan penyerang lokal menambahkan perangkat Bluetooth yang diautentikasi dan tetap ada untuk pengguna utama. Masalah ini diberi rating Sedang karena dapat digunakan untuk mendapatkan kemampuan yang ditingkatkan tanpa izin pengguna yang eksplisit.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3760 | A-27410683 [2] [3] | Sedang | Semua Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 Februari 2016 |
Kerentanan elevasi hak istimewa di NFC
Kerentanan elevasi hak istimewa di NFC dapat memungkinkan aplikasi latar belakang berbahaya lokal mengakses informasi dari aplikasi latar depan. Masalah ini diberi rating Sedang karena dapat digunakan untuk mendapatkan kemampuan yang ditingkatkan tanpa izin pengguna yang eksplisit.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3761 | A-28300969 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 20 April 2016 |
Kerentanan elevasi hak istimewa di soket
Kerentanan elevasi hak istimewa di soket dapat memungkinkan aplikasi jahat lokal mendapatkan akses ke jenis soket tertentu yang tidak umum, yang mungkin menyebabkan eksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Sedang karena dapat memungkinkan pengabaian langkah keamanan yang diberlakukan untuk mempersulit penyerang mengeksploitasi platform.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3762 | A-28612709 | Sedang | Semua Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 21 April 2016 |
Kerentanan pengungkapan informasi di Konfigurasi Otomatis Proxy
Kerentanan pengungkapan informasi di komponen Proxy Auto-Config dapat memungkinkan aplikasi mengakses informasi sensitif. Masalah ini diberi rating Sedang karena dapat digunakan untuk mengakses data tanpa izin.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3763 | A-27593919 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 Mar 2016 |
Kerentanan pengungkapan informasi di Mediaserver
Kerentanan pengungkapan informasi di Mediaserver dapat memungkinkan aplikasi berbahaya lokal mengakses informasi sensitif. Masalah ini diberi rating sebagai Sedang karena dapat digunakan untuk mengakses data tanpa izin.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3764 | A-28377502 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 April 2016 |
| CVE-2016-3765 | A-28168413 | Sedang | Semua Nexus | 6.0, 6.0.1 | 8 April 2016 |
Kerentanan denial of service di Mediaserver
Kerentanan denial of service di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan perangkat hang atau mulai ulang. Masalah ini diberi rating sebagai Sedang karena kemungkinan denial of service jarak jauh.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3766 | A-28471206 [2] | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 April 2016 |
Tingkat patch keamanan 05-07-2016—Detail kerentanan
Di bagian di bawah, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku untuk tingkat patch 05-07-2016. Terdapat deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, referensi terkait, tingkat keparahan, perangkat Nexus yang diupdate, versi AOSP yang diupdate (jika berlaku), dan tanggal dilaporkan. Jika tersedia, kami akan menautkan perubahan publik yang mengatasi masalah tersebut ke ID bug, seperti daftar perubahan AOSP. Jika beberapa perubahan terkait dengan satu bug, referensi tambahan akan ditautkan ke angka yang mengikuti ID bug.
Kerentanan elevasi hak istimewa di driver GPU Qualcomm
Kerentanan peningkatan hak istimewa di driver GPU Qualcomm dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Kritis karena kemungkinan adanya compromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2503 | A-28084795* QC-CR1006067 | Kritis | Nexus 5X, Nexus 6P | 5 April 2016 |
| CVE-2016-2067 | A-28305757 QC-CR988993 | Kritis | Nexus 5X, Nexus 6, Nexus 6P | 20 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan elevasi hak istimewa di driver Wi-Fi MediaTek
Kerentanan peningkatan hak istimewa di driver Wi-Fi MediaTek dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3767 | A-28169363*
M-ALPS02689526 |
Kritis | Android One | 6 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan elevasi hak istimewa dalam komponen performa Qualcomm
Kerentanan elevasi hak istimewa di komponen performa Qualcomm dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Keparahan kritis karena kemungkinan adanya kompromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3768 | A-28172137* QC-CR1010644 | Kritis | Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 9 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan elevasi hak istimewa di driver video NVIDIA
Kerentanan peningkatan hak istimewa di driver video NVIDIA dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Kritis karena kemungkinan adanya compromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3769 | A-28376656* N-CVE20163769 |
Kritis | Nexus 9 | 18 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan elevasi hak istimewa di driver MediaTek (Khusus perangkat)
Kerentanan peningkatan hak istimewa di beberapa driver MediaTek dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3770 | A-28346752* M-ALPS02703102 |
Kritis | Android One | 22 April 2016 |
| CVE-2016-3771 | A-29007611* M-ALPS02703102 |
Kritis | Android One | 22 April 2016 |
| CVE-2016-3772 | A-29008188* M-ALPS02703102 |
Kritis | Android One | 22 April 2016 |
| CVE-2016-3773 | A-29008363* M-ALPS02703102 |
Kritis | Android One | 22 April 2016 |
| CVE-2016-3774 | A-29008609* M-ALPS02703102 |
Kritis | Android One | 22 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan elevasi hak istimewa dalam sistem file kernel
Kerentanan elevasi hak istimewa dalam sistem file kernel dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Kritis karena kemungkinan adanya compromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3775 | A-28588279* | Kritis | Nexus 5X, Nexus 6, Nexus 6P, dan Nexus Player, Pixel C | 4 Mei 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan elevasi hak istimewa di driver USB
Kerentanan peningkatan hak istimewa di driver USB dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Keparahan kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2015-8816 | A-28712303* | Kritis | Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 4 Mei 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan elevasi hak istimewa dalam komponen Qualcomm
Tabel di bawah berisi kerentanan keamanan yang memengaruhi komponen Qualcomm termasuk bootloader, driver kamera, driver karakter, jaringan, driver suara, dan driver video.
Masalah yang paling parah dari masalah ini diberi rating Kritis karena kemungkinan eksekusi kode arbitrer yang menyebabkan kemungkinan kompromi perangkat lokal permanen, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Tingkat keparahan* | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2014-9795 | A-28820720 QC-CR681957 [2] |
Kritis | Nexus 5 | 8 Agustus 2014 |
| CVE-2014-9794 | A-28821172 QC-CR646385 |
Kritis | Nexus 7 (2013) | 8 Agustus 2014 |
| CVE-2015-8892 | A-28822807 QC-CR902998 |
Kritis | Nexus 5X, Nexus 6P | 30 Des 2015 |
| CVE-2014-9781 | A-28410333 QC-CR556471 |
Tinggi | Nexus 7 (2013) | 6 Februari 2014 |
| CVE-2014-9786 | A-28557260 QC-CR545979 |
Tinggi | Nexus 5, Nexus 7 (2013) | 13 Maret 2014 |
| CVE-2014-9788 | A-28573112 QC-CR548872 |
Tinggi | Nexus 5 | 13 Maret 2014 |
| CVE-2014-9779 | A-28598347 QC-CR548679 |
Tinggi | Nexus 5 | 13 Maret 2014 |
| CVE-2014-9780 | A-28602014 QC-CR542222 |
Tinggi | Nexus 5, Nexus 5X, Nexus 6P | 13 Maret 2014 |
| CVE-2014-9789 | A-28749392 QC-CR556425 |
Tinggi | Nexus 5 | 13 Maret 2014 |
| CVE-2014-9793 | A-28821253 QC-CR580567 |
Tinggi | Nexus 7 (2013) | 13 Maret 2014 |
| CVE-2014-9782 | A-28431531 QC-CR511349 |
Tinggi | Nexus 5, Nexus 7 (2013) | 31 Maret 2014 |
| CVE-2014-9783 | A-28441831 QC-CR511382 [2] |
Tinggi | Nexus 7 (2013) | 31 Maret 2014 |
| CVE-2014-9785 | A-28469042 QC-CR545747 |
Tinggi | Nexus 7 (2013) | 31 Maret 2014 |
| CVE-2014-9787 | A-28571496 QC-CR545764 |
Tinggi | Nexus 7 (2013) | 31 Maret 2014 |
| CVE-2014-9784 | A-28442449 QC-CR585147 |
Tinggi | Nexus 5, Nexus 7 (2013) | 30 April 2014 |
| CVE-2014-9777 | A-28598501 QC-CR563654 |
Tinggi | Nexus 5, Nexus 7 (2013) | 30 April 2014 |
| CVE-2014-9778 | A-28598515 QC-CR563694 |
Tinggi | Nexus 5, Nexus 7 (2013) | 30 April 2014 |
| CVE-2014-9790 | A-28769136 QC-CR545716 [2] |
Tinggi | Nexus 5, Nexus 7 (2013) | 30 April 2014 |
| CVE-2014-9792 | A-28769399 QC-CR550606 |
Tinggi | Nexus 5 | 30 April 2014 |
| CVE-2014-9797 | A-28821090 QC-CR674071 |
Tinggi | Nexus 5 | 3 Juli 2014 |
| CVE-2014-9791 | A-28803396 QC-CR659364 |
Tinggi | Nexus 7 (2013) | 29 Agustus 2014 |
| CVE-2014-9796 | A-28820722 QC-CR684756 |
Tinggi | Nexus 5, Nexus 7 (2013) | 30 September 2014 |
| CVE-2014-9800 | A-28822150 QC-CR692478 |
Tinggi | Nexus 5, Nexus 7 (2013) | 31 Oktober 2014 |
| CVE-2014-9799 | A-28821731 QC-CR691916 |
Tinggi | Nexus 5, Nexus 7 (2013) | 31 Oktober 2014 |
| CVE-2014-9801 | A-28822060 QC-CR705078 |
Tinggi | Nexus 5 | 28 November 2014 |
| CVE-2014-9802 | A-28821965 QC-CR705108 |
Tinggi | Nexus 5, Nexus 7 (2013) | 31 Des 2014 |
| CVE-2015-8891 | A-28842418 QC-CR813930 |
Tinggi | Nexus 5, Nexus 7 (2013) | 29 Mei 2015 |
| CVE-2015-8888 | A-28822465 QC-CR813933 |
Tinggi | Nexus 5 | 30 Juni 2015 |
| CVE-2015-8889 | A-28822677 QC-CR804067 |
Tinggi | Nexus 6P | 30 Juni 2015 |
| CVE-2015-8890 | A-28822878 QC-CR823461 |
Tinggi | Nexus 5, Nexus 7 (2013) | 19 Agustus 2015 |
* Peringkat keparahan untuk masalah ini diberikan langsung oleh Qualcomm.
Kerentanan elevasi hak istimewa di driver USB Qualcomm
Kerentanan elevasi hak istimewa di driver USB Qualcomm dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2502 | A-27657963 QC-CR997044 | Tinggi | Nexus 5X, Nexus 6P | 11 Maret 2016 |
Kerentanan elevasi hak istimewa di driver Wi-Fi Qualcomm
Kerentanan peningkatan hak istimewa di driver Wi-Fi Qualcomm dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3792 | A-27725204 QC-CR561022 | Tinggi | Nexus 7 (2013) | 17 Maret 2016 |
Kerentanan elevasi hak istimewa di driver kamera Qualcomm
Kerentanan elevasi hak istimewa di driver kamera Qualcomm dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2501 | A-27890772* QC-CR1001092 | Tinggi | Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 27 Maret 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan elevasi hak istimewa di driver kamera NVIDIA
Kerentanan peningkatan hak istimewa di driver kamera NVIDIA dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3793 | A-28026625* N-CVE20163793 |
Tinggi | Nexus 9 | 5 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan elevasi hak istimewa di driver daya MediaTek
Elevasi hak istimewa di driver daya MediaTek dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3795 | A-28085222* M-ALPS02677244 |
Tinggi | Android One | 7 April 2016 |
| CVE-2016-3796 | A-29008443* M-ALPS02677244 |
Tinggi | Android One | 7 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan elevasi hak istimewa di driver Wi-Fi Qualcomm
Kerentanan peningkatan hak istimewa di driver Wi-Fi Qualcomm dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3797 | A-28085680* QC-CR1001450 | Tinggi | Nexus 5X | 7 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan elevasi hak istimewa di driver sensor hardware MediaTek
Kerentanan elevasi hak istimewa di driver sensor hardware MediaTek dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3798 | A-28174490* M-ALPS02703105 |
Tinggi | Android One | 11 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan elevasi hak istimewa di driver video MediaTek
Kerentanan elevasi hak istimewa di driver video MediaTek dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3799 | A-28175025* M-ALPS02693738 |
Tinggi | Android One | 11 April 2016 |
| CVE-2016-3800 | A-28175027* M-ALPS02693739 |
Tinggi | Android One | 11 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan elevasi hak istimewa di driver GPS MediaTek
Kerentanan peningkatan hak istimewa di driver GPS MediaTek dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3801 | A-28174914* M-ALPS02688853 |
Tinggi | Android One | 11 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan elevasi hak istimewa dalam sistem file kernel
Kerentanan elevasi hak istimewa dalam sistem file kernel dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3802 | A-28271368* | Tinggi | Nexus 9 | 19 April 2016 |
| CVE-2016-3803 | A-28588434* | Tinggi | Nexus 5X, Nexus 6P | 4 Mei 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan elevasi hak istimewa di driver pengelolaan daya MediaTek
Elevasi hak istimewa di driver pengelolaan daya MediaTek dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3804 | A-28332766* M-ALPS02694410 |
Tinggi | Android One | 20 April 2016 |
| CVE-2016-3805 | A-28333002* M-ALPS02694412 |
Tinggi | Android One | 21 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan elevasi hak istimewa di driver tampilan MediaTek
Kerentanan peningkatan hak istimewa di driver layar MediaTek dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3806 | A-28402341* M-ALPS02715341 |
Tinggi | Android One | 26 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan elevasi hak istimewa di driver serial peripheral interface
Kerentanan peningkatan hak istimewa dalam driver antarmuka periferal serial dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3807 | A-28402196* | Tinggi | Nexus 5X, Nexus 6P | 26 April 2016 |
| CVE-2016-3808 | A-28430009* | Tinggi | Pixel C | 26 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan elevasi hak istimewa di driver suara Qualcomm
Kerentanan peningkatan hak istimewa di driver suara Qualcomm dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Keparahan tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2068 | A-28470967 QC-CR1006609 | Tinggi | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 28 April 2016 |
Kerentanan elevasi hak istimewa di kernel
Kerentanan eskalasi hak istimewa di kernel dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2014-9803 | A-28557020 Kernel upstream |
Tinggi | Nexus 5X, Nexus 6P | Internal Google |
Kerentanan pengungkapan informasi dalam komponen jaringan
Kerentanan pengungkapan informasi dalam komponen jaringan dapat memungkinkan aplikasi berbahaya lokal mengakses data di luar tingkat izinnya. Masalah ini diberi rating Tinggi karena dapat digunakan untuk mengakses data sensitif tanpa izin pengguna yang eksplisit.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3809 | A-27532522* | Tinggi | Semua Nexus | 5 Mar 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan pengungkapan informasi di driver Wi-Fi MediaTek
Kerentanan pengungkapan informasi di driver Wi-Fi MediaTek dapat memungkinkan aplikasi berbahaya lokal mengakses data di luar tingkat izinnya. Masalah ini diberi rating Tinggi karena dapat digunakan untuk mengakses data sensitif tanpa izin pengguna yang eksplisit.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3810 | A-28175522* M-ALPS02694389 |
Tinggi | Android One | 12 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan elevasi hak istimewa di driver video kernel
Kerentanan peningkatan hak istimewa di driver video kernel dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Sedang karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3811 | A-28447556* | Sedang | Nexus 9 | Internal Google |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan pengungkapan informasi di driver codec video MediaTek
Kerentanan pengungkapan informasi di driver codec video MediaTek dapat memungkinkan aplikasi berbahaya lokal mengakses data di luar tingkat izinnya. Masalah ini diberi rating Sedang karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3812 | A-28174833* M-ALPS02688832 |
Sedang | Android One | 11 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan pengungkapan informasi di driver USB Qualcomm
Kerentanan pengungkapan informasi di driver USB Qualcomm dapat memungkinkan aplikasi berbahaya lokal mengakses data di luar tingkat izinnya. Masalah ini diberi rating Sedang karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3813 | A-28172322* QC-CR1010222 | Sedang | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 11 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan pengungkapan informasi di driver kamera NVIDIA
Kerentanan pengungkapan informasi di driver kamera NVIDIA dapat memungkinkan aplikasi berbahaya lokal mengakses data di luar tingkat izinnya. Masalah ini diberi rating Sedang karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3814 | A-28193342* N-CVE20163814 |
Sedang | Nexus 9 | 14 April 2016 |
| CVE-2016-3815 | A-28522274* N-CVE20163815 |
Sedang | Nexus 9 | 1 Mei 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan pengungkapan informasi di driver layar MediaTek
Kerentanan pengungkapan informasi di driver layar MediaTek dapat memungkinkan aplikasi berbahaya lokal mengakses data di luar tingkat izinnya. Masalah ini diberi rating Sedang karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3816 | A-28402240* | Sedang | Android One | 26 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Google Developer.
Kerentanan pengungkapan informasi di driver teletype kernel
Kerentanan pengungkapan informasi di driver teletype dapat memungkinkan aplikasi berbahaya lokal mengakses data di luar tingkat izinnya. Masalah ini diberi rating Sedang karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-0723 | A-28409131 Kernel upstream |
Sedang | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 26 April 2016 |
Kerentanan denial of service di bootloader Qualcomm
Kerentanan denial of service di bootloader Qualcomm dapat memungkinkan aplikasi berbahaya lokal menyebabkan kompromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat. Masalah ini dinilai sebagai Sedang karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2014-9798 | A-28821448 QC-CR681965 | Sedang | Nexus 5 | 31 Oktober 2014 |
| CVE-2015-8893 | A-28822690 QC-CR822275 | Sedang | Nexus 5, Nexus 7 (2013) | 19 Agustus 2015 |
Pertanyaan dan jawaban umum
Bagian ini menjawab pertanyaan umum yang mungkin muncul setelah membaca berita ini.
1. Bagaimana cara menentukan apakah perangkat saya telah diupdate untuk menyelesaikan masalah ini?
Tingkat Patch Keamanan 01-07-2016 atau yang lebih baru mengatasi semua masalah yang terkait dengan tingkat string patch keamanan 01-07-2016. Level Patch Keamanan 05-07-2016 atau yang lebih baru mengatasi semua masalah yang terkait dengan level string patch keamanan 05-07-2016. Lihat pusat bantuan untuk mendapatkan petunjuk cara memeriksa tingkat patch keamanan. Produsen perangkat yang menyertakan update ini harus menetapkan tingkat string patch ke: [ro.build.version.security_patch]:[2016-07-01] atau [ro.build.version.security_patch]:[2016-07-05].
2. Mengapa buletin ini memiliki dua string level patch keamanan?
Buletin ini memiliki dua string tingkat patch keamanan untuk memberikan fleksibilitas kepada partner Android agar dapat bergerak lebih cepat untuk memperbaiki sebagian vulnerability yang serupa di semua perangkat Android. Partner Android dianjurkan untuk memperbaiki semua masalah dalam buletin ini dan menggunakan string level patch keamanan terbaru.
Perangkat yang menggunakan tingkat patch keamanan 5 Juli 2016 atau yang lebih baru harus menyertakan semua patch yang berlaku dalam buletin keamanan ini (dan sebelumnya).
Perangkat yang menggunakan level patch keamanan 1 Juli 2016 harus menyertakan semua masalah yang terkait dengan level patch keamanan tersebut, serta perbaikan untuk semua masalah yang dilaporkan dalam buletin keamanan sebelumnya. Perangkat yang menggunakan level patch keamanan 1 Juli 2016 mungkin juga menyertakan subset perbaikan yang terkait dengan level patch keamanan 5 Juli 2016.
3. Bagaimana cara menentukan perangkat Nexus mana yang terpengaruh oleh setiap masalah?
Di bagian detail kerentanan keamanan 01-07-2016 dan 05-07-2016, setiap tabel memiliki kolom Perangkat Nexus yang diupdate yang mencakup rentang perangkat Nexus yang terpengaruh dan diupdate untuk setiap masalah. Kolom ini memiliki beberapa opsi:
- Semua perangkat Nexus: Jika masalah memengaruhi semua perangkat Nexus, tabel akan menampilkan “Semua Nexus” di kolom Perangkat Nexus yang diupdate. “Semua Nexus” mengenkapsulasi perangkat yang didukung berikut: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, dan Pixel C.
- Beberapa perangkat Nexus: Jika masalah tidak memengaruhi semua perangkat Nexus, perangkat Nexus yang terpengaruh akan tercantum di kolom Perangkat Nexus yang diupdate.
- Tidak ada perangkat Nexus: Jika tidak ada perangkat Nexus yang terpengaruh oleh masalah, tabel akan menampilkan “Tidak ada” di kolom Perangkat Nexus yang diupdate.
4. Apa yang dipetakan oleh entri di kolom referensi?
Entri di kolom Referensi pada tabel detail kerentanan dapat berisi awalan yang mengidentifikasi organisasi tempat nilai referensi berada. Awalan ini dipetakan sebagai berikut:
| Awalan | Referensi |
|---|---|
| A- | ID bug Android |
| QC- | Nomor referensi Qualcomm |
| M- | Nomor referensi MediaTek |
| N- | Nomor referensi NVIDIA |
Revisi
- 06 Juli 2016: Buletin dipublikasikan.
- 07 Juli 2016:
- Menambahkan link AOSP.
- Menghapus CVE-2016-3794 karena merupakan duplikat dari CVE-2016-3814
- Menambahkan atribusi untuk CVE-2016-2501 dan CVE-2016-2502
- 11 Juli 2016: Memperbarui atribusi untuk CVE-2016-3750
- 14 Juli 2016: Memperbarui atribusi untuk CVE-2016-2503
- 1 April 2019: Memperbarui link patch untuk CVE-2016-3818