Diterbitkan 06 Juli 2016 | Diperbarui 1 April 2019
Buletin Keamanan Android berisi rincian kerentanan keamanan yang memengaruhi perangkat Android. Bersamaan dengan buletin ini, kami telah merilis pembaruan keamanan untuk perangkat Nexus melalui pembaruan over-the-air (OTA). Gambar firmware Nexus juga telah dirilis ke situs Pengembang Google . Tingkat patch keamanan tanggal 5 Juli 2016 atau lebih baru mengatasi semua masalah yang berlaku dalam buletin ini. Lihat dokumentasi untuk mempelajari cara memeriksa tingkat patch keamanan.
Mitra telah diberitahu tentang masalah yang dijelaskan dalam buletin pada tanggal 06 Juni 2016 atau lebih awal. Jika memungkinkan, patch kode sumber untuk masalah ini telah dirilis ke repositori Android Open Source Project (AOSP). Buletin ini juga menyertakan link ke patch di luar AOSP.
Masalah yang paling parah adalah kerentanan keamanan Kritis yang memungkinkan eksekusi kode jarak jauh pada perangkat yang terpengaruh melalui berbagai metode seperti email, penjelajahan web, dan MMS saat memproses file media. Penilaian tingkat keparahan didasarkan pada dampak eksploitasi kerentanan pada perangkat yang terkena dampak, dengan asumsi platform dan mitigasi layanan dinonaktifkan untuk tujuan pengembangan atau jika berhasil dilewati.
Kami belum menerima laporan mengenai eksploitasi pelanggan aktif atau penyalahgunaan masalah yang baru dilaporkan ini. Lihat bagian mitigasi layanan Android dan Google untuk detail tentang perlindungan platform keamanan Android dan perlindungan layanan seperti SafetyNet, yang meningkatkan keamanan platform Android.
Kami mendorong semua pelanggan untuk menerima pembaruan ini pada perangkat mereka.
Pengumuman
- Buletin ini mendefinisikan dua string tingkat patch keamanan untuk memberikan fleksibilitas kepada mitra Android untuk bergerak lebih cepat guna memperbaiki subset kerentanan yang serupa di semua perangkat Android. Lihat Pertanyaan dan jawaban umum untuk informasi tambahan:
- 01-07-2016 : String tingkat patch keamanan parsial. String tingkat patch keamanan ini menunjukkan bahwa semua masalah yang terkait dengan 01-07-2016 telah diatasi.
- 05-07-2016 : String tingkat patch keamanan lengkap. String tingkat patch keamanan ini menunjukkan bahwa semua masalah yang terkait dengan 01-07-2016 dan 05-07-2016 telah diatasi.
- Perangkat Nexus yang didukung akan menerima pembaruan OTA tunggal dengan tingkat patch keamanan 05 Juli 2016.
Mitigasi layanan Android dan Google
Ini adalah ringkasan mitigasi yang diberikan oleh platform keamanan Android dan perlindungan layanan seperti SafetyNet. Kemampuan ini mengurangi kemungkinan kerentanan keamanan berhasil dieksploitasi di Android.
- Eksploitasi banyak masalah di Android menjadi lebih sulit dengan penyempurnaan pada platform Android versi terbaru. Kami mendorong semua pengguna untuk memperbarui ke versi Android terbaru jika memungkinkan.
- Tim Keamanan Android secara aktif memantau penyalahgunaan dengan Verify Apps dan SafetyNet , yang dirancang untuk memperingatkan pengguna tentang Aplikasi yang Berpotensi Membahayakan . Verifikasi Aplikasi diaktifkan secara default pada perangkat dengan Layanan Seluler Google , dan ini sangat penting bagi pengguna yang memasang aplikasi dari luar Google Play. Alat rooting perangkat dilarang di Google Play, namun Verify Apps memperingatkan pengguna saat mereka mencoba memasang aplikasi rooting yang terdeteksi—tidak peduli dari mana asalnya. Selain itu, Verifikasi Aplikasi berupaya mengidentifikasi dan memblokir pemasangan aplikasi berbahaya yang diketahui mengeksploitasi kerentanan peningkatan hak istimewa. Jika aplikasi tersebut telah diinstal, Verifikasi Aplikasi akan memberi tahu pengguna dan berupaya menghapus aplikasi yang terdeteksi.
- Jika perlu, aplikasi Google Hangouts dan Messenger tidak secara otomatis meneruskan media ke proses seperti Server Media.
Ucapan Terima Kasih
Kami ingin mengucapkan terima kasih kepada para peneliti atas kontribusi mereka:
- Abhishek Arya, Oliver Chang, dan Martin Barbella dari Tim Keamanan Google Chrome: CVE-2016-3756, CVE-2016-3741, CVE-2016-3743, CVE-2016-3742
- Adam Donenfeld dkk. dari Check Point Software Technologies Ltd.: CVE-2016-2503
- Adam Powell dari Google: CVE-2016-3752
- Alex Chapman dan Paul Stone dari Keamanan Informasi Konteks: CVE-2016-3763
- Andy Tyler ( @ticarpi ) dari e2e-assure : CVE-2016-2457
- Ben Hawkes dari Google Project Zero: CVE-2016-3775
- Chiachih Wu ( @chiachih_wu ), Yuan-Tsung Lo ( computernik@gmail.com ), dan Xuxian Jiang dari Tim C0RE : CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, CVE-2016-3774
- Christopher Tate dari Google: CVE-2016-3759
- Di Shen ( @returnsme ) dari KeenLab ( @keen_lab ), Tencent: CVE-2016-3762
- Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) dari IceSword Lab, Qihoo 360 Technology Co. Ltd. : CVE-2016-3806, CVE-2016-3816, CVE-2016-3805, CVE-2016-3804 , CVE-2016-3767, CVE-2016-3810, CVE-2016-3795, CVE-2016-3796
- Greg Kaiser dari Tim Google Android: CVE-2016-3758
- Guang Gong (龚广) ( @oldfresher ) dari Tim Aman Seluler, Qihoo 360 Technology Co. Ltd .: CVE-2016-3764
- Hao Chen dan Guang Gong dari Tim Alpha, Qihoo 360 Technology Co. Ltd .: CVE-2016-3792, CVE-2016-3768
- Hao Qin dari Lab Penelitian Keamanan, Cheetah Mobile : CVE-2016-3754, CVE-2016-3766
- Jianqiang Zhao ( @jianqiangzhao ) dan pjf ( weibo.com/jfpan ) dari IceSword Lab, Qihoo 360 Technology Co. Ltd : CVE-2016-3814, CVE-2016-3802, CVE-2016-3769, CVE-2016-3807, CVE-2016-3808
- Marco Nelissen dari Google: CVE-2016-3818
- Tandai Merek Google Project Zero: CVE-2016-3757
- Michał Bednarski : CVE-2016-3750
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), dan Xuxian Jiang dari Tim C0RE : CVE-2016-3747, CVE-2016-3746, CVE-2016-3765
- Peng Xiao, Chengming Yang, Ning You, Chao Yang, dan Yang Ssong dari Grup Keamanan Seluler Alibaba: CVE-2016-3800, CVE-2016-3799, CVE-2016-3801, CVE-2016-3812, CVE-2016-3798
- Peter Pi ( @heisecode ) dari Trend Micro: CVE-2016-3793
- Ricky Wai dari Google: CVE-2016-3749
- Roeland Krak: CVE-2016-3753
- Scott Bauer ( @ScottyBauer1 ): CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502
- Vasily Vasilev: CVE-2016-2507
- Weichao Sun ( @sunblate ) dari Alibaba Inc.: CVE-2016-2508, CVE-2016-3755
- Wen Niu ( @NWMonster ) dari KeenLab ( @keen_lab ), Tencent: CVE-2016-3809
- Xiling Gong dari Departemen Platform Keamanan Tencent: CVE-2016-3745
- Yacong Gu dari TCA Lab, Institut Perangkat Lunak, Akademi Ilmu Pengetahuan Tiongkok: CVE-2016-3761
- Yongke Wang ( @Rudykewang ) dari Xuanwu LAB, Tencent: CVE-2016-2505
- Yongke Wang ( @Rudykewang ) dan Wei Wei ( @Danny__Wei ) dari Xuanwu LAB, Tencent: CVE-2016-2506
- Yulong Zhang dan Tao (Lenx) Wei dari Baidu X-Lab: CVE-2016-3744
Tingkat patch keamanan 01-07-2016—Rincian kerentanan keamanan
Pada bagian di bawah ini, kami memberikan rincian untuk masing-masing kerentanan keamanan yang berlaku pada tingkat patch 01-07-2016. Terdapat deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, referensi terkait, tingkat keparahan, perangkat Nexus yang diperbarui, versi AOSP yang diperbarui (jika berlaku), dan tanggal pelaporan. Jika tersedia, kami akan menautkan perubahan publik yang mengatasi masalah tersebut ke ID bug, seperti daftar perubahan AOSP. Ketika beberapa perubahan berhubungan dengan satu bug, referensi tambahan ditautkan ke nomor setelah ID bug.
Kerentanan eksekusi kode jarak jauh di Mediaserver
Kerentanan eksekusi kode jarak jauh di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan kerusakan memori selama pemrosesan file media dan data. Masalah ini dinilai Kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks proses Server Media. Proses Mediaserver memiliki akses ke streaming audio dan video, serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.
Fungsionalitas yang terpengaruh disediakan sebagai bagian inti dari sistem operasi dan terdapat beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media di browser.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2506 | A-28175045 | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 April 2016 |
| CVE-2016-2505 | A-28333006 | Kritis | Semua Nexus | 6.0, 6.0.1 | 21 April 2016 |
| CVE-2016-2507 | A-28532266 | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 Mei 2016 |
| CVE-2016-2508 | A-28799341 [ 2 ] | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 Mei 2016 |
| CVE-2016-3741 | A-28165661 [ 2 ] | Kritis | Semua Nexus | 6.0, 6.0.1 | internal Google |
| CVE-2016-3742 | A-28165659 | Kritis | Semua Nexus | 6.0, 6.0.1 | internal Google |
| CVE-2016-3743 | A-27907656 | Kritis | Semua Nexus | 6.0, 6.0.1 | internal Google |
Kerentanan eksekusi kode jarak jauh di OpenSSL & BoringSSL
Kerentanan eksekusi kode jarak jauh di OpenSSL dan BoringSSL dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan kerusakan memori selama pemrosesan file dan data. Masalah ini dinilai Kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks proses yang terpengaruh.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2108 | A-28175332 | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 Mei 2016 |
Kerentanan eksekusi kode jarak jauh di Bluetooth
Kerentanan eksekusi kode jarak jauh di Bluetooth dapat memungkinkan penyerang proksimal mengeksekusi kode arbitrer selama proses pemasangan. Masalah ini dinilai Tinggi karena kemungkinan eksekusi kode jarak jauh selama inisialisasi perangkat Bluetooth.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3744 | A-27930580 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 30 Maret 2016 |
Peningkatan kerentanan hak istimewa di libpng
Peningkatan kerentanan hak istimewa di libpng dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks aplikasi sistem yang ditingkatkan. Masalah ini dinilai Tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang lebih tinggi, seperti hak istimewa izin Signature atau SignatureOrSystem , yang tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3751 | A-23265085 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 Desember 2015 |
Peningkatan kerentanan hak istimewa di Mediaserver
Peningkatan kerentanan hak istimewa di Mediaserver dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks aplikasi sistem yang ditingkatkan. Masalah ini dinilai Tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang lebih tinggi, seperti hak istimewa izin Signature atau SignatureOrSystem , yang tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3745 | A-28173666 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 April 2016 |
| CVE-2016-3746 | A-27890802 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 Maret 2016 |
| CVE-2016-3747 | A-27903498 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 Maret 2016 |
Peningkatan kerentanan hak istimewa di soket
Peningkatan kerentanan hak istimewa di soket dapat memungkinkan aplikasi jahat lokal mengakses panggilan sistem di luar tingkat izinnya. Masalah ini dinilai Tinggi karena dapat memungkinkan pengabaian langkah-langkah keamanan untuk meningkatkan kesulitan penyerang dalam mengeksploitasi platform.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3748 | A-28171804 | Tinggi | Semua Nexus | 6.0, 6.0.1 | 13 April 2016 |
Peningkatan kerentanan hak istimewa di LockSettingsService
Peningkatan kerentanan hak istimewa di LockSettingsService dapat memungkinkan aplikasi jahat menyetel ulang kata sandi kunci layar tanpa izin dari pengguna. Masalah ini dinilai Tinggi karena merupakan pengabaian lokal terhadap persyaratan interaksi pengguna untuk modifikasi pengaturan keamanan atau pengembang.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3749 | A-28163930 | Tinggi | Semua Nexus | 6.0, 6.0.1 | internal Google |
Peningkatan kerentanan hak istimewa di Framework API
Peningkatan kerentanan hak istimewa di Parcels Framework API dapat memungkinkan aplikasi berbahaya lokal melewati perlindungan sistem operasi yang mengisolasi data aplikasi dari aplikasi lain. Masalah ini dinilai Tinggi karena dapat digunakan untuk mendapatkan akses ke data yang tidak dapat diakses oleh aplikasi.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3750 | A-28395952 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 Desember 2015 |
Peningkatan kerentanan hak istimewa di layanan ChooserTarget
Peningkatan kerentanan hak istimewa di layanan ChooserTarget dapat memungkinkan aplikasi jahat lokal mengeksekusi kode dalam konteks aplikasi lain. Masalah ini dinilai Tinggi karena dapat digunakan untuk mengakses Aktivitas milik aplikasi lain tanpa izin.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3752 | A-28384423 | Tinggi | Semua Nexus | 6.0, 6.0.1 | internal Google |
Kerentanan pengungkapan informasi di Mediaserver
Kerentanan pengungkapan informasi di Mediaserver dapat memungkinkan penyerang jarak jauh mengakses data yang dilindungi yang biasanya hanya dapat diakses oleh aplikasi yang diinstal secara lokal yang meminta izin. Masalah ini dinilai Tinggi karena dapat digunakan untuk mengakses data tanpa izin.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3753 | A-27210135 | Tinggi | Tidak ada* | 4.4.4 | 15 Februari 2016 |
* Perangkat Nexus yang didukung dan telah menginstal semua pembaruan yang tersedia tidak terpengaruh oleh kerentanan ini.
Kerentanan pengungkapan informasi di OpenSSL
Kerentanan pengungkapan informasi di OpenSSL dapat memungkinkan penyerang jarak jauh mengakses data yang dilindungi yang biasanya hanya dapat diakses oleh aplikasi yang diinstal secara lokal dan meminta izin. Masalah ini dinilai Tinggi karena dapat digunakan untuk mengakses data tanpa izin.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2107 | A-28550804 | Tinggi | Tidak ada* | 4.4.4, 5.0.2, 5.1.1 | 13 April 2016 |
* Perangkat Nexus yang didukung dan telah menginstal semua pembaruan yang tersedia tidak terpengaruh oleh kerentanan ini.
Kerentanan penolakan layanan di Mediaserver
Kerentanan penolakan layanan di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan perangkat hang atau reboot. Masalah ini dinilai Tinggi karena kemungkinan penolakan layanan jarak jauh untuk sementara.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3754 | A-28615448 [ 2 ] | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 Mei 2016 |
| CVE-2016-3755 | A-28470138 | Tinggi | Semua Nexus | 6.0, 6.0.1 | 29 April 2016 |
| CVE-2016-3756 | A-28556125 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | internal Google |
Kerentanan penolakan layanan di libc
Kerentanan penolakan layanan di libc dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan perangkat hang atau reboot. Masalah ini dinilai Tinggi karena kemungkinan penolakan layanan jarak jauh.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3818 | A-28740702 [ 2 ] | Tinggi | Tidak ada* | 4.4.4 | internal Google |
* Perangkat Nexus yang didukung dan telah menginstal semua pembaruan yang tersedia tidak terpengaruh oleh kerentanan ini.
Peningkatan kerentanan hak istimewa di lsof
Peningkatan kerentanan hak istimewa di lsof dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer yang dapat menyebabkan gangguan perangkat secara permanen. Masalah ini dinilai Sedang karena memerlukan langkah manual yang jarang terjadi.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3757 | A-28175237 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 April 2016 |
Peningkatan kerentanan hak istimewa di DexClassLoader
Peningkatan kerentanan hak istimewa di DexClassLoader dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks proses yang memiliki hak istimewa. Masalah ini dinilai Sedang karena memerlukan langkah manual yang jarang terjadi.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3758 | A-27840771 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | internal Google |
Peningkatan kerentanan hak istimewa di Framework API
Peningkatan kerentanan hak istimewa di Framework API dapat memungkinkan aplikasi jahat lokal meminta izin pencadangan dan mencegat semua data cadangan. Masalah ini dinilai Sedang karena memerlukan izin khusus untuk melewati perlindungan sistem operasi yang mengisolasi data aplikasi dari aplikasi lain.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3759 | A-28406080 | Sedang | Semua Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | internal Google |
Peningkatan kerentanan hak istimewa di Bluetooth
Peningkatan kerentanan hak istimewa dalam komponen Bluetooth dapat memungkinkan penyerang lokal menambahkan perangkat Bluetooth terautentikasi yang tetap ada untuk pengguna utama. Masalah ini dinilai sebagai Sedang karena dapat digunakan untuk mendapatkan kemampuan yang lebih tinggi tanpa izin pengguna yang jelas.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3760 | A-27410683 [ 2 ] [ 3 ] | Sedang | Semua Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 Februari 2016 |
Peningkatan kerentanan hak istimewa di NFC
Peningkatan kerentanan hak istimewa di NFC dapat memungkinkan aplikasi latar belakang lokal yang berbahaya mengakses informasi dari aplikasi latar depan. Masalah ini dinilai sebagai Sedang karena dapat digunakan untuk mendapatkan kemampuan yang lebih tinggi tanpa izin pengguna yang jelas.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3761 | A-28300969 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 20 April 2016 |
Peningkatan kerentanan hak istimewa di soket
Peningkatan kerentanan hak istimewa dalam soket dapat memungkinkan aplikasi jahat lokal mendapatkan akses ke jenis soket tertentu yang tidak biasa yang mungkin menyebabkan eksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Sedang karena dapat memungkinkan pengabaian langkah-langkah keamanan untuk meningkatkan kesulitan penyerang dalam mengeksploitasi platform.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3762 | A-28612709 | Sedang | Semua Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 21 April 2016 |
Kerentanan pengungkapan informasi di Proxy Auto-Config
Kerentanan pengungkapan informasi dalam komponen Proxy Auto-Config dapat memungkinkan aplikasi mengakses informasi sensitif. Masalah ini dinilai Sedang karena dapat digunakan untuk mengakses data tanpa izin.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3763 | A-27593919 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 Maret 2016 |
Kerentanan pengungkapan informasi di Mediaserver
Kerentanan pengungkapan informasi di Mediaserver dapat memungkinkan aplikasi jahat lokal mengakses informasi sensitif. Masalah ini dinilai Sedang karena dapat digunakan untuk mengakses data tanpa izin.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3764 | A-28377502 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 April 2016 |
| CVE-2016-3765 | A-28168413 | Sedang | Semua Nexus | 6.0, 6.0.1 | 8 April 2016 |
Kerentanan penolakan layanan di Mediaserver
Kerentanan penolakan layanan di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan perangkat hang atau reboot. Masalah ini dinilai Sedang karena kemungkinan penolakan layanan jarak jauh.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3766 | A-28471206 [ 2 ] | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 April 2016 |
Tingkat patch keamanan 2016-07-05—Rincian kerentanan
Pada bagian di bawah ini, kami memberikan rincian untuk masing-masing kerentanan keamanan yang berlaku pada tingkat patch 05-07-2016. Terdapat deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, referensi terkait, tingkat keparahan, perangkat Nexus yang diperbarui, versi AOSP yang diperbarui (jika berlaku), dan tanggal pelaporan. Jika tersedia, kami akan menautkan perubahan publik yang mengatasi masalah tersebut ke ID bug, seperti daftar perubahan AOSP. Ketika beberapa perubahan berhubungan dengan satu bug, referensi tambahan ditautkan ke nomor setelah ID bug.
Peningkatan kerentanan hak istimewa pada driver GPU Qualcomm
Peningkatan kerentanan hak istimewa pada driver GPU Qualcomm dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Kritis karena kemungkinan kerusakan perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2503 | A-28084795* QC-CR1006067 | Kritis | Perhubungan 5X, Perhubungan 6P | 5 April 2016 |
| CVE-2016-2067 | A-28305757 QC-CR988993 | Kritis | Perhubungan 5X, Perhubungan 6, Perhubungan 6P | 20 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa pada driver Wi-Fi MediaTek
Peningkatan kerentanan hak istimewa pada driver Wi-Fi MediaTek dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Kritis karena kemungkinan kerusakan perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3767 | A-28169363* M-ALPS02689526 | Kritis | Android Satu | 6 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa dalam komponen kinerja Qualcomm
Peningkatan kerentanan hak istimewa dalam komponen kinerja Qualcomm dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan kerusakan perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3768 | A-28172137* QC-CR1010644 | Kritis | Perhubungan 5, Perhubungan 6, Perhubungan 5X, Perhubungan 6P, Perhubungan 7 (2013) | 9 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa pada driver video NVIDIA
Peningkatan kerentanan hak istimewa pada driver video NVIDIA dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Kritis karena kemungkinan kerusakan perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3769 | A-28376656* N-CVE20163769 | Kritis | Perhubungan 9 | 18 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa pada driver MediaTek (Khusus perangkat)
Peningkatan kerentanan hak istimewa di beberapa driver MediaTek dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Kritis karena kemungkinan kerusakan perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3770 | A-28346752* M-ALPS02703102 | Kritis | Android Satu | 22 April 2016 |
| CVE-2016-3771 | A-29007611* M-ALPS02703102 | Kritis | Android Satu | 22 April 2016 |
| CVE-2016-3772 | A-29008188* M-ALPS02703102 | Kritis | Android Satu | 22 April 2016 |
| CVE-2016-3773 | A-29008363* M-ALPS02703102 | Kritis | Android Satu | 22 April 2016 |
| CVE-2016-3774 | A-29008609* M-ALPS02703102 | Kritis | Android Satu | 22 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa dalam sistem file kernel
Peningkatan kerentanan hak istimewa dalam sistem file kernel dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Kritis karena kemungkinan kerusakan perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3775 | A-28588279* | Kritis | Nexus 5X, Nexus 6, Nexus 6P dan Nexus Player, Pixel C | 4 Mei 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa pada driver USB
Peningkatan kerentanan hak istimewa pada driver USB dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan kerusakan perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2015-8816 | A-28712303* | Kritis | Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 4 Mei 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa pada komponen Qualcomm
Tabel di bawah berisi kerentanan keamanan yang memengaruhi komponen Qualcomm termasuk bootloader, driver kamera, driver karakter, jaringan, driver suara, dan driver video.
Masalah yang paling parah dinilai sebagai Kritis karena kemungkinan eksekusi kode arbitrer yang mengarah pada kemungkinan penyusupan perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Kerasnya* | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2014-9795 | A-28820720 QC-CR681957 [ 2 ] | Kritis | Nexus 5 | 8 Agustus 2014 |
| CVE-2014-9794 | A-28821172 QC-CR646385 | Kritis | Perhubungan 7 (2013) | 8 Agustus 2014 |
| CVE-2015-8892 | A-28822807 QC-CR902998 | Kritis | Perhubungan 5X, Perhubungan 6P | 30 Desember 2015 |
| CVE-2014-9781 | A-28410333 QC-CR556471 | Tinggi | Perhubungan 7 (2013) | 6 Februari 2014 |
| CVE-2014-9786 | A-28557260 QC-CR545979 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 13 Maret 2014 |
| CVE-2014-9788 | A-28573112 QC-CR548872 | Tinggi | Nexus 5 | 13 Maret 2014 |
| CVE-2014-9779 | A-28598347 QC-CR548679 | Tinggi | Nexus 5 | 13 Maret 2014 |
| CVE-2014-9780 | A-28602014 QC-CR542222 | Tinggi | Perhubungan 5, Perhubungan 5X, Perhubungan 6P | 13 Maret 2014 |
| CVE-2014-9789 | A-28749392 QC-CR556425 | Tinggi | Nexus 5 | 13 Maret 2014 |
| CVE-2014-9793 | A-28821253 QC-CR580567 | Tinggi | Perhubungan 7 (2013) | 13 Maret 2014 |
| CVE-2014-9782 | A-28431531 QC-CR511349 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 31 Maret 2014 |
| CVE-2014-9783 | A-28441831 QC-CR511382 [ 2 ] | Tinggi | Perhubungan 7 (2013) | 31 Maret 2014 |
| CVE-2014-9785 | A-28469042 QC-CR545747 | Tinggi | Perhubungan 7 (2013) | 31 Maret 2014 |
| CVE-2014-9787 | A-28571496 QC-CR545764 | Tinggi | Perhubungan 7 (2013) | 31 Maret 2014 |
| CVE-2014-9784 | A-28442449 QC-CR585147 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 30 April 2014 |
| CVE-2014-9777 | A-28598501 QC-CR563654 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 30 April 2014 |
| CVE-2014-9778 | A-28598515 QC-CR563694 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 30 April 2014 |
| CVE-2014-9790 | A-28769136 QC-CR545716 [ 2 ] | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 30 April 2014 |
| CVE-2014-9792 | A-28769399 QC-CR550606 | Tinggi | Nexus 5 | 30 April 2014 |
| CVE-2014-9797 | A-28821090 QC-CR674071 | Tinggi | Nexus 5 | 3 Juli 2014 |
| CVE-2014-9791 | A-28803396 QC-CR659364 | Tinggi | Perhubungan 7 (2013) | 29 Agustus 2014 |
| CVE-2014-9796 | A-28820722 QC-CR684756 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 30 September 2014 |
| CVE-2014-9800 | A-28822150 QC-CR692478 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 31 Oktober 2014 |
| CVE-2014-9799 | A-28821731 QC-CR691916 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 31 Oktober 2014 |
| CVE-2014-9801 | A-28822060 QC-CR705078 | Tinggi | Nexus 5 | 28 November 2014 |
| CVE-2014-9802 | A-28821965 QC-CR705108 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 31 Desember 2014 |
| CVE-2015-8891 | A-28842418 QC-CR813930 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 29 Mei 2015 |
| CVE-2015-8888 | A-28822465 QC-CR813933 | Tinggi | Nexus 5 | 30 Juni 2015 |
| CVE-2015-8889 | A-28822677 QC-CR804067 | Tinggi | Perhubungan 6P | 30 Juni 2015 |
| CVE-2015-8890 | A-28822878 QC-CR823461 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 19 Agustus 2015 |
* Peringkat tingkat keparahan masalah ini diberikan langsung oleh Qualcomm.
Peningkatan kerentanan hak istimewa pada driver USB Qualcomm
Peningkatan kerentanan hak istimewa pada driver USB Qualcomm dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2502 | A-27657963 QC-CR997044 | Tinggi | Perhubungan 5X, Perhubungan 6P | 11 Maret 2016 |
Peningkatan kerentanan hak istimewa pada driver Wi-Fi Qualcomm
Peningkatan kerentanan hak istimewa pada driver Wi-Fi Qualcomm dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3792 | A-27725204 QC-CR561022 | Tinggi | Perhubungan 7 (2013) | 17 Maret 2016 |
Peningkatan kerentanan hak istimewa pada driver kamera Qualcomm
Peningkatan kerentanan hak istimewa pada driver kamera Qualcomm dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2501 | A-27890772* QC-CR1001092 | Tinggi | Perhubungan 5X, Perhubungan 6, Perhubungan 6P, Perhubungan 7 (2013) | 27 Maret 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa pada driver kamera NVIDIA
Peningkatan kerentanan hak istimewa pada driver kamera NVIDIA dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3793 | A-28026625* N-CVE20163793 | Tinggi | Perhubungan 9 | 5 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa pada driver daya MediaTek
Peningkatan hak istimewa pada driver daya MediaTek dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3795 | A-28085222* M-ALPS02677244 | Tinggi | Android Satu | 7 April 2016 |
| CVE-2016-3796 | A-29008443* M-ALPS02677244 | Tinggi | Android Satu | 7 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa pada driver Wi-Fi Qualcomm
Peningkatan kerentanan hak istimewa pada driver Wi-Fi Qualcomm dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3797 | A-28085680*QC-CR1001450 | Tinggi | Perhubungan 5X | 7 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa pada driver sensor perangkat keras MediaTek
Peningkatan kerentanan hak istimewa pada driver sensor perangkat keras MediaTek dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3798 | A-28174490* M-ALPS02703105 | Tinggi | Android Satu | 11 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa pada driver video MediaTek
Peningkatan kerentanan hak istimewa pada driver video MediaTek dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3799 | A-28175025* M-ALPS02693738 | Tinggi | Android Satu | 11 April 2016 |
| CVE-2016-3800 | A-28175027* M-ALPS02693739 | Tinggi | Android Satu | 11 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa pada driver GPS MediaTek
Peningkatan kerentanan hak istimewa pada driver GPS MediaTek dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3801 | A-28174914* M-ALPS02688853 | Tinggi | Android Satu | 11 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa dalam sistem file kernel
Peningkatan kerentanan hak istimewa dalam sistem file kernel dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3802 | A-28271368* | Tinggi | Perhubungan 9 | 19 April 2016 |
| CVE-2016-3803 | A-28588434* | Tinggi | Perhubungan 5X, Perhubungan 6P | 4 Mei 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa pada driver manajemen daya MediaTek
Peningkatan hak istimewa pada driver manajemen daya MediaTek dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3804 | A-28332766* M-ALPS02694410 | Tinggi | Android Satu | 20 April 2016 |
| CVE-2016-3805 | A-28333002* M-ALPS02694412 | Tinggi | Android Satu | 21 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa pada driver tampilan MediaTek
Peningkatan kerentanan hak istimewa pada driver tampilan MediaTek dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3806 | A-28402341* M-ALPS02715341 | Tinggi | Android Satu | 26 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa pada driver antarmuka periferal serial
Peningkatan kerentanan hak istimewa pada driver antarmuka periferal serial dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3807 | A-28402196* | Tinggi | Perhubungan 5X, Perhubungan 6P | 26 April 2016 |
| CVE-2016-3808 | A-28430009* | Tinggi | Piksel C | 26 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa pada driver suara Qualcomm
Peningkatan kerentanan hak istimewa pada driver suara Qualcomm dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai tingkat keparahan tinggi karena memerlukan kompromi pada proses yang memiliki hak istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2068 | A-28470967 QC-CR1006609 | Tinggi | Perhubungan 5, Perhubungan 5X, Perhubungan 6, Perhubungan 6P | 28 April 2016 |
Peningkatan kerentanan hak istimewa di kernel
Peningkatan kerentanan hak istimewa di kernel dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2014-9803 | A-28557020 Kernel hulu | Tinggi | Perhubungan 5X, Perhubungan 6P | internal Google |
Kerentanan keterbukaan informasi pada komponen jaringan
Kerentanan pengungkapan informasi dalam komponen jaringan dapat memungkinkan aplikasi jahat lokal mengakses data di luar tingkat izinnya. Masalah ini dinilai Tinggi karena dapat digunakan untuk mengakses data sensitif tanpa izin pengguna secara eksplisit.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3809 | A-27532522* | Tinggi | Semua Nexus | 5 Maret 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Kerentanan pengungkapan informasi pada driver Wi-Fi MediaTek
Kerentanan pengungkapan informasi pada driver Wi-Fi MediaTek dapat memungkinkan aplikasi jahat lokal mengakses data di luar tingkat izinnya. Masalah ini dinilai Tinggi karena dapat digunakan untuk mengakses data sensitif tanpa izin pengguna secara eksplisit.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3810 | A-28175522* M-ALPS02694389 | Tinggi | Android Satu | 12 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa pada driver video kernel
Peningkatan kerentanan hak istimewa pada driver video kernel dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Sedang karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3811 | A-28447556* | Sedang | Perhubungan 9 | internal Google |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Kerentanan pengungkapan informasi pada driver codec video MediaTek
Kerentanan pengungkapan informasi pada driver codec video MediaTek dapat memungkinkan aplikasi jahat lokal mengakses data di luar tingkat izinnya. Masalah ini dinilai sebagai Sedang karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3812 | A-28174833* M-ALPS02688832 | Sedang | Android Satu | 11 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Kerentanan pengungkapan informasi pada driver USB Qualcomm
Kerentanan pengungkapan informasi pada driver USB Qualcomm dapat memungkinkan aplikasi jahat lokal mengakses data di luar tingkat izinnya. Masalah ini dinilai sebagai Sedang karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3813 | A-28172322* QC-CR1010222 | Sedang | Perhubungan 5, Perhubungan 5X, Perhubungan 6, Perhubungan 6P | 11 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Kerentanan pengungkapan informasi pada driver kamera NVIDIA
Kerentanan pengungkapan informasi pada driver kamera NVIDIA dapat memungkinkan aplikasi jahat lokal mengakses data di luar tingkat izinnya. Masalah ini dinilai sebagai Sedang karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3814 | A-28193342* N-CVE20163814 | Sedang | Perhubungan 9 | 14 April 2016 |
| CVE-2016-3815 | A-28522274* N-CVE20163815 | Sedang | Perhubungan 9 | 1 Mei 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Kerentanan pengungkapan informasi pada driver tampilan MediaTek
Kerentanan pengungkapan informasi pada driver tampilan MediaTek dapat memungkinkan aplikasi jahat lokal mengakses data di luar tingkat izinnya. Masalah ini dinilai sebagai Sedang karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3816 | A-28402240* | Sedang | Android Satu | 26 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Kerentanan pengungkapan informasi pada driver teletype kernel
Kerentanan pengungkapan informasi pada driver teletype dapat memungkinkan aplikasi jahat lokal mengakses data di luar tingkat izinnya. Masalah ini dinilai sebagai Sedang karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-0723 | A-28409131 Kernel hulu | Sedang | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 26 April 2016 |
Kerentanan penolakan layanan di bootloader Qualcomm
Kerentanan penolakan layanan di bootloader Qualcomm dapat memungkinkan aplikasi jahat lokal menyebabkan gangguan perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat. Masalah ini dinilai sebagai Sedang karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2014-9798 | A-28821448 QC-CR681965 | Sedang | Nexus 5 | 31 Oktober 2014 |
| CVE-2015-8893 | A-28822690 QC-CR822275 | Sedang | Perhubungan 5, Perhubungan 7 (2013) | 19 Agustus 2015 |
Pertanyaan dan jawaban umum
Bagian ini menjawab pertanyaan umum yang mungkin muncul setelah membaca buletin ini.
1. Bagaimana cara menentukan apakah perangkat saya diperbarui untuk mengatasi masalah ini?
Tingkat Patch Keamanan 01-07-2016 atau yang lebih baru mengatasi semua masalah yang terkait dengan tingkat string patch keamanan 01-7-2016. Tingkat Patch Keamanan 05-07-2016 atau yang lebih baru mengatasi semua masalah yang terkait dengan tingkat string patch keamanan 07-2016. Lihat pusat bantuan untuk petunjuk tentang cara memeriksa tingkat patch keamanan. Produsen perangkat yang menyertakan pembaruan ini harus menetapkan tingkat string patch ke: [ro.build.version.security_patch]:[2016-07-01] atau [ro.build.version.security_patch]:[2016-07-05].
2. Mengapa buletin ini memiliki dua rangkaian tingkat patch keamanan?
Buletin ini memiliki dua string tingkat patch keamanan untuk memberikan fleksibilitas kepada mitra Android untuk bergerak lebih cepat guna memperbaiki subset kerentanan yang serupa di semua perangkat Android. Mitra Android dianjurkan untuk memperbaiki semua masalah dalam buletin ini dan menggunakan string tingkat patch keamanan terbaru.
Perangkat yang menggunakan tingkat patch keamanan tanggal 5 Juli 2016 atau yang lebih baru harus menyertakan semua patch yang berlaku dalam buletin keamanan ini (dan sebelumnya).
Perangkat yang menggunakan tingkat patch keamanan 1 Juli 2016 harus mencakup semua masalah yang terkait dengan tingkat patch keamanan tersebut, serta perbaikan untuk semua masalah yang dilaporkan dalam buletin keamanan sebelumnya. Perangkat yang menggunakan tingkat patch keamanan 1 Juli 2016 mungkin juga menyertakan subkumpulan perbaikan yang terkait dengan tingkat patch keamanan 5 Juli 2016.
3. Bagaimana cara menentukan perangkat Nexus mana yang terpengaruh oleh setiap masalah?
Di bagian rincian kerentanan keamanan 2016-07-01 dan 2016-07-05 , setiap tabel memiliki kolom Perangkat Nexus yang Diperbarui yang mencakup rentang perangkat Nexus yang terpengaruh yang diperbarui untuk setiap masalah. Kolom ini memiliki beberapa opsi:
- Semua perangkat Nexus : Jika masalah memengaruhi semua perangkat Nexus, tabel akan menampilkan “Semua Nexus” di kolom Perangkat Nexus yang Diperbarui . “Semua Nexus” merangkum perangkat yang didukung berikut: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, dan Pixel C.
- Beberapa perangkat Nexus : Jika masalah tidak memengaruhi semua perangkat Nexus, perangkat Nexus yang terpengaruh akan dicantumkan di kolom Perangkat Nexus yang Diperbarui .
- Tidak ada perangkat Nexus : Jika tidak ada perangkat Nexus yang terpengaruh oleh masalah ini, tabel akan menampilkan “Tidak Ada” di kolom Perangkat Nexus yang Diperbarui .
4. Entri di kolom referensi dipetakan ke arah apa?
Entri di kolom Referensi pada tabel detail kerentanan mungkin berisi awalan yang mengidentifikasi organisasi tempat nilai referensi tersebut berada. Awalan ini dipetakan sebagai berikut:
| Awalan | Referensi |
|---|---|
| A- | ID bug Android |
| QC- | Nomor referensi Qualcomm |
| M- | Nomor referensi MediaTek |
| N- | Nomor referensi NVIDIA |
Revisi
- 06 Juli 2016: Buletin diterbitkan.
- 07 Juli 2016:
- Menambahkan tautan AOSP.
- Menghapus CVE-2016-3794 karena merupakan duplikat dari CVE-2016-3814
- Menambahkan atribusi untuk CVE-2016-2501 dan CVE-2016-2502
- 11 Juli 2016: Atribusi yang diperbarui untuk CVE-2016-3750
- 14 Juli 2016: Atribusi yang diperbarui untuk CVE-2016-2503
- 1 April 2019: Tautan patch yang diperbarui untuk CVE-2016-3818