Opublikowano 01 sierpnia 2016 | Zaktualizowano 21 października 2016 r
Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Wraz z biuletynem opublikowaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA). Obrazy oprogramowania sprzętowego Nexusa zostały także udostępnione w witrynie Google Developer . Poziomy poprawek zabezpieczeń z 5 sierpnia 2016 r. lub nowszych rozwiązują te problemy. Zapoznaj się z dokumentacją , aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń.
Partnerzy zostali powiadomieni o problemach opisanych w biuletynie w dniu 06 lipca 2016 roku lub wcześniej. W stosownych przypadkach w repozytorium Android Open Source Project (AOSP) udostępniono poprawki kodu źródłowego rozwiązujące te problemy. Biuletyn ten zawiera także łącza do poprawek spoza AOSP.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwić zdalne wykonanie kodu na zagrożonym urządzeniu przy użyciu wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług zostały wyłączone na potrzeby programowania lub jeśli pomyślnie je obejdzie.
Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu klientów lub nadużyciach w związku z nowo zgłoszonymi problemami. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Ograniczenia usług Android i Google.
Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Ogłoszenia
- Biuletyn poprawiony w celu poprawienia CVE-2016-3856 do CVE-2016-2060.
- Ten biuletyn zawiera dwa ciągi poziomów poprawek zabezpieczeń, które zapewniają partnerom systemu Android elastyczność umożliwiającą szybsze usuwanie podzbioru luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Aby uzyskać dodatkowe informacje, zobacz Często zadawane pytania i odpowiedzi :
- 2016-08-01 : Ciąg znaków dotyczący poziomu częściowej poprawki zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datą 2016-08-01 (i wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń).
- 2016-08-05 : Kompletny ciąg poziomów poprawek zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datami 2016-08-01 i 2016-08-05 (oraz wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń).
- Obsługiwane urządzenia Nexus otrzymają pojedynczą aktualizację OTA z poziomem poprawki zabezpieczeń z 5 sierpnia 2016 r.
Ograniczenia dotyczące usług Android i Google
To jest podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.
- Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
- Zespół ds. bezpieczeństwa systemu Android aktywnie monitoruje nadużycia za pomocą aplikacji Verify Apps i SafetyNet , których zadaniem jest ostrzeganie użytkowników o potencjalnie szkodliwych aplikacjach . Opcja Weryfikuj aplikacje jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale funkcja Verify Apps ostrzega użytkowników, gdy próbują zainstalować wykrytą aplikację do rootowania – niezależnie od tego, skąd ona pochodzi. Ponadto funkcja Verify Apps próbuje identyfikować i blokować instalację znanych złośliwych aplikacji wykorzystujących lukę umożliwiającą eskalację uprawnień. Jeżeli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wykrytej aplikacji.
- W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.
Podziękowanie
Chcielibyśmy podziękować tym badaczom za ich wkład:
- Abhishek Arya, Oliver Chang i Martin Barbella z zespołu ds. bezpieczeństwa Google Chrome: CVE-2016-3821, CVE-2016-3837
- Adam Donenfeld i in. firmy Check Point Software Technologies Ltd.: CVE-2016-2504
- Chiachih Wu ( @chiachih_wu ), Mingjian Zhou ( @Mingjian_Zhou ) i Xuxian Jiang z zespołu C0RE : CVE-2016-3844
- Chiachih Wu ( @chiachih_wu ), Yuan-Tsung Lo ( komputernik@gmail.com) i Xuxian Jiang z zespołu C0RE : CVE-2016-3857
- David Benjamin i Kenny Root z Google: CVE-2016-3840
- Dawei Peng ( Vinc3nt4H ) z zespołu Alibaba Mobile Security : CVE-2016-3822
- Di Shen ( @returnsme ) z KeenLab ( @keen_lab ), Tencent: CVE-2016-3842
- Dianne Hackborn z Google: CVE-2016-2497
- Dmitry Vyukov z zespołu Google Dynamic Tools: CVE-2016-3841
- Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) z IceSword Lab, Qihoo 360 Technology Co. Ltd .: CVE-2016-3852
- Guang Gong (龚广) ( @oldfresher ) z Alpha Team, Qihoo 360 Technology Co. Ltd .: CVE-2016-3834
- Kai Lu ( @K3vinLuSec ) z laboratoriów FortiGuard Labs firmy Fortinet: CVE-2016-3820
- Kandala Shivaram Reddy, DS i Uppi: CVE-2016-3826
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-3823, CVE-2016-3835, CVE-2016-3824, CVE-2016-3825
- Nathan Crandall ( @natecray ) z zespołu ds. bezpieczeństwa produktów Tesla Motors: CVE-2016-3847, CVE-2016-3848
- Piosenka Peng Xiao, Chengming Yang, Ning You, Chao Yang i Yang z Alibaba Mobile Security Group: CVE-2016-3845
- Peter Pi ( @heisecode ) z Trend Micro: CVE-2016-3849
- Qianwei Hu ( rayxcp@gmail.com ) z WooYun TangLab : CVE-2016-3846
- Qidan He ( @flanker_hqd ) z KeenLab ( @keen_lab ), Tencent: CVE-2016-3832
- Sharvil Nanavati z Google: CVE-2016-3839
- Shinjo Park ( @ad_ili_rai ) i Altaf Shaik z działu bezpieczeństwa w telekomunikacji : CVE-2016-3831
- Tom Rootjunky: CVE-2016-3853
- Wasilij Wasiliew: CVE-2016-3819
- Weichao Sun ( @sunblate ) z Alibaba Inc.: CVE-2016-3827, CVE-2016-3828, CVE-2016-3829
- Wish Wu (吴潍浠) ( @wish_wu ) z Trend Micro Inc .: CVE-2016-3843
- Yongke Wang ( @Rudykewang ) z Xuanwu LAB firmy Tencent: CVE-2016-3836
Chcielibyśmy podziękować Danielowi Micayowi z Copperhead Security, Jeffowi Vanderowi Stoepowi i Yabinowi Cui z Google za ich wkład w aktualizacje na poziomie platformy w celu ograniczenia klasy luk w zabezpieczeniach, takich jak CVE-2016-3843. To ograniczenie opiera się na pracy Brada Spenglera z Grsecurity.
Poziom poprawki zabezpieczeń 2016-08-01 — szczegóły luk w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2016-08-01. Znajduje się tam opis problemu, uzasadnienie wagi oraz tabela zawierająca CVE, powiązane odniesienia, wagę, zaktualizowane urządzenia Nexus, zaktualizowane wersje AOSP (w stosownych przypadkach) i datę zgłoszenia. Jeśli będzie to możliwe, połączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, takim jak lista zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.
Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w Mediaserverze
Luka w zabezpieczeniach programu Mediaserver umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku spowodowanie uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu Mediaservera. Proces Mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie mają dostępu aplikacje innych firm.
Funkcja, której to dotyczy, jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności wiadomości MMS i odtwarzania multimediów w przeglądarce.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3819 | A-28533562 | Krytyczny | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 maja 2016 r |
| CVE-2016-3820 | A-28673410 | Krytyczny | Cały Nexus | 6.0, 6.0.1 | 6 maja 2016 r |
| CVE-2016-3821 | A-28166152 | Krytyczny | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Wewnętrzne Google |
Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w libjhead
Luka w bibliotece libjhead umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście nieuprzywilejowanego procesu. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnego wykonania kodu w aplikacjach korzystających z tej biblioteki.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3822 | A-28868315 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Wewnętrzne Google |
Zwiększenie luki w zabezpieczeniach serwera multimediów
Luka w zabezpieczeniach programu Mediaserver umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3823 | A-28815329 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 maja 2016 r |
| CVE-2016-3824 | A-28816827 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 maja 2016 r |
| CVE-2016-3825 | A-28816964 | Wysoki | Cały Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 maja 2016 r |
| CVE-2016-3826 | A-29251553 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 czerwca 2016 r |
Luka w zabezpieczeniach typu „odmowa usługi” w serwerze multimediów
Luka w zabezpieczeniach programu Mediaserver umożliwiająca odmowę usługi może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku spowodowanie zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość tymczasowej zdalnej odmowy usługi.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3827 | A-28816956 | Wysoki | Cały Nexus | 6.0.1 | 16 maja 2016 r |
| CVE-2016-3828 | A-28835995 | Wysoki | Cały Nexus | 6.0, 6.0.1 | 17 maja 2016 r |
| CVE-2016-3829 | A-29023649 | Wysoki | Cały Nexus | 6.0, 6.0.1 | 27 maja 2016 r |
| CVE-2016-3830 | A-29153599 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Wewnętrzne Google |
Luka w zabezpieczeniach zegara systemowego umożliwiająca odmowę usługi
Luka w zegarze systemowym umożliwiająca odmowę usługi może umożliwić zdalnemu atakującemu awarię urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość tymczasowej zdalnej odmowy usługi.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3831 | A-29083635 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 31 maja 2016 r |
Zwiększenie luki w zabezpieczeniach w interfejsach API platformy
Luka w zabezpieczeniach interfejsów API platformy umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji ominięcie zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do uzyskania dostępu do danych wykraczających poza poziomy uprawnień aplikacji.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3832 | A-28795098 | Umiarkowany | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 maja 2016 r |
Zwiększenie luki w zabezpieczeniach powłoki w zakresie uprawnień
Podniesienie uprawnień w powłoce może umożliwić lokalnej złośliwej aplikacji ominięcie ograniczeń urządzenia, takich jak ograniczenia użytkownika. Ten problem został oceniony jako umiarkowany, ponieważ stanowi lokalne obejście uprawnień użytkownika.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3833 | A-29189712 [ 2 ] | Umiarkowany | Cały Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | Wewnętrzne Google |
Luka umożliwiająca ujawnienie informacji w OpenSSL
Luka w zabezpieczeniach OpenSSL umożliwiająca ujawnienie informacji może pozwolić lokalnej złośliwej aplikacji na dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez pozwolenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-2842 | A-29060514 | Nic* | Cały Nexus | 4.4.4, 5.0.2, 5.1.1 | 29 marca 2016 r |
* Ta luka nie dotyczy obsługiwanych urządzeń Nexus, na których zainstalowano wszystkie dostępne aktualizacje
Luka w interfejsach API aparatu umożliwiająca ujawnienie informacji
Luka w interfejsach API kamery umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do struktur danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez pozwolenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3834 | A-28466701 | Umiarkowany | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 kwietnia 2016 r |
Luka umożliwiająca ujawnienie informacji w Mediaserverze
Luka w zabezpieczeniach Mediaservera umożliwiająca ujawnienie informacji może pozwolić lokalnej złośliwej aplikacji na dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez pozwolenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3835 | A-28920116 | Umiarkowany | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 maja 2016 r |
Luka umożliwiająca ujawnienie informacji w SurfaceFlinger
Luka w usłudze SurfaceFlinger umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez wyraźnej zgody użytkownika.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3836 | A-28592402 | Umiarkowany | Cały Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 maja 2016 r |
Luka w zabezpieczeniach Wi-Fi umożliwiająca ujawnienie informacji
Luka w zabezpieczeniach sieci Wi-Fi umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę umiarkowaną, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez pozwolenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3837 | A-28164077 | Umiarkowany | Cały Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | Wewnętrzne Google |
Luka w zabezpieczeniach typu „odmowa usługi” w interfejsie użytkownika systemu
Luka w zabezpieczeniach interfejsu systemowego umożliwiająca odmowę usługi może umożliwić lokalnej złośliwej aplikacji zapobieganie połączeniom pod numer 911 z zablokowanego ekranu. Ten problem został oceniony jako umiarkowany ze względu na możliwość odmowy usługi w przypadku funkcji krytycznej.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3838 | A-28761672 | Umiarkowany | Cały Nexus | 6.0, 6.0.1 | Wewnętrzne Google |
Luka w zabezpieczeniach typu „odmowa usługi” w Bluetooth
Luka w zabezpieczeniach Bluetooth umożliwiająca odmowę usługi może umożliwić lokalnej złośliwej aplikacji zapobieganie połączeniom pod numer 911 z urządzenia Bluetooth. Ten problem został oceniony jako umiarkowany ze względu na możliwość odmowy usługi w przypadku funkcji krytycznej.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3839 | A-28885210 | Umiarkowany | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Wewnętrzne Google |
Poziom poprawki zabezpieczeń z dnia 8.08.2016 r. — szczegóły dotyczące luki w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki z dnia 2016-08-05. Znajduje się tam opis problemu, uzasadnienie wagi oraz tabela zawierająca CVE, powiązane odniesienia, wagę, zaktualizowane urządzenia Nexus, zaktualizowane wersje AOSP (w stosownych przypadkach) i datę zgłoszenia. Jeśli będzie to możliwe, połączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.
Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w sterowniku Qualcomm Wi-Fi
Luka w sterowniku Qualcomm Wi-Fi umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej zdalne wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2014-9902 | A-28668638 | Krytyczny | Nexus 7 (2013) | 31 marca 2014 r |
Luka w zabezpieczeniach Conscrypt umożliwiająca zdalne wykonanie kodu
Luka w zabezpieczeniach Conscrypt umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej zdalne wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3840 | A-28751153 | Krytyczny | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Wewnętrzne Google |
Zwiększenie luki w zabezpieczeniach komponentów Qualcomm
Poniższa tabela zawiera luki w zabezpieczeniach komponentów Qualcomm, potencjalnie obejmujące program ładujący, sterownik aparatu, napęd znaków, obsługę sieci, sterownik dźwięku i sterownik wideo.
Najpoważniejszy z tych problemów został oceniony jako krytyczny ze względu na możliwość wykonania przez lokalną złośliwą aplikację dowolnego kodu w kontekście jądra, co doprowadziłoby do trwałego naruszenia lokalnego bezpieczeństwa urządzenia, co może wymagać ponownego flashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2014-9863 | A-28768146 | Krytyczny | Nexus 5, Nexus 7 (2013) | 30 kwietnia 2014 r |
| CVE-2014-9864 | A-28747998 | Wysoki | Nexus 5, Nexus 7 (2013) | 27 marca 2014 |
| CVE-2014-9865 | A-28748271 | Wysoki | Nexus 5, Nexus 7 (2013) | 27 marca 2014 |
| CVE-2014-9866 | A-28747684 | Wysoki | Nexus 5, Nexus 7 (2013) | 31 marca 2014 r |
| CVE-2014-9867 | A-28749629 | Wysoki | Nexus 5, Nexus 7 (2013) | 31 marca 2014 r |
| CVE-2014-9868 | A-28749721 | Wysoki | Nexus 5, Nexus 7 (2013) | 31 marca 2014 r |
| CVE-2014-9869 | A-28749728 QC-CR#514711 [ 2 ] | Wysoki | Nexus 5, Nexus 7 (2013) | 31 marca 2014 r |
| CVE-2014-9870 | A-28749743 | Wysoki | Nexus 5, Nexus 7 (2013) | 31 marca 2014 r |
| CVE-2014-9871 | A-28749803 | Wysoki | Nexus 5, Nexus 7 (2013) | 31 marca 2014 r |
| CVE-2014-9872 | A-28750155 | Wysoki | Nexus 5 | 31 marca 2014 r |
| CVE-2014-9873 | A-28750726 | Wysoki | Nexus 5, Nexus 7 (2013) | 31 marca 2014 r |
| CVE-2014-9874 | A-28751152 | Wysoki | Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 31 marca 2014 r |
| CVE-2014-9875 | A-28767589 | Wysoki | Nexus 7 (2013) | 30 kwietnia 2014 r |
| CVE-2014-9876 | A-28767796 | Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 30 kwietnia 2014 r |
| CVE-2014-9877 | A-28768281 | Wysoki | Nexus 5, Nexus 7 (2013) | 30 kwietnia 2014 r |
| CVE-2014-9878 | A-28769208 | Wysoki | Nexus 5 | 30 kwietnia 2014 r |
| CVE-2014-9879 | A-28769221 | Wysoki | Nexus 5 | 30 kwietnia 2014 r |
| CVE-2014-9880 | A-28769352 | Wysoki | Nexus 7 (2013) | 30 kwietnia 2014 r |
| CVE-2014-9881 | A-28769368 | Wysoki | Nexus 7 (2013) | 30 kwietnia 2014 r |
| CVE-2014-9882 | A-28769546 QC-CR#552329 [ 2 ] | Wysoki | Nexus 7 (2013) | 30 kwietnia 2014 r |
| CVE-2014-9883 | A-28769912 | Wysoki | Nexus 5, Nexus 7 (2013) | 30 kwietnia 2014 r |
| CVE-2014-9884 | A-28769920 | Wysoki | Nexus 5, Nexus 7 (2013) | 30 kwietnia 2014 r |
| CVE-2014-9885 | A-28769959 | Wysoki | Nexus 5 | 30 kwietnia 2014 r |
| CVE-2014-9886 | A-28815575 | Wysoki | Nexus 5, Nexus 7 (2013) | 30 kwietnia 2014 r |
| CVE-2014-9887 | A-28804057 | Wysoki | Nexus 5, Nexus 7 (2013) | 3 lipca 2014 r |
| CVE-2014-9888 | A-28803642 | Wysoki | Nexus 5, Nexus 7 (2013) | 29 sierpnia 2014 |
| CVE-2014-9889 | A-28803645 | Wysoki | Nexus 5 | 31 października 2014 r |
| CVE-2015-8937 | A-28803962 | Wysoki | Nexus 5, Nexus 6, Nexus 7 (2013) | 31 marca 2015 r |
| CVE-2015-8938 | A-28804030 | Wysoki | Nexusa 6 | 31 marca 2015 r |
| CVE-2015-8939 | A-28398884 | Wysoki | Nexus 7 (2013) | 30 kwietnia 2015 r |
| CVE-2015-8940 | A-28813987 | Wysoki | Nexusa 6 | 30 kwietnia 2015 r |
| CVE-2015-8941 | A-28814502 | Wysoki | Nexus 6, Nexus 7 (2013) | 29 maja 2015 r |
| CVE-2015-8942 | A-28814652 | Wysoki | Nexusa 6 | 30 czerwca 2015 r |
| CVE-2015-8943 | A-28815158 | Wysoki | Nexus 5 | 11 września 2015 r |
| CVE-2014-9891 | A-28749283 | Umiarkowany | Nexus 5 | 13 marca 2014 |
| CVE-2014-9890 | A-28770207 | Umiarkowany | Nexus 5, Nexus 7 (2013) | 2 czerwca 2014 r |
Zwiększenie luki w zabezpieczeniach komponentu sieciowego jądra
Luka umożliwiająca podniesienie uprawnień w komponencie sieciowym jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-2686 | A-28759139 | Krytyczny | Cały Nexus | 23 marca 2015 r |
| CVE-2016-3841 | A-28746669 | Krytyczny | Cały Nexus | 3 grudnia 2015 r |
Zwiększenie luki w zabezpieczeniach sterownika procesora graficznego Qualcomm
Luka w zabezpieczeniach sterownika procesora graficznego Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-2504 | A-28026365 QC-CR#1002974 | Krytyczny | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 5 kwietnia 2016 r |
| CVE-2016-3842 | A-28377352 QC-CR#1002974 | Krytyczny | Nexusa 5X, Nexusa 6, Nexusa 6P | 25 kwietnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach komponentu wydajności Qualcomm
Luka w zabezpieczeniach komponentu wydajności Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
Uwaga: w tym biuletynie pod numerem A-29119870 znajduje się również aktualizacja na poziomie platformy, której zadaniem jest ograniczenie tej klasy luk w zabezpieczeniach.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3843 | A-28086229* QC-CR#1011071 | Krytyczny | Nexusa 5X, Nexusa 6P | 7 kwietnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach jądra polegającej na podniesieniu uprawnień
Luka w jądrze umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3857 | A-28522518* | Krytyczny | Nexus 7 (2013) | 2 maja 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach systemu pamięci jądra
Luka w zabezpieczeniach systemu pamięci jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-1593 | A-29577822 | Wysoki | Gracz Nexusa | 13 lutego 2015 r |
| CVE-2016-3672 | A-28763575 | Wysoki | Gracz Nexusa | 25 marca 2016 r |
Zwiększenie luki w zabezpieczeniach komponentu dźwiękowego jądra
Luka w zabezpieczeniach komponentu dźwiękowego jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-2544 | A-28695438 | Wysoki | Cały Nexus | 19 stycznia 2016 r |
| CVE-2016-2546 | A-28694392 | Wysoki | Piksel C | 19 stycznia 2016 r |
| CVE-2014-9904 | A-28592007 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player | 4 maja 2016 r |
Zwiększenie luki w zabezpieczeniach systemu plików jądra
Luka w systemie plików jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2012-6701 | A-28939037 | Wysoki | Nexus 5, Nexus 7 (2013) | 2 marca 2016 r |
Zwiększenie luki w zabezpieczeniach serwera multimediów
Luka w zabezpieczeniach programu Mediaserver umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3844 | A-28299517* N-CVE-2016-3844 | Wysoki | Nexusa 9 i Pixela C | 19 kwietnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika wideo jądra
Luka w sterowniku wideo jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3845 | A-28399876* | Wysoki | Nexus 5 | 20 kwietnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku szeregowego interfejsu peryferyjnego
Luka w zabezpieczeniach sterownika szeregowego interfejsu peryferyjnego umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3846 | A-28817378* | Wysoki | Nexusa 5X, Nexusa 6P | 17 maja 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika multimedialnego NVIDIA
Luka w sterowniku multimediów NVIDIA umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3847 | A-28871433* N-CVE-2016-3847 | Wysoki | Nexusa 9 | 19 maja 2016 r |
| CVE-2016-3848 | A-28919417* N-CVE-2016-3848 | Wysoki | Nexusa 9 | 19 maja 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika ION
Luka w sterowniku ION umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3849 | A-28939740 | Wysoki | Piksel C | 24 maja 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach programu rozruchowego Qualcomm
Luka w zabezpieczeniach programu ładującego Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3850 | A-27917291 | Wysoki | Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 28 marca 2016 r |
Zwiększenie luki w zabezpieczeniach podsystemu wydajności jądra
Podniesienie poziomu luk w zabezpieczeniach podsystemu wydajności jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki ze względu na powierzchnię ataku jądra dostępną dla osób atakujących.
Uwaga: jest to aktualizacja na poziomie platformy, której zadaniem jest ograniczenie luk w zabezpieczeniach, takich jak CVE-2016-3843 (A-28086229).
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3843 | A-29119870* | Wysoki | Cały Nexus | 6.0, 6.1 | Wewnętrzne Google |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach programu rozruchowego LG Electronics
Luka w zabezpieczeniach programu ładującego LG Electronics umożliwiająca podniesienie uprawnień może umożliwić osobie atakującej wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3851 | A-29189941* | Wysoki | Nexusa 5X | Wewnętrzne Google |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luka umożliwiająca ujawnienie informacji w komponentach Qualcomm
Poniższa tabela zawiera luki w zabezpieczeniach komponentów Qualcomm, potencjalnie obejmujące program ładujący, sterownik aparatu, sterownik postaci, obsługę sieci, sterownik dźwięku i sterownik wideo.
Najpoważniejszy z tych problemów ma ocenę Wysoki ze względu na możliwość, że lokalna złośliwa aplikacja może uzyskać dostęp do danych wykraczających poza jej poziom uprawnień, takich jak dane wrażliwe, bez wyraźnej zgody użytkownika.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2014-9892 | A-28770164 | Wysoki | Nexus 5, Nexus 7 (2013) | 2 czerwca 2014 r |
| CVE-2015-8944 | A-28814213 | Wysoki | Nexus 6, Nexus 7 (2013) | 30 kwietnia 2015 r |
| CVE-2014-9893 | A-28747914 | Umiarkowany | Nexus 5 | 27 marca 2014 |
| CVE-2014-9894 | A-28749708 | Umiarkowany | Nexus 7 (2013) | 31 marca 2014 r |
| CVE-2014-9895 | A-28750150 | Umiarkowany | Nexus 5, Nexus 7 (2013) | 31 marca 2014 r |
| CVE-2014-9896 | A-28767593 | Umiarkowany | Nexus 5, Nexus 7 (2013) | 30 kwietnia 2014 r |
| CVE-2014-9897 | A-28769856 | Umiarkowany | Nexus 5 | 30 kwietnia 2014 r |
| CVE-2014-9898 | A-28814690 | Umiarkowany | Nexus 5, Nexus 7 (2013) | 30 kwietnia 2014 r |
| CVE-2014-9899 | A-28803909 | Umiarkowany | Nexus 5 | 3 lipca 2014 r |
| CVE-2014-9900 | A-28803952 | Umiarkowany | Nexus 5, Nexus 7 (2013) | 8 sierpnia 2014 |
Luka umożliwiająca ujawnienie informacji w harmonogramie jądra
Luka w programie planującym jądra umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez wyraźnej zgody użytkownika.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2014-9903 | A-28731691 | Wysoki | Nexusa 5X, Nexusa 6P | 21 lutego 2014 r |
Luka w sterowniku MediaTek Wi-Fi umożliwiająca ujawnienie informacji (specyficzna dla urządzenia)
Luka w sterowniku MediaTek Wi-Fi umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez wyraźnej zgody użytkownika.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3852 | A-29141147* M-ALPS02751738 | Wysoki | Android Jeden | 12 kwietnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luka umożliwiająca ujawnienie informacji w sterowniku USB
Luka w sterowniku USB umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez wyraźnej zgody użytkownika.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-4482 | A-28619695 | Wysoki | Cały Nexus | 3 maja 2016 r |
Luka w zabezpieczeniach typu „odmowa usługi” w komponentach Qualcomm
Poniższa tabela zawiera luki w zabezpieczeniach komponentów Qualcomm, w tym potencjalnie sterownik Wi-Fi.
Najpoważniejszy z tych problemów został oceniony jako Wysoki ze względu na możliwość spowodowania przez osobę atakującą tymczasowej zdalnej odmowy usługi skutkującej zawieszeniem lub ponownym uruchomieniem urządzenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2014-9901 | A-28670333 | Wysoki | Nexus 7 (2013) | 31 marca 2014 r |
Zwiększenie luki w zabezpieczeniach usług Google Play
Luka w zabezpieczeniach usług Google Play umożliwiająca podniesienie uprawnień może pozwolić lokalnemu atakującemu na ominięcie zabezpieczenia przywracania ustawień fabrycznych i uzyskanie dostępu do urządzenia. Jest to oceniane jako umiarkowane ze względu na możliwość ominięcia zabezpieczenia przywracania ustawień fabrycznych, co może doprowadzić do pomyślnego zresetowania urządzenia i usunięcia wszystkich jego danych.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3853 | A-26803208* | Umiarkowany | Cały Nexus | Nic | 4 maja 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach interfejsów API platformy Framework
Luka w zabezpieczeniach API platformy umożliwiająca podniesienie uprawnień może umożliwić preinstalowanej aplikacji zwiększenie priorytetu filtra intencji podczas aktualizacji aplikacji bez powiadamiania użytkownika. Ten problem został oceniony jako umiarkowany, ponieważ można go wykorzystać do zwiększenia możliwości bez wyraźnej zgody użytkownika.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-2497 | A-27450489 | Umiarkowany | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Wewnętrzne Google |
Luka umożliwiająca ujawnienie informacji w komponencie sieciowym jądra
Luka w komponencie sieciowym jądra umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | Bibliografia | Powaga | Updated Nexus devices | Date reported |
|---|---|---|---|---|
| CVE-2016-4486 | A-28620102 | Moderate | All Nexus | May 3, 2016 |
Information disclosure vulnerability in kernel sound component
An information disclosure vulnerability in the kernel sound component could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | Bibliografia | Powaga | Updated Nexus devices | Date reported |
|---|---|---|---|---|
| CVE-2016-4569 | A-28980557 | Moderate | All Nexus | May 9, 2016 |
| CVE-2016-4578 | A-28980217 Jądro nadrzędne [ 2 ] | Moderate | All Nexus | May 11, 2016 |
Vulnerabilities in Qualcomm components
The table below contains security vulnerabilities affecting Qualcomm components, potentially including the bootloader, camera driver, character driver, networking, sound driver, and video driver.
| CVE | Bibliografia | Powaga | Updated Nexus devices | Date reported |
|---|---|---|---|---|
| CVE-2016-3854 | QC-CR#897326 | Wysoki | None | Feb 2016 |
| CVE-2016-3855 | QC-CR#990824 | Wysoki | None | May 2016 |
| CVE-2016-2060 | QC-CR#959631 | Moderate | None | Apr 2016 |
Common Questions and Answers
W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?
Security Patch Levels of 2016-08-01 or later address all issues associated with the 2016-08-01 security patch string level. Security Patch Levels of 2016-08-05 or later address all issues associated with the 2016-08-05 security patch string level. Refer to the help center for instructions on how to check the security patch level. Device manufacturers that include these updates should set the patch string level to: [ro.build.version.security_patch]:[2016-08-01] or [ro.build.version.security_patch]:[2016-08-05].
2. Why does this bulletin have two security patch level strings?
This bulletin has two security patch level strings in order to provide Android partners with the flexibility to move more quickly to fix a subset of vulnerabilities that are similar across all Android devices. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level string.
Devices that use the security patch level of August 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.
Devices that use the August 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins. Devices that use August 1, 2016 security patch level may also include a subset of fixes associated with the August 5, 2016 security patch level.
3 . How do I determine which Nexus devices are affected by each issue?
In the 2016-08-01 and 2016-08-05 security vulnerability details sections, each table has an Updated Nexus devices column that covers the range of affected Nexus devices updated for each issue. This column has a few options:
- All Nexus devices : If an issue affects all Nexus devices, the table will have “All Nexus” in the Updated Nexus devices column. “All Nexus” encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, and Pixel C.
- Some Nexus devices : If an issue doesn't affect all Nexus devices, the affected Nexus devices are listed in the Updated Nexus devices column.
- No Nexus devices : If no Nexus devices are affected by the issue, the table will have “None” in the Updated Nexus devices column.
4. What do the entries in the references column map to?
Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna. These prefixes map as follows:
| Prefiks | Odniesienie |
|---|---|
| A- | Identyfikator błędu Androida |
| Kontrola jakości- | Numer referencyjny Qualcomma |
| M- | Numer referencyjny MediaTeka |
| N- | Numer referencyjny NVIDIA |
Revisions
- August 01, 2016: Bulletin published.
- August 02, 2016: Bulletin revised to include AOSP links.
- August 16, 2016: CVE-2016-3856 corrected to CVE-2016-2060 and updated the reference URL.
- October 21, 2016: Corrected typo in CVE-2016-4486.