Dipublikasikan 01 Agustus 2016 | Diperbarui 21 Oktober 2016
Buletin Keamanan Android berisi detail kerentanan keamanan yang memengaruhi perangkat Android. Bersama dengan buletin ini, kami telah merilis update keamanan ke perangkat Nexus melalui update over-the-air (OTA). Image firmware Nexus juga telah dirilis ke situs Developer Google. Tingkat Patch Keamanan 05 Agustus 2016 atau yang lebih baru mengatasi masalah ini. Lihat dokumentasi untuk mempelajari cara memeriksa tingkat patch keamanan.
Partner diberi tahu tentang masalah yang dijelaskan dalam buletin pada 06 Juli 2016 atau sebelumnya. Jika berlaku, patch kode sumber untuk masalah ini telah dirilis ke repositori Android Open Source Project (AOSP). Buletin ini juga menyertakan link ke patch di luar AOSP.
Masalah yang paling parah adalah kerentanan keamanan Kritis yang dapat memungkinkan eksekusi kode jarak jauh di perangkat yang terpengaruh melalui beberapa metode seperti email, penjelajahan web, dan MMS saat memproses file media. Penilaian keparahan berdasarkan efek yang mungkin akan ditimbulkan oleh eksploitasi kerentanan pada perangkat yang terpengaruh, dengan asumsi mitigasi platform dan layanan dinonaktifkan untuk tujuan pengembangan atau jika berhasil diabaikan.
Kami tidak menerima laporan tentang eksploitasi atau penyalahgunaan pelanggan aktif terhadap masalah yang baru dilaporkan ini. Lihat bagian Mitigasi layanan Android dan Google untuk mengetahui detail tentang perlindungan platform keamanan Android dan perlindungan layanan seperti SafetyNet, yang meningkatkan keamanan platform Android.
Sebaiknya semua pelanggan menyetujui update ini ke perangkat mereka.
Pengumuman
- Buletin direvisi untuk mengoreksi CVE-2016-3856 menjadi CVE-2016-2060.
- Buletin ini memiliki dua string level patch keamanan untuk memberi partner
Android fleksibilitas agar dapat bergerak lebih cepat untuk memperbaiki sebagian vulnerability
yang serupa di semua perangkat Android. Lihat Jawaban untuk pertanyaan umum untuk
informasi tambahan:
- 2016-08-01: String level patch keamanan parsial. String tingkat patch keamanan ini menunjukkan bahwa semua masalah yang terkait dengan 01-08-2016 (dan semua string tingkat patch keamanan sebelumnya) telah ditangani.
- 2016-08-05: Menyelesaikan string level patch keamanan. String tingkat patch keamanan ini menunjukkan bahwa semua masalah yang terkait dengan 01-08-2016 dan 05-08-2016 (dan semua string tingkat patch keamanan sebelumnya) telah ditangani.
- Perangkat Nexus yang didukung akan menerima satu update OTA dengan level patch keamanan 05 Agustus 2016.
Mitigasi layanan Android dan Google
Ini adalah ringkasan mitigasi yang disediakan oleh platform keamanan Android dan perlindungan layanan seperti SafetyNet. Kemampuan ini mengurangi kemungkinan kerentanan keamanan dapat berhasil dieksploitasi di Android.
- Eksploitasi untuk banyak masalah di Android menjadi lebih sulit karena peningkatan pada platform Android versi yang lebih baru. Sebaiknya semua pengguna mengupdate ke versi Android terbaru jika memungkinkan.
- Tim Keamanan Android secara aktif memantau penyalahgunaan dengan Verify Apps dan SafetyNet, yang dirancang untuk memperingatkan pengguna tentang Aplikasi yang Berpotensi Membahayakan. Verifikasi Aplikasi diaktifkan secara default di perangkat dengan Layanan Seluler Google, dan sangat penting bagi pengguna yang menginstal aplikasi dari luar Google Play. Alat rooting perangkat dilarang di Google Play, tetapi Verifikasi Aplikasi memperingatkan pengguna saat mereka mencoba menginstal aplikasi rooting yang terdeteksi—terlepas dari tempat asalnya. Selain itu, Verifikasi Aplikasi mencoba mengidentifikasi dan memblokir penginstalan aplikasi berbahaya yang diketahui mengeksploitasi kerentanan escalation hak istimewa. Jika aplikasi tersebut telah diinstal, Verifikasi Aplikasi akan memberi tahu pengguna dan mencoba menghapus aplikasi yang terdeteksi.
- Sesuai kebutuhan, aplikasi Google Hangouts dan Messenger tidak otomatis meneruskan media ke proses seperti Mediaserver.
Ucapan Terima Kasih
Kami ingin mengucapkan terima kasih kepada para peneliti berikut atas kontribusi mereka:
- Abhishek Arya, Oliver Chang, dan Martin Barbella dari Tim Keamanan Google Chrome: CVE-2016-3821, CVE-2016-3837
- Adam Donenfeld et al. dari Check Point Software Technologies Ltd.: CVE-2016-2504
- Chiachih Wu (@chiachih_wu), Mingjian Zhou (@Mingjian_Zhou), dan Xuxian Jiang dari Tim C0RE: CVE-2016-3844
- Chiachih Wu (@chiachih_wu), Yuan-Tsung Lo (computernik@gmail.com), dan Xuxian Jiang dari Tim C0RE: CVE-2016-3857
- David Benjamin dan Kenny Root dari Google: CVE-2016-3840
- Dawei Peng (Vinc3nt4H) dari Tim Keamanan Seluler Alibaba: CVE-2016-3822
- Di Shen (@returnsme) dari KeenLab (@keen_lab), Tencent: CVE-2016-3842
- Dianne Hackborn dari Google: CVE-2016-2497
- Dmitry Vyukov dari tim Google Dynamic Tools: CVE-2016-3841
- Gengjia Chen (@chengjia4574), pjf (weibo.com/jfpan) dari IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-3852
- Guang Gong (龚广) (@oldfresher) dari Tim Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2016-3834
- Kai Lu (@K3vinLuSec) dari FortiGuard Labs Fortinet: CVE-2016-3820
- Kandala Shivaram reddy, DS, dan Uppi: CVE-2016-3826
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu), dan Xuxian Jiang dari Tim C0RE: CVE-2016-3823, CVE-2016-3835, CVE-2016-3824, CVE-2016-3825
- Nathan Crandall (@natecray) dari Tim Keamanan Produk Tesla Motors: CVE-2016-3847, CVE-2016-3848
- Peng Xiao, Chengming Yang, Ning You, Chao Yang, dan Yang song dari Alibaba Mobile Security Group: CVE-2016-3845
- Peter Pi (@heisecode) dari Trend Micro: CVE-2016-3849
- Qianwei Hu (rayxcp@gmail.com) dari WooYun TangLab: CVE-2016-3846
- Qidan He (@flanker_hqd) dari KeenLab (@keen_lab), Tencent: CVE-2016-3832
- Sharvil Nanavati dari Google: CVE-2016-3839
- Shinjo Park (@ad_ili_rai) dan Altaf Shaik dari Security in Telecommunications: CVE-2016-3831
- Tom Rootjunky: CVE-2016-3853
- Vasily Vasiliev: CVE-2016-3819
- Weichao Sun (@sunblate) dari Alibaba Inc.: CVE-2016-3827, CVE-2016-3828, CVE-2016-3829
- Wish Wu (吴潍浠) (@wish_wu) dari Trend Micro Inc.: CVE-2016-3843
- Yongke Wang (@Rudykewang) dari Xuanwu LAB Tencent: CVE-2016-3836
Kami ingin berterima kasih kepada Daniel Micay dari Copperhead Security, Jeff Vander Stoep, dan Yabin Cui dari Google atas kontribusi mereka dalam update tingkat platform untuk memitigasi jenis kerentanan seperti CVE-2016-3843. Mitigasi ini didasarkan pada karya Brad Spengler dari Grsecurity.
Tingkat patch keamanan 01-08-2016—Detail kerentanan keamanan
Di bagian di bawah, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku untuk tingkat patch 01-08-2016. Terdapat deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, referensi terkait, tingkat keparahan, perangkat Nexus yang diupdate, versi AOSP yang diupdate (jika berlaku), dan tanggal dilaporkan. Jika tersedia, kami akan menautkan perubahan publik yang mengatasi masalah tersebut ke ID bug, seperti daftar perubahan AOSP. Jika beberapa perubahan terkait dengan satu bug, referensi tambahan akan ditautkan ke angka yang mengikuti ID bug.
Kerentanan eksekusi kode jarak jauh di Mediaserver
Kerentanan eksekusi kode jarak jauh di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan kerusakan memori selama pemrosesan file media dan data. Masalah ini diberi rating sebagai Kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks proses Mediaserver. Proses Mediaserver memiliki akses ke streaming audio dan video, serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.
Fungsi yang terpengaruh disediakan sebagai bagian inti dari sistem operasi dan ada beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media browser.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3819 | A-28533562 | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 Mei 2016 |
| CVE-2016-3820 | A-28673410 | Kritis | Semua Nexus | 6.0, 6.0.1 | 6 Mei 2016 |
| CVE-2016-3821 | A-28166152 | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Internal Google |
Kerentanan eksekusi kode jarak jauh di libjhead
Kerentanan eksekusi kode jarak jauh di libjhead dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk mengeksekusi kode arbitrer dalam konteks proses tanpa hak istimewa. Masalah ini diberi rating Tinggi karena kemungkinan eksekusi kode jarak jauh di aplikasi yang menggunakan library ini.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3822 | A-28868315 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Internal Google |
Kerentanan elevasi hak istimewa di Mediaserver
Kerentanan peningkatan hak istimewa di Mediaserver dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks proses dengan hak istimewa. Masalah ini diberi rating Tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang ditingkatkan, yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3823 | A-28815329 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 Mei 2016 |
| CVE-2016-3824 | A-28816827 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 Mei 2016 |
| CVE-2016-3825 | A-28816964 | Tinggi | Semua Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 Mei 2016 |
| CVE-2016-3826 | A-29251553 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 Juni 2016 |
Kerentanan denial of service di Mediaserver
Kerentanan denial of service di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan perangkat hang atau mulai ulang. Masalah ini diberi rating Tinggi karena kemungkinan denial of service jarak jauh yang bersifat sementara.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3827 | A-28816956 | Tinggi | Semua Nexus | 6.0.1 | 16 Mei 2016 |
| CVE-2016-3828 | A-28835995 | Tinggi | Semua Nexus | 6.0, 6.0.1 | 17 Mei 2016 |
| CVE-2016-3829 | A-29023649 | Tinggi | Semua Nexus | 6.0, 6.0.1 | 27 Mei 2016 |
| CVE-2016-3830 | A-29153599 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Internal Google |
Kerentanan denial of service di jam sistem
Kerentanan denial of service di jam sistem dapat memungkinkan penyerang jarak jauh membuat perangkat error. Masalah ini diberi rating Tinggi karena kemungkinan denial of service jarak jauh yang bersifat sementara.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3831 | A-29083635 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 31 Mei 2016 |
Kerentanan elevasi hak istimewa di API framework
Kerentanan elevasi hak istimewa di API framework dapat memungkinkan aplikasi berbahaya lokal mengabaikan perlindungan sistem operasi yang mengisolasi data aplikasi dari aplikasi lain. Masalah ini diberi rating Sedang karena dapat digunakan untuk mendapatkan akses ke data yang berada di luar level izin aplikasi.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3832 | A-28795098 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 Mei 2016 |
Kerentanan elevasi hak istimewa di Shell
Eskalasi hak istimewa di Shell dapat memungkinkan aplikasi berbahaya lokal mengabaikan batasan perangkat seperti batasan pengguna. Masalah ini dinilai sebagai Sedang karena merupakan pengabaian izin pengguna secara lokal.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3833 | A-29189712 [2] | Sedang | Semua Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | Internal Google |
Kerentanan pengungkapan informasi di OpenSSL
Kerentanan pengungkapan informasi di OpenSSL dapat memungkinkan aplikasi berbahaya lokal mengakses data di luar tingkat izinnya. Masalah ini diberi rating Sedang karena dapat digunakan untuk mengakses data sensitif tanpa izin.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2842 | A-29060514 | Tidak ada* | Semua Nexus | 4.4.4, 5.0.2, 5.1.1 | 29 Maret 2016 |
* Perangkat Nexus yang didukung dan telah menginstal semua update yang tersedia tidak terpengaruh oleh kerentanan ini
Kerentanan pengungkapan informasi di API kamera
Kerentanan pengungkapan informasi di camera API dapat memungkinkan aplikasi jahat lokal mengakses struktur data di luar tingkat izinnya. Masalah ini diberi rating Sedang karena dapat digunakan untuk mengakses data sensitif tanpa izin.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3834 | A-28466701 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 April 2016 |
Kerentanan pengungkapan informasi di Mediaserver
Kerentanan pengungkapan informasi di Mediaserver dapat memungkinkan aplikasi berbahaya lokal mengakses data di luar tingkat izinnya. Masalah ini diberi rating Sedang karena dapat digunakan untuk mengakses data sensitif tanpa izin.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3835 | A-28920116 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 Mei 2016 |
Kerentanan pengungkapan informasi di SurfaceFlinger
Kerentanan pengungkapan informasi di layanan SurfaceFlinger dapat memungkinkan aplikasi berbahaya lokal mengakses data di luar tingkat izinnya. Masalah ini diberi rating Sedang karena dapat digunakan untuk mengakses data sensitif tanpa izin pengguna yang eksplisit.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3836 | A-28592402 | Sedang | Semua Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 Mei 2016 |
Kerentanan pengungkapan informasi di Wi-Fi
Kerentanan pengungkapan informasi di Wi-Fi dapat memungkinkan aplikasi berbahaya lokal mengakses data di luar tingkat izinnya. Masalah ini diberi rating Sedang karena dapat digunakan untuk mengakses data sensitif tanpa izin.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3837 | A-28164077 | Sedang | Semua Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | Internal Google |
Kerentanan denial of service di UI sistem
Kerentanan denial of service di UI sistem dapat memungkinkan aplikasi malicious lokal mencegah panggilan 911 dari layar terkunci. Masalah ini dinilai sebagai Sedang karena kemungkinan denial of service pada fungsi penting.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3838 | A-28761672 | Sedang | Semua Nexus | 6.0, 6.0.1 | Internal Google |
Kerentanan denial of service di Bluetooth
Kerentanan denial of service di Bluetooth dapat memungkinkan aplikasi berbahaya lokal mencegah panggilan 911 dari perangkat Bluetooth. Masalah ini diberi rating sebagai Sedang karena kemungkinan terjadinya denial of service pada fungsi penting.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3839 | A-28885210 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Internal Google |
Tingkat patch keamanan 05-08-2016—Detail kerentanan
Di bagian di bawah, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku untuk tingkat patch 05-08-2016. Terdapat deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, referensi terkait, tingkat keparahan, perangkat Nexus yang diupdate, versi AOSP yang diupdate (jika berlaku), dan tanggal dilaporkan. Jika tersedia, kami akan menautkan perubahan publik yang mengatasi masalah tersebut ke ID bug, seperti daftar perubahan AOSP. Jika beberapa perubahan terkait dengan satu bug, referensi tambahan akan ditautkan ke angka setelah ID bug.
Kerentanan eksekusi kode jarak jauh di driver Wi-Fi Qualcomm
Kerentanan eksekusi kode jarak jauh di driver Wi-Fi Qualcomm dapat memungkinkan penyerang jarak jauh mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Kritis karena kemungkinan adanya kompromi perangkat lokal yang permanen.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2014-9902 | A-28668638 | Kritis | Nexus 7 (2013) | 31 Maret 2014 |
Kerentanan eksekusi kode jarak jauh di Conscrypt
Kerentanan eksekusi kode jarak jauh di Conscrypt dapat memungkinkan penyerang jarak jauh mengeksekusi kode arbitrer dalam konteks proses dengan hak istimewa. Masalah ini diberi rating sebagai Kritis karena kemungkinan adanya eksekusi kode jarak jauh.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3840 | A-28751153 | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Internal Google |
Kerentanan elevasi hak istimewa dalam komponen Qualcomm
Tabel di bawah berisi kerentanan keamanan yang memengaruhi komponen Qualcomm, yang berpotensi mencakup bootloader, driver kamera, drive karakter, jaringan, driver suara, dan driver video.
Masalah yang paling parah dari masalah ini diberi rating sebagai Kritis karena kemungkinan bahwa aplikasi berbahaya lokal dapat mengeksekusi kode arbitrer dalam konteks kernel yang menyebabkan kompromi perangkat permanen lokal, yang mungkin memerlukan flash ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2014-9863 | A-28768146 | Kritis | Nexus 5, Nexus 7 (2013) | 30 April 2014 |
| CVE-2014-9864 | A-28747998 | Tinggi | Nexus 5, Nexus 7 (2013) | 27 Maret 2014 |
| CVE-2014-9865 | A-28748271 | Tinggi | Nexus 5, Nexus 7 (2013) | 27 Maret 2014 |
| CVE-2014-9866 | A-28747684 | Tinggi | Nexus 5, Nexus 7 (2013) | 31 Maret 2014 |
| CVE-2014-9867 | A-28749629 | Tinggi | Nexus 5, Nexus 7 (2013) | 31 Maret 2014 |
| CVE-2014-9868 | A-28749721 | Tinggi | Nexus 5, Nexus 7 (2013) | 31 Maret 2014 |
| CVE-2014-9869 | A-28749728 | Tinggi | Nexus 5, Nexus 7 (2013) | 31 Maret 2014 |
| CVE-2014-9870 | A-28749743 | Tinggi | Nexus 5, Nexus 7 (2013) | 31 Maret 2014 |
| CVE-2014-9871 | A-28749803 | Tinggi | Nexus 5, Nexus 7 (2013) | 31 Maret 2014 |
| CVE-2014-9872 | A-28750155 | Tinggi | Nexus 5 | 31 Maret 2014 |
| CVE-2014-9873 | A-28750726 | Tinggi | Nexus 5, Nexus 7 (2013) | 31 Maret 2014 |
| CVE-2014-9874 | A-28751152 | Tinggi | Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 31 Maret 2014 |
| CVE-2014-9875 | A-28767589 | Tinggi | Nexus 7 (2013) | 30 April 2014 |
| CVE-2014-9876 | A-28767796 | Tinggi | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 30 April 2014 |
| CVE-2014-9877 | A-28768281 | Tinggi | Nexus 5, Nexus 7 (2013) | 30 April 2014 |
| CVE-2014-9878 | A-28769208 | Tinggi | Nexus 5 | 30 April 2014 |
| CVE-2014-9879 | A-28769221 | Tinggi | Nexus 5 | 30 April 2014 |
| CVE-2014-9880 | A-28769352 | Tinggi | Nexus 7 (2013) | 30 April 2014 |
| CVE-2014-9881 | A-28769368 | Tinggi | Nexus 7 (2013) | 30 April 2014 |
| CVE-2014-9882 | A-28769546 | Tinggi | Nexus 7 (2013) | 30 April 2014 |
| CVE-2014-9883 | A-28769912 | Tinggi | Nexus 5, Nexus 7 (2013) | 30 April 2014 |
| CVE-2014-9884 | A-28769920 | Tinggi | Nexus 5, Nexus 7 (2013) | 30 April 2014 |
| CVE-2014-9885 | A-28769959 | Tinggi | Nexus 5 | 30 April 2014 |
| CVE-2014-9886 | A-28815575 | Tinggi | Nexus 5, Nexus 7 (2013) | 30 April 2014 |
| CVE-2014-9887 | A-28804057 | Tinggi | Nexus 5, Nexus 7 (2013) | 3 Juli 2014 |
| CVE-2014-9888 | A-28803642 | Tinggi | Nexus 5, Nexus 7 (2013) | 29 Agustus 2014 |
| CVE-2014-9889 | A-28803645 | Tinggi | Nexus 5 | 31 Oktober 2014 |
| CVE-2015-8937 | A-28803962 | Tinggi | Nexus 5, Nexus 6, Nexus 7 (2013) | 31 Maret 2015 |
| CVE-2015-8938 | A-28804030 | Tinggi | Nexus 6 | 31 Maret 2015 |
| CVE-2015-8939 | A-28398884 | Tinggi | Nexus 7 (2013) | 30 April 2015 |
| CVE-2015-8940 | A-28813987 | Tinggi | Nexus 6 | 30 April 2015 |
| CVE-2015-8941 | A-28814502 | Tinggi | Nexus 6, Nexus 7 (2013) | 29 Mei 2015 |
| CVE-2015-8942 | A-28814652 | Tinggi | Nexus 6 | 30 Juni 2015 |
| CVE-2015-8943 | A-28815158 | Tinggi | Nexus 5 | 11 September 2015 |
| CVE-2014-9891 | A-28749283 | Sedang | Nexus 5 | 13 Maret 2014 |
| CVE-2014-9890 | A-28770207 | Sedang | Nexus 5, Nexus 7 (2013) | 2 Juni 2014 |
Kerentanan elevasi hak istimewa dalam komponen jaringan kernel
Kerentanan peningkatan hak istimewa dalam komponen jaringan kernel dapat memungkinkan aplikasi berbahaya lokal menjalankan kode arbitrer dalam konteks kernel. Masalah ini diberi rating Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2015-2686 | A-28759139 | Kritis | Semua Nexus | 23 Mar 2015 |
| CVE-2016-3841 | A-28746669 | Kritis | Semua Nexus | 3 Desember 2015 |
Kerentanan elevasi hak istimewa di driver GPU Qualcomm
Kerentanan peningkatan hak istimewa di driver GPU Qualcomm dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Kritis karena kemungkinan adanya compromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2504 | A-28026365
QC-CR#1002974 |
Kritis | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 5 April 2016 |
| CVE-2016-3842 | A-28377352
QC-CR#1002974 |
Kritis | Nexus 5X, Nexus 6, Nexus 6P | 25 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan elevasi hak istimewa dalam komponen performa Qualcomm
Kerentanan elevasi hak istimewa di komponen performa Qualcomm dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
Catatan: Ada juga update tingkat platform dalam buletin ini di bagian A-29119870 yang dirancang untuk mengurangi jenis kerentanan ini.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3843 | A-28086229*
QC-CR#1011071 |
Kritis | Nexus 5X, Nexus 6P | 7 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan elevasi hak istimewa di kernel
Kerentanan eskalasi hak istimewa di kernel dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Kritis karena kemungkinan adanya compromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3857 | A-28522518* | Kritis | Nexus 7 (2013) | 2 Mei 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan elevasi hak istimewa di sistem memori kernel
Kerentanan eskalasi hak istimewa dalam sistem memori kernel dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2015-1593 | A-29577822 | Tinggi | Nexus Player | 13 Februari 2015 |
| CVE-2016-3672 | A-28763575 | Tinggi | Nexus Player | 25 Mar 2016 |
Kerentanan elevasi hak istimewa di komponen suara kernel
Kerentanan peningkatan hak istimewa dalam komponen suara kernel dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2544 | A-28695438 | Tinggi | Semua Nexus | 19 Jan 2016 |
| CVE-2016-2546 | A-28694392 | Tinggi | Pixel C | 19 Jan 2016 |
| CVE-2014-9904 | A-28592007 | Tinggi | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player | 4 Mei 2016 |
Kerentanan elevasi hak istimewa dalam sistem file kernel
Kerentanan elevasi hak istimewa dalam sistem file kernel dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2012-6701 | A-28939037 | Tinggi | Nexus 5, Nexus 7 (2013) | 2 Maret 2016 |
Kerentanan elevasi hak istimewa di Mediaserver
Kerentanan peningkatan hak istimewa di Mediaserver dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks proses dengan hak istimewa. Masalah ini diberi rating Tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang ditingkatkan, yang tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3844 | A-28299517*
N-CVE-2016-3844 |
Tinggi | Nexus 9, Pixel C | 19 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan elevasi hak istimewa di driver video kernel
Kerentanan peningkatan hak istimewa di driver video kernel dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3845 | A-28399876* | Tinggi | Nexus 5 | 20 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan elevasi hak istimewa di driver Serial Peripheral Interface
Kerentanan peningkatan hak istimewa dalam driver Serial Peripheral Interface dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3846 | A-28817378* | Tinggi | Nexus 5X, Nexus 6P | 17 Mei 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan elevasi hak istimewa di driver media NVIDIA
Kerentanan peningkatan hak istimewa di driver media NVIDIA dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3847 | A-28871433*
N-CVE-2016-3847 |
Tinggi | Nexus 9 | 19 Mei 2016 |
| CVE-2016-3848 | A-28919417*
N-CVE-2016-3848 |
Tinggi | Nexus 9 | 19 Mei 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan elevasi hak istimewa di driver ION
Kerentanan peningkatan hak istimewa di driver ION dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3849 | A-28939740 | Tinggi | Pixel C | 24 Mei 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Elevasi kerentanan hak istimewa di bootloader Qualcomm
Kerentanan peningkatan hak istimewa di bootloader Qualcomm dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3850 | A-27917291 | Tinggi | Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 28 Mar 2016 |
Kerentanan elevasi hak istimewa di subsistem performa kernel
Kerentanan peningkatan hak istimewa di subsistem performa kernel dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena platform serangan kernel tersedia untuk dieksploitasi oleh penyerang.
Catatan: Ini adalah update tingkat platform yang dirancang untuk memitigasi serangkaian kerentanan seperti CVE-2016-3843 (A-28086229).
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3843 | A-29119870* | Tinggi | Semua Nexus | 6.0, 6.1 | Internal Google |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan elevasi hak istimewa di bootloader LG Electronics
Kerentanan peningkatan hak istimewa di bootloader LG Electronics dapat memungkinkan penyerang mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi terhadap proses berhak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3851 | A-29189941* | Tinggi | Nexus 5X | Internal Google |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan pengungkapan informasi dalam komponen Qualcomm
Tabel di bawah berisi kerentanan keamanan yang memengaruhi komponen Qualcomm, yang berpotensi mencakup bootloader, driver kamera, driver karakter, jaringan, driver suara, dan driver video.
Masalah yang paling parah dari masalah ini diberi rating Tinggi karena kemungkinan aplikasi berbahaya lokal dapat mengakses data di luar tingkat izinnya seperti data sensitif tanpa izin pengguna yang eksplisit.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2014-9892 | A-28770164 | Tinggi | Nexus 5, Nexus 7 (2013) | 2 Juni 2014 |
| CVE-2015-8944 | A-28814213 | Tinggi | Nexus 6, Nexus 7 (2013) | 30 April 2015 |
| CVE-2014-9893 | A-28747914 | Sedang | Nexus 5 | 27 Maret 2014 |
| CVE-2014-9894 | A-28749708 | Sedang | Nexus 7 (2013) | 31 Maret 2014 |
| CVE-2014-9895 | A-28750150 | Sedang | Nexus 5, Nexus 7 (2013) | 31 Maret 2014 |
| CVE-2014-9896 | A-28767593 | Sedang | Nexus 5, Nexus 7 (2013) | 30 April 2014 |
| CVE-2014-9897 | A-28769856 | Sedang | Nexus 5 | 30 April 2014 |
| CVE-2014-9898 | A-28814690 | Sedang | Nexus 5, Nexus 7 (2013) | 30 April 2014 |
| CVE-2014-9899 | A-28803909 | Sedang | Nexus 5 | 3 Juli 2014 |
| CVE-2014-9900 | A-28803952 | Sedang | Nexus 5, Nexus 7 (2013) | 8 Agustus 2014 |
Kerentanan pengungkapan informasi di penjadwal kernel
Kerentanan pengungkapan informasi di penjadwal kernel dapat memungkinkan aplikasi berbahaya lokal mengakses data di luar tingkat izinnya. Masalah ini diberi rating Tinggi karena dapat digunakan untuk mengakses data sensitif tanpa izin pengguna yang eksplisit.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2014-9903 | A-28731691 | Tinggi | Nexus 5X, Nexus 6P | 21 Februari 2014 |
Kerentanan pengungkapan informasi di driver Wi-Fi MediaTek (khusus perangkat)
Kerentanan pengungkapan informasi di driver Wi-Fi MediaTek dapat memungkinkan aplikasi berbahaya lokal mengakses data di luar tingkat izinnya. Masalah ini diberi rating Tinggi karena dapat digunakan untuk mengakses data sensitif tanpa izin pengguna yang eksplisit.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3852 | A-29141147*
M-ALPS02751738 |
Tinggi | Android One | 12 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan pengungkapan informasi di driver USB
Kerentanan pengungkapan informasi di driver USB dapat memungkinkan aplikasi berbahaya lokal mengakses data di luar tingkat izinnya. Masalah ini diberi rating Tinggi karena dapat digunakan untuk mengakses data sensitif tanpa izin pengguna yang eksplisit.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-4482 | A-28619695 | Tinggi | Semua Nexus | 3 Mei 2016 |
Kerentanan denial of service di komponen Qualcomm
Tabel di bawah berisi kerentanan keamanan yang memengaruhi komponen Qualcomm, yang berpotensi mencakup driver Wi-Fi.
Masalah yang paling parah dari masalah ini diberi rating Tinggi karena kemungkinan penyerang dapat menyebabkan denial of service jarak jauh sementara yang menyebabkan perangkat hang atau mulai ulang.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2014-9901 | A-28670333 | Tinggi | Nexus 7 (2013) | 31 Maret 2014 |
Kerentanan elevasi hak istimewa di layanan Google Play
Kerentanan peningkatan hak istimewa di layanan Google Play dapat memungkinkan penyerang lokal mengabaikan Perlindungan Reset Pabrik dan mendapatkan akses ke perangkat. Hal ini diberi rating Sedang karena kemungkinan mengabaikan Perlindungan Reset ke Setelan Pabrik, yang dapat menyebabkan perangkat berhasil direset dan menghapus semua datanya.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3853 | A-26803208* | Sedang | Semua Nexus | Tidak ada | 4 Mei 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan elevasi hak istimewa di Framework API
Kerentanan elevasi hak istimewa di API framework dapat memungkinkan aplikasi yang diprainstal untuk meningkatkan prioritas filter intent-nya saat aplikasi diupdate tanpa pemberitahuan kepada pengguna. Masalah ini dinilai sebagai Sedang karena dapat digunakan untuk mendapatkan kemampuan yang ditingkatkan tanpa izin pengguna yang eksplisit.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2497 | A-27450489 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Internal Google |
Kerentanan pengungkapan informasi dalam komponen jaringan kernel
Kerentanan pengungkapan informasi di komponen jaringan kernel dapat memungkinkan aplikasi berbahaya lokal mengakses data di luar tingkat izinnya. Masalah ini diberi rating Sedang karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-4486 | A-28620102 | Sedang | Semua Nexus | 3 Mei 2016 |
Kerentanan pengungkapan informasi dalam komponen suara kernel
Kerentanan pengungkapan informasi di komponen suara kernel dapat memungkinkan aplikasi berbahaya lokal mengakses data di luar tingkat izinnya. Masalah ini diberi rating Sedang karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-4569 | A-28980557 | Sedang | Semua Nexus | 9 Mei 2016 |
| CVE-2016-4578 | A-28980217 | Sedang | Semua Nexus | 11 Mei 2016 |
Kerentanan dalam komponen Qualcomm
Tabel di bawah berisi kerentanan keamanan yang memengaruhi komponen Qualcomm, yang berpotensi mencakup bootloader, driver kamera, driver karakter, jaringan, driver suara, dan driver video.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3854 | QC-CR#897326 | Tinggi | Tidak ada | Feb 2016 |
| CVE-2016-3855 | QC-CR#990824 | Tinggi | Tidak ada | Mei 2016 |
| CVE-2016-2060 | QC-CR#959631 | Sedang | Tidak ada | Apr 2016 |
Pertanyaan Umum dan Jawaban
Bagian ini menjawab pertanyaan umum yang mungkin muncul setelah membaca berita ini.
1. Bagaimana cara menentukan apakah perangkat saya telah diupdate untuk menyelesaikan masalah ini?
Tingkat Patch Keamanan 01-08-2016 atau yang lebih baru mengatasi semua masalah yang terkait dengan tingkat string patch keamanan 01-08-2016. Tingkat Patch Keamanan 05-08-2016 atau yang lebih baru mengatasi semua masalah yang terkait dengan tingkat string patch keamanan 05-08-2016. Lihat pusat bantuan untuk mengetahui petunjuk cara memeriksa tingkat patch keamanan. Produsen perangkat yang menyertakan update ini harus menetapkan level string patch ke: [ro.build.version.security_patch]:[2016-08-01] atau [ro.build.version.security_patch]:[2016-08-05].
2. Mengapa buletin ini memiliki dua string level patch keamanan?
Buletin ini memiliki dua string tingkat patch keamanan untuk memberi partner Android fleksibilitas agar dapat bergerak lebih cepat untuk memperbaiki sebagian vulnerability yang serupa di semua perangkat Android. Partner Android dianjurkan untuk memperbaiki semua masalah dalam buletin ini dan menggunakan string level patch keamanan terbaru.
Perangkat yang menggunakan tingkat patch keamanan 5 Agustus 2016 atau yang lebih baru harus menyertakan semua patch yang berlaku dalam buletin keamanan ini (dan sebelumnya).
Perangkat yang menggunakan tingkat patch keamanan 1 Agustus 2016 harus menyertakan semua masalah yang terkait dengan tingkat patch keamanan tersebut, serta perbaikan untuk semua masalah yang dilaporkan dalam buletin keamanan sebelumnya. Perangkat yang menggunakan level patch keamanan 1 Agustus 2016 juga dapat menyertakan subset perbaikan yang terkait dengan level patch keamanan 5 Agustus 2016.
3. Bagaimana cara menentukan perangkat Nexus mana yang terpengaruh oleh setiap masalah?
Di bagian detail kerentanan keamanan 01-08-2016 dan 05-08-2016, setiap tabel memiliki kolom Perangkat Nexus yang diupdate yang mencakup rentang perangkat Nexus yang terpengaruh dan diupdate untuk setiap masalah. Kolom ini memiliki beberapa opsi:
- Semua perangkat Nexus: Jika masalah memengaruhi semua perangkat Nexus, tabel akan menampilkan “Semua Nexus” di kolom Perangkat Nexus yang diupdate. “Semua Nexus” mengenkapsulasi perangkat yang didukung berikut: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, dan Pixel C.
- Beberapa perangkat Nexus: Jika masalah tidak memengaruhi semua perangkat Nexus, perangkat Nexus yang terpengaruh akan tercantum di kolom Perangkat Nexus yang diupdate.
- Tidak ada perangkat Nexus: Jika tidak ada perangkat Nexus yang terpengaruh oleh masalah, tabel akan menampilkan “Tidak ada” di kolom Perangkat Nexus yang diupdate.
4. Apa yang dipetakan oleh entri di kolom referensi?
Entri di kolom Referensi pada tabel detail kerentanan dapat berisi awalan yang mengidentifikasi organisasi tempat nilai referensi berada. Awalan ini dipetakan sebagai berikut:
| Awalan | Referensi |
|---|---|
| A- | ID bug Android |
| QC- | Nomor referensi Qualcomm |
| M- | Nomor referensi MediaTek |
| N- | Nomor referensi NVIDIA |
Revisi
- 01 Agustus 2016: Buletin diterbitkan.
- 02 Agustus 2016: Buletin direvisi untuk menyertakan link AOSP.
- 16 Agustus 2016: CVE-2016-3856 dikoreksi menjadi CVE-2016-2060 dan memperbarui URL referensi.
- 21 Oktober 2016: Kesalahan ketik di CVE-2016-4486 telah diperbaiki.