Opublikowano 01 sierpnia 2016 | Zaktualizowano 21 października 2016 r.
Biuletyn Android Security Bulletin zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Wraz z biuletynem udostępniliśmy aktualizację zabezpieczeń urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA). Obrazy oprogramowania sprzętowego Nexusa zostały również udostępnione w witrynie Google Developer . Poziomy poprawek zabezpieczeń z 5 sierpnia 2016 r. lub nowsze rozwiązują te problemy. Zapoznaj się z dokumentacją , aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń.
Partnerzy zostali powiadomieni o problemach opisanych w biuletynie w dniu 06.07.2016 r. lub wcześniej. W stosownych przypadkach w repozytorium Android Open Source Project (AOSP) udostępniono poprawki kodu źródłowego dla tych problemów. Biuletyn ten zawiera również łącza do poprawek spoza AOSP.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która podczas przetwarzania plików multimedialnych może umożliwić zdalne wykonanie kodu na zaatakowanym urządzeniu za pomocą wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS. Ocena dotkliwości opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy, przy założeniu, że platforma i usługi ograniczania zagrożeń są wyłączone w celach programistycznych lub pomyślnie ominięte.
Nie mieliśmy żadnych doniesień o aktywnym wykorzystywaniu lub nadużywaniu przez klientów tych nowo zgłoszonych problemów. Zapoznaj się z sekcją Ograniczenia ryzyka w usługach Android i Google, aby uzyskać szczegółowe informacje na temat zabezpieczeń platformy Android i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android.
Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Ogłoszenia
- Biuletyn poprawiony w celu poprawienia CVE-2016-3856 do CVE-2016-2060.
- Ten biuletyn zawiera dwa łańcuchy poziomów poprawek zabezpieczeń, aby zapewnić partnerom systemu Android elastyczność umożliwiającą szybsze naprawianie podzbioru luk, które są podobne na wszystkich urządzeniach z systemem Android. Zobacz Często zadawane pytania i odpowiedzi, aby uzyskać dodatkowe informacje:
- 2016-08-01 : Częściowy ciąg poziomu poprawek zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że wszystkie problemy związane z 01.08.2016 r. (i wszystkimi poprzednimi ciągami poziomu poprawek zabezpieczeń) zostały rozwiązane.
- 2016-08-05 : Kompletny ciąg poziomu poprawek zabezpieczeń. Ten ciąg poziomu poprawek zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z 01.08.2016 i 05.08.2016 (oraz wszystkie poprzednie ciągi poziomów poprawek zabezpieczeń).
- Obsługiwane urządzenia Nexus otrzymają pojedynczą aktualizację OTA z poziomem poprawki zabezpieczeń z 5 sierpnia 2016 r.
Ograniczenia w usługach Android i Google
To jest podsumowanie środków łagodzących zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Te możliwości zmniejszają prawdopodobieństwo pomyślnego wykorzystania luk w zabezpieczeniach w systemie Android.
- Wykorzystanie wielu problemów w systemie Android jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do aktualizacji do najnowszej wersji Androida tam, gdzie to możliwe.
- Zespół Android Security aktywnie monitoruje nadużycia za pomocą funkcji Verify Apps i SafetyNet , które mają ostrzegać użytkowników o potencjalnie szkodliwych aplikacjach . Weryfikacja aplikacji jest domyślnie włączona na urządzeniach z usługami Google Mobile Services i jest szczególnie ważna dla użytkowników instalujących aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale Weryfikacja aplikacji ostrzega użytkowników, gdy próbują zainstalować wykrytą aplikację do rootowania — bez względu na to, skąd pochodzi. Ponadto Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji, które wykorzystują lukę w eskalacji uprawnień. Jeśli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wykrytej aplikacji.
- W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.
Podziękowanie
Chcielibyśmy podziękować tym badaczom za ich wkład:
- Abhishek Arya, Oliver Chang i Martin Barbella z zespołu ds. bezpieczeństwa Google Chrome: CVE-2016-3821, CVE-2016-3837
- Adam Donenfeld i in. firmy Check Point Software Technologies Ltd.: CVE-2016-2504
- Chiachih Wu ( @chiachih_wu ), Mingjian Zhou ( @Mingjian_Zhou ) i Xuxian Jiang z zespołu C0RE : CVE-2016-3844
- Chiachih Wu ( @chiachih_wu ), Yuan-Tsung Lo ( computernik@gmail.com ) i Xuxian Jiang z zespołu C0RE : CVE-2016-3857
- David Benjamin i Kenny Root z Google: CVE-2016-3840
- Dawei Peng ( Vinc3nt4H ) z Alibaba Mobile Security Team : CVE-2016-3822
- Di Shen ( @returnsme ) z KeenLab ( @keen_lab ), Tencent: CVE-2016-3842
- Dianne Hackborn z Google: CVE-2016-2497
- Dmitry Vyukov z zespołu Google Dynamic Tools: CVE-2016-3841
- Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) z IceSword Lab, Qihoo 360 Technology Co. Ltd .: CVE-2016-3852
- Guang Gong (龚广) ( @oldfresher ) z zespołu Alpha, Qihoo 360 Technology Co. Ltd .: CVE-2016-3834
- Kai Lu ( @K3vinLuSec ) z laboratorium FortiGuard firmy Fortinet: CVE-2016-3820
- Kandala Shivaram reddy, DS i Uppi: CVE-2016-3826
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-3823, CVE-2016-3835, CVE-2016-3824, CVE-2016-3825
- Nathan Crandall ( @natecray ) z zespołu ds. bezpieczeństwa produktów Tesla Motors: CVE-2016-3847, CVE-2016-3848
- Peng Xiao, Chengming Yang, Ning You, Chao Yang i Yang piosenka Alibaba Mobile Security Group: CVE-2016-3845
- Peter Pi ( @heisecode ) z Trend Micro: CVE-2016-3849
- Qianwei Hu ( rayxcp@gmail.com ) z WooYun TangLab : CVE-2016-3846
- Qidan He ( @flanker_hqd ) z KeenLab ( @keen_lab ), Tencent: CVE-2016-3832
- Sharvil Nanavati z Google: CVE-2016-3839
- Shinjo Park ( @ad_ili_rai ) i Altaf Shaik z Bezpieczeństwa w Telekomunikacji : CVE-2016-3831
- Tom Rootjunky: CVE-2016-3853
- Wasilij Wasiliew: CVE-2016-3819
- Weichao Sun ( @sunblate ) z Alibaba Inc.: CVE-2016-3827, CVE-2016-3828, CVE-2016-3829
- Życzę Wu (吴潍浠) ( @wish_wu ) firmy Trend Micro Inc .: CVE-2016-3843
- Yongke Wang ( @Rudykewang ) z laboratorium Xuanwu firmy Tencent: CVE-2016-3836
Chcielibyśmy podziękować Danielowi Micayowi z Copperhead Security, Jeffowi Vanderowi Stoepowi i Yabinowi Cui z Google za ich wkład w aktualizacje na poziomie platformy w celu złagodzenia klasy luk, takich jak CVE-2016-3843. To ograniczenie jest oparte na pracy Brada Spenglera z Grsecurity.
2016-08-01 poziom poprawki zabezpieczeń — szczegóły dotyczące luk w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawki 2016-08-01. Znajduje się tam opis problemu, uzasadnienie ważności oraz tabela z CVE, powiązanymi odniesieniami, dotkliwością, zaktualizowanymi urządzeniami Nexus, zaktualizowanymi wersjami AOSP (jeśli dotyczy) i datą zgłoszenia. Gdy będzie to możliwe, połączymy publiczną zmianę, która dotyczyła problemu, z identyfikatorem błędu, takim jak lista zmian AOSP. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odnośniki są powiązane z liczbami następującymi po identyfikatorze błędu.
Luka umożliwiająca zdalne wykonanie kodu w Mediaserver
Luka w zabezpieczeniach serwera Mediaserver umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku do uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu Mediaserver. Proces Mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie miały dostępu aplikacje innych firm.
Zakłócona funkcja jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności MMS i odtwarzanie multimediów w przeglądarce.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3819 | A-28533562 | Krytyczny | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 maja 2016 |
| CVE-2016-3820 | A-28673410 | Krytyczny | Wszystkie Nexusy | 6.0, 6.0.1 | 6 maja 2016 |
| CVE-2016-3821 | A-28166152 | Krytyczny | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google wewnętrzne |
Luka umożliwiająca zdalne wykonanie kodu w libjhead
Luka w zabezpieczeniach biblioteki libjhead umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej za pomocą specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście nieuprzywilejowanego procesu. Ten problem został oceniony jako Wysoki ze względu na możliwość zdalnego wykonania kodu w aplikacjach korzystających z tej biblioteki.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3822 | A-28868315 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google wewnętrzne |
Podwyższenie luki uprawnień w Mediaserver
Luka umożliwiająca podniesienie uprawnień w serwerze Mediaserver może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3823 | A-28815329 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 maja 2016 |
| CVE-2016-3824 | A-28816827 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 maja 2016 |
| CVE-2016-3825 | A-28816964 | Wysoki | Wszystkie Nexusy | 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 maja 2016 |
| CVE-2016-3826 | A-29251553 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 czerwca 2016 |
Luka typu Denial of Service w Mediaserver
Luka typu „odmowa usługi” w serwerze Mediaserver może umożliwić osobie atakującej zawieszenie lub ponowne uruchomienie urządzenia za pomocą specjalnie spreparowanego pliku. Ten problem został oceniony jako wysoki ze względu na możliwość tymczasowej zdalnej odmowy usługi.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3827 | A-28816956 | Wysoki | Wszystkie Nexusy | 6.0.1 | 16 maja 2016 |
| CVE-2016-3828 | A-28835995 | Wysoki | Wszystkie Nexusy | 6.0, 6.0.1 | 17 maja 2016 |
| CVE-2016-3829 | A-29023649 | Wysoki | Wszystkie Nexusy | 6.0, 6.0.1 | 27 maja 2016 |
| CVE-2016-3830 | A-29153599 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google wewnętrzne |
Podatność na atak typu Denial of Service w zegarze systemowym
Luka w zabezpieczeniach zegara systemowego typu „odmowa usługi” może umożliwić osobie atakującej zdalnej awarię urządzenia. Ten problem został oceniony jako wysoki ze względu na możliwość tymczasowej zdalnej odmowy usługi.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3831 | A-29083635 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 31 maja 2016 |
Podwyższenie podatności uprawnień w API frameworka
Luka umożliwiająca podniesienie uprawnień w interfejsach API struktury może umożliwić lokalnej złośliwej aplikacji ominięcie zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji. Ten problem jest oceniany jako Umiarkowany, ponieważ może służyć do uzyskiwania dostępu do danych, które są poza poziomami uprawnień aplikacji.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3832 | A-28795098 | Umiarkowany | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 maja 2016 |
Podniesienie poziomu podatności uprawnień w Shell
Podniesienie uprawnień w powłoce może umożliwić lokalnej złośliwej aplikacji ominięcie ograniczeń urządzenia, takich jak ograniczenia użytkownika. Ten problem jest oceniany jako Umiarkowany, ponieważ jest to lokalne obejście uprawnień użytkownika.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3833 | A-29189712 [ 2 ] | Umiarkowany | Wszystkie Nexusy | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google wewnętrzne |
Luka umożliwiająca ujawnienie informacji w OpenSSL
Luka umożliwiająca ujawnienie informacji w OpenSSL może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ może być używany do uzyskiwania dostępu do poufnych danych bez pozwolenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-2842 | A-29060514 | Nic* | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1 | 29 marca 2016 |
* Ta luka nie dotyczy obsługiwanych urządzeń Nexus, na których zainstalowano wszystkie dostępne aktualizacje
Luka umożliwiająca ujawnienie informacji w interfejsach API aparatu
Luka umożliwiająca ujawnienie informacji w interfejsach API aparatu może umożliwić lokalnej złośliwej aplikacji dostęp do struktur danych poza jej poziomami uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ może być używany do uzyskiwania dostępu do poufnych danych bez pozwolenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3834 | A-28466701 | Umiarkowany | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 kwi 2016 |
Luka umożliwiająca ujawnienie informacji w Mediaserver
Luka umożliwiająca ujawnienie informacji w serwerze Mediaserver może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ może być używany do uzyskiwania dostępu do poufnych danych bez pozwolenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3835 | A-28920116 | Umiarkowany | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 maja 2016 |
Luka umożliwiająca ujawnienie informacji w SurfaceFlinger
Luka umożliwiająca ujawnienie informacji w usłudze SurfaceFlinger może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ może być używany do uzyskiwania dostępu do poufnych danych bez wyraźnej zgody użytkownika.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3836 | A-28592402 | Umiarkowany | Wszystkie Nexusy | 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 maja 2016 |
Luka umożliwiająca ujawnienie informacji w sieci Wi-Fi
Luka umożliwiająca ujawnienie informacji w sieci Wi-Fi może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Umiarkowany, ponieważ może być używany do uzyskiwania dostępu do poufnych danych bez pozwolenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3837 | A-28164077 | Umiarkowany | Wszystkie Nexusy | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google wewnętrzne |
Luka typu „odmowa usługi” w interfejsie użytkownika systemu
Luka w zabezpieczeniach typu „odmowa usługi” w interfejsie użytkownika systemu może umożliwić lokalnej złośliwej aplikacji zapobieganie wywołaniom 911 z zablokowanego ekranu. Ten problem jest oceniany jako Umiarkowany ze względu na możliwość odmowy usługi w przypadku funkcji krytycznej.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3838 | A-28761672 | Umiarkowany | Wszystkie Nexusy | 6.0, 6.0.1 | Google wewnętrzne |
Luka w zabezpieczeniach typu „odmowa usługi” w Bluetooth
Luka w zabezpieczeniach typu „odmowa usługi” w technologii Bluetooth może umożliwić lokalnej złośliwej aplikacji uniemożliwienie wywołań 911 z urządzenia Bluetooth. Ten problem jest oceniany jako Umiarkowany ze względu na możliwość odmowy usługi w przypadku funkcji krytycznej.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3839 | A-2885210 | Umiarkowany | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google wewnętrzne |
2016-08-05 poziom poprawki zabezpieczeń — szczegóły dotyczące luki w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje o każdej z luk w zabezpieczeniach, które mają zastosowanie do poziomu poprawki 2016-08-05. Znajduje się tam opis problemu, uzasadnienie ważności oraz tabela z CVE, powiązanymi odniesieniami, dotkliwością, zaktualizowanymi urządzeniami Nexus, zaktualizowanymi wersjami AOSP (jeśli dotyczy) i datą zgłoszenia. Gdy będzie to możliwe, połączymy publiczną zmianę, która dotyczyła problemu, z identyfikatorem błędu, takim jak lista zmian AOSP. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odnośniki są powiązane z liczbami następującymi po identyfikatorze błędu.
Luka umożliwiająca zdalne wykonanie kodu w sterowniku Qualcomm Wi-Fi
Luka umożliwiająca zdalne wykonanie kodu w sterowniku Qualcomm Wi-Fi może umożliwić zdalnej osobie atakującej wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego naruszenia bezpieczeństwa urządzenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2014-9902 | A-28668638 | Krytyczny | Nexus 7 (2013) | 31 marca 2014 r. |
Luka umożliwiająca zdalne wykonanie kodu w Conscrypt
Luka umożliwiająca zdalne wykonanie kodu w programie Conscrypt może umożliwić zdalnej osobie atakującej wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3840 | A-28751153 | Krytyczny | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google wewnętrzne |
Podwyższona luka uprawnień w komponentach Qualcomm
Poniższa tabela zawiera luki w zabezpieczeniach dotyczące komponentów Qualcomm, w tym potencjalnie bootloadera, sterownika aparatu, napędu znaków, sieci, sterownika dźwięku i sterownika wideo.
Najpoważniejszy z tych problemów jest oceniany jako Krytyczny ze względu na możliwość, że lokalna złośliwa aplikacja może wykonać dowolny kod w kontekście jądra, prowadząc do lokalnego trwałego włamania się na urządzenie, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2014-9863 | A-28768146 | Krytyczny | Nexus 5, Nexus 7 (2013) | 30 kwi 2014 |
| CVE-2014-9864 | A-28747998 | Wysoki | Nexus 5, Nexus 7 (2013) | 27 marca 2014 r. |
| CVE-2014-9865 | A-28748271 | Wysoki | Nexus 5, Nexus 7 (2013) | 27 marca 2014 r. |
| CVE-2014-9866 | A-28747684 | Wysoki | Nexus 5, Nexus 7 (2013) | 31 marca 2014 r. |
| CVE-2014-9867 | A-28749629 | Wysoki | Nexus 5, Nexus 7 (2013) | 31 marca 2014 r. |
| CVE-2014-9868 | A-28749721 | Wysoki | Nexus 5, Nexus 7 (2013) | 31 marca 2014 r. |
| CVE-2014-9869 | A-28749728 QC-CR#514711 [ 2 ] | Wysoki | Nexus 5, Nexus 7 (2013) | 31 marca 2014 r. |
| CVE-2014-9870 | A-28749743 | Wysoki | Nexus 5, Nexus 7 (2013) | 31 marca 2014 r. |
| CVE-2014-9871 | A-28749803 | Wysoki | Nexus 5, Nexus 7 (2013) | 31 marca 2014 r. |
| CVE-2014-9872 | A-28750155 | Wysoki | Nexus 5 | 31 marca 2014 r. |
| CVE-2014-9873 | A-28750726 | Wysoki | Nexus 5, Nexus 7 (2013) | 31 marca 2014 r. |
| CVE-2014-9874 | A-28751152 | Wysoki | Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 31 marca 2014 r. |
| CVE-2014-9875 | A-28767589 | Wysoki | Nexus 7 (2013) | 30 kwi 2014 |
| CVE-2014-9876 | A-28767796 | Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 30 kwi 2014 |
| CVE-2014-9877 | A-28768281 | Wysoki | Nexus 5, Nexus 7 (2013) | 30 kwi 2014 |
| CVE-2014-9878 | A-28769208 | Wysoki | Nexus 5 | 30 kwi 2014 |
| CVE-2014-9879 | A-28769221 | Wysoki | Nexus 5 | 30 kwi 2014 |
| CVE-2014-9880 | A-28769352 | Wysoki | Nexus 7 (2013) | 30 kwi 2014 |
| CVE-2014-9881 | A-28769368 | Wysoki | Nexus 7 (2013) | 30 kwi 2014 |
| CVE-2014-9882 | A-28769546 QC-CR#552329 [ 2 ] | Wysoki | Nexus 7 (2013) | 30 kwi 2014 |
| CVE-2014-9883 | A-28769912 | Wysoki | Nexus 5, Nexus 7 (2013) | 30 kwi 2014 |
| CVE-2014-9884 | A-28769920 | Wysoki | Nexus 5, Nexus 7 (2013) | 30 kwi 2014 |
| CVE-2014-9885 | A-28769959 | Wysoki | Nexus 5 | 30 kwi 2014 |
| CVE-2014-9886 | A-28815575 | Wysoki | Nexus 5, Nexus 7 (2013) | 30 kwi 2014 |
| CVE-2014-9887 | A-28804057 | Wysoki | Nexus 5, Nexus 7 (2013) | 3 lip 2014 |
| CVE-2014-9888 | A-28803642 | Wysoki | Nexus 5, Nexus 7 (2013) | 29 sierpnia 2014 |
| CVE-2014-9889 | A-28803645 | Wysoki | Nexus 5 | 31 paź 2014 |
| CVE-2015-8937 | A-28803962 | Wysoki | Nexus 5, Nexus 6, Nexus 7 (2013) | 31 marca 2015 r. |
| CVE-2015-8938 | A-28804030 | Wysoki | Nexus 6 | 31 marca 2015 r. |
| CVE-2015-8939 | A-28398884 | Wysoki | Nexus 7 (2013) | 30 kwi 2015 |
| CVE-2015-8940 | A-28813987 | Wysoki | Nexus 6 | 30 kwi 2015 |
| CVE-2015-8941 | A-28814502 | Wysoki | Nexus 6, Nexus 7 (2013) | 29 maja 2015 |
| CVE-2015-8942 | A-28814652 | Wysoki | Nexus 6 | 30 czerwca 2015 r. |
| CVE-2015-8943 | A-28815158 | Wysoki | Nexus 5 | 11 września 2015 r. |
| CVE-2014-9891 | A-28749283 | Umiarkowany | Nexus 5 | 13 marca 2014 r. |
| CVE-2014-9890 | A-28770207 | Umiarkowany | Nexus 5, Nexus 7 (2013) | 2 czerwca 2014 |
Podwyższona luka uprawnień w komponencie sieciowym jądra
Luka umożliwiająca podniesienie uprawnień w komponencie sieciowym jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-2686 | A-28759139 | Krytyczny | Wszystkie Nexusy | 23 marca 2015 |
| CVE-2016-3841 | A-28746669 | Krytyczny | Wszystkie Nexusy | 3 grudnia 2015 |
Podniesienie poziomu uprawnień w sterowniku GPU Qualcomm
Luka umożliwiająca podniesienie uprawnień w sterowniku procesora graficznego Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-2504 | A-28026365 QC-CR#1002974 | Krytyczny | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 5 kwi 2016 |
| CVE-2016-3842 | A-28377352 QC-CR#1002974 | Krytyczny | Nexus 5X, Nexus 6, Nexus 6P | 25 kwi 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka uprawnień w komponencie wydajności Qualcomm
Luka umożliwiająca podniesienie uprawnień w składniku wydajności Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
Uwaga: W tym biuletynie pod numerem A-29119870 znajduje się również aktualizacja na poziomie platformy, której celem jest ograniczenie luk w zabezpieczeniach tej klasy.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3843 | A-28086229* QC-CR#1011071 | Krytyczny | Nexus 5X, Nexus 6P | 7 kwi 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka uprawnień w jądrze
Luka umożliwiająca podniesienie uprawnień w jądrze może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3857 | A-28522518* | Krytyczny | Nexus 7 (2013) | 2 maja 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższenie podatności uprawnień w systemie pamięci jądra
Luka umożliwiająca podniesienie uprawnień w systemie pamięci jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-1593 | A-29577822 | Wysoki | Nexus Player | 13 lut 2015 |
| CVE-2016-3672 | A-28763575 | Wysoki | Nexus Player | 25 marca 2016 |
Podwyższona luka uprawnień w komponencie dźwiękowym jądra
Luka umożliwiająca podniesienie uprawnień w komponencie dźwiękowym jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-2544 | A-28695438 | Wysoki | Wszystkie Nexusy | 19 stycznia 2016 |
| CVE-2016-2546 | A-28694392 | Wysoki | Piksel C | 19 stycznia 2016 |
| CVE-2014-9904 | A-28592007 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player | 4 maja 2016 |
Podwyższona luka uprawnień w systemie plików jądra
Luka umożliwiająca podniesienie uprawnień w systemie plików jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2012-6701 | A-28939037 | Wysoki | Nexus 5, Nexus 7 (2013) | 2 marca 2016 |
Podwyższenie luki uprawnień w Mediaserver
Luka umożliwiająca podniesienie uprawnień w serwerze Mediaserver może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem został oceniony jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, które nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3844 | A-28299517* N-CVE-2016-3844 | Wysoki | Nexus 9, piksel C | 19 kwi 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka uprawnień w sterowniku wideo jądra
Luka umożliwiająca podniesienie uprawnień w sterowniku wideo jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3845 | A-28399876* | Wysoki | Nexus 5 | 20 kwi 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka uprawnień w sterowniku szeregowego interfejsu peryferyjnego
Luka umożliwiająca podniesienie uprawnień w sterowniku Serial Peripheral Interface może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3846 | A-28817378* | Wysoki | Nexus 5X, Nexus 6P | 17 maja 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Luka w zabezpieczeniach podnosząca poziom uprawnień w sterowniku multimedialnym NVIDIA
Luka umożliwiająca podniesienie uprawnień w sterowniku multimedialnym NVIDIA może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3847 | A-28871433* N-CVE-2016-3847 | Wysoki | Nexus 9 | 19 maja 2016 |
| CVE-2016-3848 | A-28919417* N-CVE-2016-3848 | Wysoki | Nexus 9 | 19 maja 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podniesienie poziomu podatności uprawnień w sterowniku ION
Luka umożliwiająca podniesienie uprawnień w sterowniku ION może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3849 | A-28939740 | Wysoki | Piksel C | 24 maja 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka uprawnień w bootloaderze Qualcomm
Luka umożliwiająca podniesienie uprawnień w programie rozruchowym Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3850 | A-27917291 | Wysoki | Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 28 marca 2016 |
Podwyższona luka uprawnień w podsystemie wydajności jądra
Podwyższone luki w uprawnieniach w podsystemie wydajności jądra mogą umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako wysoki ze względu na powierzchnię ataku jądra, którą atakujący mogą wykorzystać.
Uwaga: jest to aktualizacja na poziomie platformy zaprojektowana w celu złagodzenia klasy luk, takich jak CVE-2016-3843 (A-28086229).
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3843 | A-29119870* | Wysoki | Wszystkie Nexusy | 6,0, 6,1 | Google wewnętrzne |
* Poprawka dla tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka uprawnień w bootloaderze LG Electronics
Luka umożliwiająca podniesienie uprawnień w programie rozruchowym LG Electronics może umożliwić osobie atakującej wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3851 | A-29189941* | Wysoki | Nexus 5X | Google wewnętrzne |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Luka umożliwiająca ujawnienie informacji w komponentach Qualcomm
Poniższa tabela zawiera luki w zabezpieczeniach dotyczące komponentów Qualcomm, w tym potencjalnie bootloadera, sterownika aparatu, sterownika postaci, sieci, sterownika dźwięku i sterownika wideo.
Najpoważniejszy z tych problemów jest oceniany jako wysoki ze względu na możliwość, że lokalna złośliwa aplikacja może uzyskać dostęp do danych poza jej poziomami uprawnień, takich jak dane poufne, bez wyraźnej zgody użytkownika.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2014-9892 | A-28770164 | Wysoki | Nexus 5, Nexus 7 (2013) | 2 czerwca 2014 |
| CVE-2015-8944 | A-28814213 | Wysoki | Nexus 6, Nexus 7 (2013) | 30 kwi 2015 |
| CVE-2014-9893 | A-28747914 | Umiarkowany | Nexus 5 | 27 marca 2014 r. |
| CVE-2014-9894 | A-28749708 | Umiarkowany | Nexus 7 (2013) | 31 marca 2014 r. |
| CVE-2014-9895 | A-28750150 | Umiarkowany | Nexus 5, Nexus 7 (2013) | 31 marca 2014 r. |
| CVE-2014-9896 | A-28767593 | Umiarkowany | Nexus 5, Nexus 7 (2013) | 30 kwi 2014 |
| CVE-2014-9897 | A-28769856 | Umiarkowany | Nexus 5 | 30 kwi 2014 |
| CVE-2014-9898 | A-28814690 | Umiarkowany | Nexus 5, Nexus 7 (2013) | 30 kwi 2014 |
| CVE-2014-9899 | A-28803909 | Umiarkowany | Nexus 5 | 3 lip 2014 |
| CVE-2014-9900 | A-28803952 | Umiarkowany | Nexus 5, Nexus 7 (2013) | 8 sierpnia 2014 |
Luka umożliwiająca ujawnienie informacji w harmonogramie jądra
Luka umożliwiająca ujawnienie informacji w harmonogramie jądra może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako wysoki, ponieważ może być używany do uzyskiwania dostępu do poufnych danych bez wyraźnej zgody użytkownika.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2014-9903 | A-28731691 | Wysoki | Nexus 5X, Nexus 6P | 21 lut 2014 |
Luka umożliwiająca ujawnienie informacji w sterowniku MediaTek Wi-Fi (w zależności od urządzenia)
Luka umożliwiająca ujawnienie informacji w sterowniku MediaTek Wi-Fi może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako wysoki, ponieważ może być używany do uzyskiwania dostępu do poufnych danych bez wyraźnej zgody użytkownika.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3852 | A-29141147* M-ALPS02751738 | Wysoki | Android Jeden | 12 kwi 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Luka umożliwiająca ujawnienie informacji w sterowniku USB
Luka umożliwiająca ujawnienie informacji w sterowniku USB może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako wysoki, ponieważ może być używany do uzyskiwania dostępu do poufnych danych bez wyraźnej zgody użytkownika.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-4482 | A-28619695 | Wysoki | Wszystkie Nexusy | 3 maja 2016 |
Luka w zabezpieczeniach typu „odmowa usługi” w komponentach Qualcomm
Poniższa tabela zawiera luki w zabezpieczeniach dotyczące komponentów Qualcomm, w tym potencjalnie sterownika Wi-Fi.
Najpoważniejszy z tych problemów jest oceniany jako wysoki ze względu na możliwość, że osoba atakująca może spowodować tymczasową zdalną odmowę usługi skutkującą zawieszeniem lub ponownym uruchomieniem urządzenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2014-9901 | A-28670333 | Wysoki | Nexus 7 (2013) | 31 marca 2014 r. |
Podatność na podniesienie uprawnień w usługach Google Play
Luka umożliwiająca podniesienie uprawnień w usługach Google Play może umożliwić atakującemu lokalnemu ominięcie ochrony przywracania ustawień fabrycznych i uzyskanie dostępu do urządzenia. Jest to oceniane jako umiarkowane ze względu na możliwość ominięcia ochrony przywracania ustawień fabrycznych, co może prowadzić do pomyślnego zresetowania urządzenia i usunięcia wszystkich jego danych.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3853 | A-26803208* | Umiarkowany | Wszystkie Nexusy | Nic | 4 maja 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podniesienie poziomu uprawnień w interfejsach API Framework
Luka umożliwiająca podniesienie uprawnień w interfejsach API struktury może umożliwić wstępnie zainstalowanej aplikacji zwiększenie priorytetu filtrowania intencji, gdy aplikacja jest aktualizowana bez powiadamiania użytkownika. Ten problem jest oceniany jako Umiarkowany, ponieważ można go wykorzystać do zwiększenia możliwości bez wyraźnej zgody użytkownika.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-2497 | A-27450489 | Umiarkowany | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google wewnętrzne |
Luka umożliwiająca ujawnienie informacji w komponencie sieciowym jądra
Luka umożliwiająca ujawnienie informacji w składniku sieciowym jądra może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-4486 | A-28620102 | Umiarkowany | Wszystkie Nexusy | 3 maja 2016 |
Luka umożliwiająca ujawnienie informacji w komponencie dźwiękowym jądra
Luka umożliwiająca ujawnienie informacji w komponencie dźwięku jądra może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-4569 | A-28980557 | Umiarkowany | Wszystkie Nexusy | 9 maja 2016 |
| CVE-2016-4578 | A-28980217 Jądro nadrzędne [ 2 ] | Umiarkowany | Wszystkie Nexusy | 11 maja 2016 |
Luki w komponentach Qualcomm
Poniższa tabela zawiera luki w zabezpieczeniach dotyczące komponentów Qualcomm, w tym potencjalnie bootloadera, sterownika aparatu, sterownika znaków, sieci, sterownika dźwięku i sterownika wideo.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3854 | QC-CR#897326 | Wysoki | Nic | lut 2016 |
| CVE-2016-3855 | QC-CR#990824 | Wysoki | Nic | maj 2016 |
| CVE-2016-2060 | QC-CR#959631 | Umiarkowany | Nic | kwi 2016 |
Często zadawane pytania i odpowiedzi
W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?
Poziomy poprawek zabezpieczeń z dnia 2016-08-01 lub nowsze dotyczą wszystkich problemów związanych z poziomem ciągu poprawki zabezpieczeń 2016-08-01. Poziomy poprawek zabezpieczeń z 05.08.2016 lub nowsze rozwiązują wszystkie problemy związane z poziomem ciągu poprawek zabezpieczeń 2016-08-05. Zapoznaj się z centrum pomocy, aby uzyskać instrukcje dotyczące sprawdzania poziomu poprawki zabezpieczeń. Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawki na: [ro.build.version.security_patch]:[01.08.2016] lub [ro.build.version.security_patch]:[05.08.2016].
2. Dlaczego ten biuletyn zawiera dwa łańcuchy poziomów poprawek zabezpieczeń?
Ten biuletyn zawiera dwa łańcuchy poziomów poprawek zabezpieczeń, aby zapewnić partnerom systemu Android elastyczność umożliwiającą szybsze naprawianie podzbioru luk, które są podobne na wszystkich urządzeniach z systemem Android. Zachęcamy partnerów Androida do rozwiązywania wszystkich problemów w tym biuletynie i korzystania z najnowszego ciągu poziomów poprawek zabezpieczeń.
Urządzenia korzystające z poziomu poprawek zabezpieczeń z 5 sierpnia 2016 r. lub nowszego muszą zawierać wszystkie odpowiednie poprawki w tym (i poprzednich) biuletynach zabezpieczeń.
Urządzenia korzystające z poziomu poprawek zabezpieczeń z 1 sierpnia 2016 r. muszą zawierać wszystkie problemy związane z tym poziomem poprawek zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach zabezpieczeń. Urządzenia korzystające z poziomu poprawek zabezpieczeń 1 sierpnia 2016 mogą również zawierać podzbiór poprawek skojarzonych z poziomem poprawek zabezpieczeń 5 sierpnia 2016.
3 . Jak określić, których urządzeń Nexus dotyczy dany problem?
W sekcjach szczegółów luki w zabezpieczeniach 2016-08-01 i 2016-08-05 każda tabela zawiera kolumnę Zaktualizowane urządzenia Nexus, która obejmuje zakres urządzeń Nexus, których dotyczy problem, zaktualizowanych dla każdego problemu. Ta kolumna ma kilka opcji:
- Wszystkie urządzenia Nexus : jeśli problem dotyczy wszystkich urządzeń Nexus, w tabeli w kolumnie Zaktualizowane urządzenia Nexus pojawi się „Wszystkie Nexusy”. „Wszystkie Nexusy” obejmują następujące obsługiwane urządzenia : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player i Pixel C.
- Niektóre urządzenia Nexus : jeśli problem nie dotyczy wszystkich urządzeń Nexus, urządzenia Nexus, których dotyczy problem, są wymienione w kolumnie Zaktualizowane urządzenia Nexus .
- Brak urządzeń Nexus : jeśli problem nie dotyczy żadnych urządzeń Nexus, w kolumnie Zaktualizowane urządzenia Nexus pojawi się „Brak”.
4. Do czego odwzorowują się wpisy w kolumnie Referencje?
Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odniesienia. Te przedrostki są mapowane w następujący sposób:
| Prefiks | Odniesienie |
|---|---|
| A- | Identyfikator błędu Androida |
| Kontrola jakości- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
Rewizje
- 1 sierpnia 2016 r.: Biuletyn opublikowany.
- 2 sierpnia 2016 r.: Biuletyn zaktualizowany w celu uwzględnienia łączy AOSP.
- 16 sierpnia 2016: CVE-2016-3856 poprawiono na CVE-2016-2060 i zaktualizowano referencyjny adres URL.
- 21 października 2016: Poprawiono literówkę w CVE-2016-4486.