Veröffentlicht am 06.09.2016 | Aktualisiert am 12. September 2016
Das Android Security Bulletin enthält Details zu Sicherheitslücken, die Android-Geräte betreffen. Neben dem Bulletin haben wir ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Site veröffentlicht. Sicherheits-Patch-Levels vom 6. September 2016 oder später beheben diese Probleme. Lesen Sie die Dokumentation , um zu erfahren, wie Sie den Sicherheits-Patch-Level überprüfen. Unterstützte Nexus-Geräte erhalten ein einzelnes OTA-Update mit dem Sicherheitspatch vom 6. September 2016.
Partner wurden am 5. August 2016 oder früher über die im Bulletin beschriebenen Probleme benachrichtigt. Wo zutreffend, wurden Quellcode-Patches für diese Probleme im Repository des Android Open Source Project (AOSP) veröffentlicht. Dieses Bulletin enthält auch Links zu Patches außerhalb von AOSP.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät durch mehrere Methoden wie E-Mail, Webbrowsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstmitigationen werden zu Entwicklungszwecken deaktiviert oder erfolgreich umgangen.
Wir haben keine Berichte über aktive Ausbeutung oder Missbrauch dieser neu gemeldeten Probleme durch Kunden erhalten. Einzelheiten zum Schutz der Android-Sicherheitsplattform und zum Schutz von Diensten wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Schadensbegrenzung für Android- und Google-Dienste .
Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.
Ankündigungen
- Dieses Bulletin enthält drei Sicherheits-Patch-Level-Strings, um Android-Partnern die Flexibilität zu geben, schneller vorzugehen, um eine Teilmenge von Schwachstellen zu beheben, die auf allen Android-Geräten ähnlich sind. Weitere Informationen finden Sie unter Häufige Fragen und Antworten :
- 01.09.2016 : Teilweise Sicherheits-Patch-Level-String. Diese Sicherheits-Patch-Level-Zeichenfolge gibt an, dass alle Probleme im Zusammenhang mit 2016-09-01 (und allen vorherigen Sicherheits-Patch-Level-Zeichenfolgen) behoben wurden.
- 2016-09-05 : Partielle Sicherheits-Patch-Level-Zeichenfolge. Diese Sicherheits-Patch-Level-Zeichenfolge gibt an, dass alle Probleme im Zusammenhang mit 2016-09-01 und 2016-09-05 (und allen vorherigen Sicherheits-Patch-Level-Zeichenfolgen) behoben wurden.
- 2016-09-06 : Vollständige Sicherheitspatch-Level-Zeichenfolge, die Probleme behebt, die entdeckt wurden, nachdem Partner über die meisten Probleme in diesem Bulletin informiert wurden. Diese Sicherheitspatch-Level-Zeichenfolge gibt an, dass alle Probleme im Zusammenhang mit 2016-09-01, 2016-09-05 und 2016-09-06 (und allen vorherigen Sicherheitspatch-Level-Zeichenfolgen) behoben wurden.
- Unterstützte Nexus-Geräte erhalten ein einzelnes OTA-Update mit dem Sicherheitspatch vom 6. September 2016.
Minderungen für Android- und Google-Dienste
Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bereitgestellten Risikominderungen. Diese Fähigkeiten verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden könnten.
- Die Nutzung für viele Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
- Das Android-Sicherheitsteam überwacht aktiv auf Missbrauch mit Verify Apps und SafetyNet , die entwickelt wurden, um Benutzer vor potenziell schädlichen Anwendungen zu warnen. Apps überprüfen ist standardmäßig auf Geräten mit Google Mobile Services aktiviert und ist besonders wichtig für Benutzer, die Anwendungen von außerhalb von Google Play installieren. Geräte-Rooting-Tools sind in Google Play verboten, aber Verify Apps warnt Benutzer, wenn sie versuchen, eine erkannte Rooting-Anwendung zu installieren – unabhängig davon, woher sie stammt. Darüber hinaus versucht Verify Apps, die Installation bekannter bösartiger Anwendungen zu identifizieren und zu blockieren, die eine Schwachstelle bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, die erkannte Anwendung zu entfernen.
- Entsprechend übergeben Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie Mediaserver.
Danksagungen
Wir möchten diesen Forschern für ihre Beiträge danken:
- Cory Pruce von der Carnegie Mellon University: CVE-2016-3897
- Gengjia Chen ( @chengjia4574 ) und pjf von IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-3869, CVE-2016-3865, CVE-2016-3866, CVE-2016-3867
- Hao Qin vom Security Research Lab, Cheetah Mobile : CVE-2016-3863
- Jann Horn von Google Project Zero: CVE-2016-3885
- Jianqiang Zhao ( @jianqiangzhao ) und pjf von IceSword Lab, Qihoo 360: CVE-2016-3858
- Joshua Drake ( @jduck ): CVE-2016-3861
- Madhu Priya Murugan von CISPA, Universität des Saarlandes: CVE-2016-3896
- Makoto Onuki von Google: CVE-2016-3876
- Marke von Google Project Zero: CVE-2016-3861
- Max Spector von Android Security: CVE-2016-3888
- Max Spector und Quan To von Android Security: CVE-2016-3889
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team : CVE-2016-3895
- Nathan Crandall ( @natecray ) vom Produktsicherheitsteam von Tesla Motors: Entdeckung zusätzlicher Probleme im Zusammenhang mit CVE-2016-2446
- Oleksiy Vyalov von Google: CVE-2016-3890
- Oliver Chang vom Google Chrome-Sicherheitsteam: CVE-2016-3880
- Peng Xiao, Chengming Yang, Ning You, Chao Yang und Yang Song von Alibaba Mobile Security Group: CVE-2016-3859
- Ronald L. Loor Vargas ( @loor_rlv ) von TEAM Lv51: CVE-2016-3886
- Sagi Kedmi, IBM Security X-Force-Forscher: CVE-2016-3873
- Scott Bauer ( @ScottyBauer1 ): CVE-2016-3893, CVE-2016-3868, CVE-2016-3867
- Seven Shen ( @lingtongshen ) von TrendMicro: CVE-2016-3894
- Tim Strazzere ( @timstrazz ) von SentinelOne / RedNaga: CVE-2016-3862
- trotmaster ( @trotmaster99 ): CVE-2016-3883
- Victor Chang von Google: CVE-2016-3887
- Vignesh Venkatasubramanian von Google: CVE-2016-3881
- Weichao Sun ( @sunblate ) von Alibaba Inc: CVE-2016-3878
- Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team : CVE-2016-3870, CVE-2016-3871, CVE-2016-3872
- Wish Wu (吴潍浠) ( @wish_wu ) von Trend Micro Inc .: CVE-2016-3892
- Xingyu He (何星宇) ( @Spid3r_ ) von Alibaba Inc : CVE-2016-3879
- Yacong Gu vom TCA Lab, Institut für Software, Chinesische Akademie der Wissenschaften: CVE-2016-3884
- Yuru Shao von der University of Michigan Ann Arbor: CVE-2016-3898
2016-09-01 Sicherheits-Patch-Level – Details zu Sicherheitsschwachstellen
In den folgenden Abschnitten stellen wir Details zu allen Sicherheitsschwachstellen bereit, die für das Patch-Level 2016-09-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, den zugehörigen Referenzen, dem Schweregrad, aktualisierten Nexus-Geräten, aktualisierten AOSP-Versionen (falls zutreffend) und dem gemeldeten Datum. Wenn verfügbar, werden wir die öffentliche Änderung, die das Problem behebt, mit der Fehler-ID verknüpfen, wie die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen mit Nummern nach der Fehler-ID verknüpft.
Schwachstelle bezüglich Remotecodeausführung in LibUtils
Eine Schwachstelle bezüglich Remotecodeausführung in LibUtils könnte es einem Angreifer ermöglichen, mithilfe einer speziell gestalteten Datei beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung in Anwendungen, die diese Bibliothek verwenden, als Kritisch eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-3861 | A-29250543 [ 2 ] [ 3 ] [ 4 ] | Kritisch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 9. Juni 2016 |
Schwachstelle bezüglich Remotecodeausführung in Mediaserver
Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Mediaserver könnte es einem Angreifer ermöglichen, mithilfe einer speziell gestalteten Datei während der Mediendatei- und Datenverarbeitung eine Speicherbeschädigung zu verursachen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Prozesses als kritisch eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-3862 | A-29270469 | Kritisch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10. Juni 2016 |
Schwachstelle bezüglich Remotecodeausführung in MediaMuxer
Eine Schwachstelle bezüglich Remotecodeausführung in MediaMuxer könnte es einem Angreifer ermöglichen, mithilfe einer speziell gestalteten Datei beliebigen Code im Kontext eines nicht privilegierten Prozesses auszuführen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung in einer Anwendung, die MediaMuxer verwendet, als Hoch eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-3863 | A-29161888 | Hoch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 6. Juni 2016 |
Sicherheitslücke bezüglich Erhöhung von Berechtigungen in Mediaserver
Eine Schwachstelle bezüglich Rechteerweiterungen in Mediaserver könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als Hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieteranwendung normalerweise nicht zugreifen kann.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-3870 | A-29421804 | Hoch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15. Juni 2016 |
| CVE-2016-3871 | A-29422022 [ 2 ] [ 3 ] | Hoch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15. Juni 2016 |
| CVE-2016-3872 | A-29421675 [ 2 ] | Hoch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15. Juni 2016 |
Schwachstelle bezüglich Erhöhung von Berechtigungen beim Gerätestart
Eine Erhöhung der Berechtigungen während der Startsequenz könnte es einem lokalen böswilligen Angreifer ermöglichen, im abgesicherten Modus zu starten, obwohl dieser deaktiviert ist. Dieses Problem wird als Hoch eingestuft, da es sich um eine lokale Umgehung der Benutzerinteraktionsanforderungen für Änderungen von Entwickler- oder Sicherheitseinstellungen handelt.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-3875 | A-26251884 | Hoch | Keiner* | 6.0, 6.0.1 | Google-intern |
* Unterstützte Nexus-Geräte auf Android 7.0, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in den Einstellungen
Eine Rechteerweiterung in den Einstellungen könnte es einem lokalen böswilligen Angreifer ermöglichen, im abgesicherten Modus zu starten, obwohl dieser deaktiviert ist. Dieses Problem wird als Hoch eingestuft, da es sich um eine lokale Umgehung der Benutzerinteraktionsanforderungen für Änderungen von Entwickler- oder Sicherheitseinstellungen handelt.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-3876 | A-29900345 | Hoch | Alles Nexus | 6.0, 6.0.1, 7.0 | Google-intern |
Denial-of-Service-Schwachstelle in Mediaserver
Eine Denial-of-Service-Schwachstelle in Mediaserver könnte es einem Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um ein Gerät hängen zu lassen oder neu zu starten. Dieses Problem wird aufgrund der Möglichkeit von Remote-Denial-of-Service als Hoch eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-3899 | A-29421811 | Hoch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 16. Juni 2016 |
| CVE-2016-3878 | A-29493002 | Hoch | Alle Nexus* | 6.0, 6.0.1 | 17. Juni 2016 |
| CVE-2016-3879 | A-29770686 | Hoch | Alle Nexus* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25. Juni 2016 |
| CVE-2016-3880 | A-25747670 | Hoch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | Google-intern |
| CVE-2016-3881 | A-30013856 | Hoch | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | Google-intern |
* Unterstützte Nexus-Geräte auf Android 7.0, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in der Telefonie
Eine Schwachstelle bezüglich Rechteerweiterungen in der Telefonie-Komponente könnte es einer lokalen bösartigen Anwendung ermöglichen, nicht autorisierte Premium-SMS-Nachrichten zu senden. Dieses Problem wird als moderat eingestuft, da es dazu verwendet werden könnte, erweiterte Funktionen ohne ausdrückliche Benutzererlaubnis zu erhalten.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-3883 | A-28557603 | Mäßig | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 3. Mai 2016 |
Schwachstelle bezüglich Erhöhung von Berechtigungen im Notification Manager-Dienst
Eine Schwachstelle bezüglich Rechteerweiterungen im Notification Manager-Dienst könnte es einer lokalen schädlichen Anwendung ermöglichen, Betriebssystemschutzmaßnahmen zu umgehen, die Anwendungsdaten von anderen Anwendungen isolieren. Dieses Problem wird als mäßig eingestuft, da es sich um eine lokale Umgehung von Benutzerinteraktionsanforderungen handelt, z. B. Zugriff auf Funktionen, die normalerweise entweder eine Benutzerinitiierung oder eine Benutzerberechtigung erfordern würden.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-3884 | A-29421441 | Mäßig | Alles Nexus | 6.0, 6.0.1, 7.0 | 15. Juni 2016 |
Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in Debuggerd
Eine Elevation-of-Privilege-Schwachstelle im integrierten Android-Debugger könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Android-Debuggers auszuführen. Dieses Problem wird aufgrund der Möglichkeit der lokalen Ausführung von beliebigem Code in einem privilegierten Prozess als mittlerer Schweregrad eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-3885 | A-29555636 | Mäßig | Alles Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 21. Juni 2016 |
Schwachstelle bezüglich Erhöhung von Berechtigungen in System UI Tuner
Eine Rechteerweiterung im System UI Tuner könnte es einem böswilligen lokalen Benutzer ermöglichen, geschützte Einstellungen zu ändern, wenn ein Gerät gesperrt ist. Dieses Problem wird als mäßig eingestuft, da es sich um eine lokale Umgehung von Benutzerberechtigungen handelt.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-3886 | A-30107438 | Mäßig | Alles Nexus | 7.0 | 23. Juni 2016 |
Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in den Einstellungen
Eine Schwachstelle bezüglich Rechteerweiterungen in den Einstellungen könnte es einer lokalen bösartigen Anwendung ermöglichen, den Schutz des Betriebssystems für VPN-Einstellungen zu umgehen. Dieses Problem wird als mäßig eingestuft, da es dazu verwendet werden könnte, Zugriff auf Daten zu erhalten, die außerhalb der Berechtigungsstufen der Anwendung liegen.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-3887 | A-29899712 | Mäßig | Alles Nexus | 7.0 | Google-intern |
Elevation of Privilege-Schwachstelle in SMS
Eine Schwachstelle bezüglich Rechteerweiterungen in SMS könnte es einem lokalen Angreifer ermöglichen, Premium-SMS-Nachrichten zu senden, bevor das Gerät bereitgestellt wird. Dies wird aufgrund der Möglichkeit, den Factory Reset Protection zu umgehen, der verhindern soll, dass das Gerät verwendet wird, bevor es eingerichtet ist, als moderat bewertet.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-3888 | A-29420123 | Mäßig | Alles Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | Google-intern |
Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in den Einstellungen
Eine Schwachstelle bezüglich Rechteerweiterungen in den Einstellungen könnte es einem lokalen Angreifer ermöglichen, den Schutz vor dem Zurücksetzen auf die Werkseinstellungen zu umgehen und Zugriff auf das Gerät zu erlangen. Dies wird aufgrund der Möglichkeit, den Factory Reset Protection zu umgehen, als moderat eingestuft, was dazu führen könnte, dass das Gerät erfolgreich zurückgesetzt und alle seine Daten gelöscht werden.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-3889 | A-29194585 [ 2 ] | Mäßig | Alles Nexus | 6.0, 6.0.1, 7.0 | Google-intern |
Schwachstelle bezüglich Erhöhung von Berechtigungen im Java Debug Wire Protocol
Eine Schwachstelle bezüglich Rechteerweiterungen im Java Debug Wire Protocol könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext einer erhöhten Systemanwendung auszuführen. Dieses Problem wird als mittel eingestuft, da es eine ungewöhnliche Gerätekonfiguration erfordert.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-3890 | A-28347842 [ 2 ] | Mäßig | Keiner* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google-intern |
* Unterstützte Nexus-Geräte auf Android 7.0, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Schwachstelle bezüglich Offenlegung von Informationen in Mediaserver
Eine Schwachstelle zur Offenlegung von Informationen in Mediaserver könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als mittel eingestuft, da es zum unerlaubten Zugriff auf sensible Daten verwendet werden könnte.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-3895 | A-29983260 | Mäßig | Alles Nexus | 6.0, 6.0.1, 7.0 | 4. Juli 2016 |
Schwachstelle bezüglich Offenlegung von Informationen in AOSP Mail
Eine Schwachstelle zur Offenlegung von Informationen in AOSP Mail könnte es einer lokalen bösartigen Anwendung ermöglichen, Zugriff auf die privaten Informationen des Benutzers zu erhalten. Dieses Problem wird als mittel eingestuft, da es für den unsachgemäßen Zugriff auf Daten ohne Erlaubnis verwendet werden könnte.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-3896 | A-29767043 | Mäßig | Keiner* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24. Juli 2016 |
* Unterstützte Nexus-Geräte auf Android 7.0, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Schwachstelle bezüglich der Offenlegung von Informationen in Wi-Fi
Eine Schwachstelle bezüglich der Offenlegung von Informationen in der Wi-Fi-Konfiguration könnte es einer Anwendung ermöglichen, auf vertrauliche Informationen zuzugreifen. Dieses Problem wird als mittel eingestuft, da es zum unerlaubten Zugriff auf Daten verwendet werden könnte.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-3897 | A-25624963 [ 2 ] | Mäßig | Keiner* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5. November 2015 |
* Unterstützte Nexus-Geräte auf Android 7.0, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Denial-of-Service-Schwachstelle in der Telefonie
Eine Denial-of-Service-Schwachstelle in der Telefonie-Komponente könnte es einer lokalen bösartigen Anwendung ermöglichen, 911-TTY-Anrufe von einem gesperrten Bildschirm aus zu verhindern. Dieses Problem wird aufgrund der Möglichkeit eines Denial-of-Service bei einer kritischen Funktion als moderat eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-3898 | A-29832693 | Mäßig | Alles Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28. Juni 2016 |
Sicherheits-Patch-Level vom 05.09.2016 – Details zur Schwachstelle
In den folgenden Abschnitten stellen wir Details für jede der Sicherheitsschwachstellen bereit, die für die Patchebene vom 05.09.2016 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, den zugehörigen Referenzen, dem Schweregrad, aktualisierten Nexus-Geräten, aktualisierten AOSP-Versionen (falls zutreffend) und dem gemeldeten Datum. Wenn verfügbar, werden wir die öffentliche Änderung, die das Problem behebt, mit der Fehler-ID verknüpfen, wie die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen mit Nummern nach der Fehler-ID verknüpft.
Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen im Kernel-Sicherheitssubsystem
Eine Elevation-of-Privilege-Schwachstelle im Kernel-Sicherheitssubsystem könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2014-9529 | A-29510361 | Kritisch | Nexus 5, Nexus 6, Nexus 9, Nexus Player, Android One | 6. Januar 2015 |
| CVE-2016-4470 | A-29823941 | Kritisch | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player | 15. Juni 2016 |
Schwachstelle bezüglich Erhöhung von Berechtigungen im Kernel-Netzwerksubsystem
Eine Elevation-of-Privilege-Schwachstelle im Kernel-Netzwerk-Subsystem könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2013-7446 | A-29119002 | Kritisch | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 18. November 2015 |
Schwachstelle bezüglich Rechteerhöhung im Kernel-Netfilter-Subsystem
Eine Elevation-of-Privilege-Schwachstelle im Kernel-Netfilter-Subsystem könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-3134 | A-28940694 | Kritisch | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 9. März 2016 |
Elevation of Privilege-Schwachstelle im Kernel-USB-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Kernel-USB-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-3951 | A-28744625 Upstream-Kernel [ 2 ] | Kritisch | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 6. April 2016 |
Schwachstelle bezüglich Rechteerhöhung im Kernel-Sound-Subsystem
Eine Elevation-of-Privilege-Schwachstelle im Kernel-Sound-Subsystem könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2014-4655 | A-29916012 | Hoch | Nexus 5, Nexus 6, Nexus 9, Nexus Player | 26. Juni 2014 |
Elevation-of-Privilege-Schwachstelle im ASN.1-Decoder des Kernels
Eine Elevation-of-Privilege-Schwachstelle im ASN.1-Decoder des Kernels könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2053 | A-28751627 | Hoch | Nexus 5X, Nexus 6P | 25. Januar 2016 |
Elevation of Privilege-Schwachstelle in der Qualcomm-Funkschnittstellenschicht
Eine Elevation-of-Privilege-Schwachstelle in der Funkschnittstellenschicht von Qualcomm könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-3864 | A-28823714* QC-CR#913117 | Hoch | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 29. April 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Schwachstelle bezüglich Erhöhung von Berechtigungen im Qualcomm-Subsystemtreiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Subsystemtreiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-3858 | A-28675151 QC-CR#1022641 | Hoch | Nexus 5X, Nexus 6P | 9. Mai 2016 |
Schwachstelle bezüglich Rechteerhöhung im Kernel-Netzwerktreiber
Eine Elevation-of-Privilege-Schwachstelle im Kernel-Netzwerktreiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-4805 | A-28979703 | Hoch | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9 | 15. Mai 2016 |
Elevation of Privilege-Schwachstelle im Synaptics-Touchscreen-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Synaptics-Touchscreen-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-3865 | A-28799389* | Hoch | Nexus 5X, Nexus 9 | 16. Mai 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Qualcomm-Kameratreiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Kameratreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-3859 | A-28815326* QC-CR#1034641 | Hoch | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 17. Mai 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Qualcomm-Soundtreiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Soundtreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-3866 | A-28868303* QC-CR#1032820 | Hoch | Nexus 5X, Nexus 6, Nexus 6P | 18. Mai 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Qualcomm IPA-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm IPA-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-3867 | A-28919863* QC-CR#1037897 | Hoch | Nexus 5X, Nexus 6P | 21. Mai 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Qualcomm-Power-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Power-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-3868 | A-28967028* QC-CR#1032875 | Hoch | Nexus 5X, Nexus 6P | 25. Mai 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Broadcom Wi-Fi-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Broadcom Wi-Fi-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-3869 | A-29009982* B-RB#96070 | Hoch | Nexus 5, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C | 27. Mai 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation-of-Privilege-Schwachstelle im Kernel-eCryptfs-Dateisystem
Eine Elevation-of-Privilege-Schwachstelle im eCryptfs-Dateisystem des Kernels könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-1583 | A-29444228 Upstream-Kernel | Hoch | Pixel C | 1. Juni 2016 |
Elevation of Privilege-Schwachstelle im NVIDIA-Kernel
Eine Elevation-of-Privilege-Schwachstelle im NVIDIA-Kernel könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-3873 | A-29518457* N-CVE-2016-3873 | Hoch | Verbindung 9 | 20. Juni 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-3874 | A-29944562 QC-CR#997797 [ 2 ] | Hoch | Nexus 5X | 1. Juli 2016 |
Denial-of-Service-Schwachstelle im Kernel-Netzwerk-Subsystem
Eine Denial-of-Service-Schwachstelle im Kernel-Netzwerksubsystem könnte es einem Angreifer ermöglichen, ein Gerät hängen zu lassen oder neu zu starten. Dieses Problem wird aufgrund der Möglichkeit einer vorübergehenden Dienstverweigerung aus der Ferne als Hoch eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-1465 | A-29506807 | Hoch | Nexus 5, Nexus 6, Nexus 9, Nexus Player, Pixel C, Android One | 3. Februar 2015 |
| CVE-2015-5364 | A-29507402 | Hoch | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 30. Juni 2015 |
Denial-of-Service-Schwachstelle im ext4-Dateisystem des Kernels
Eine Denial-of-Service-Schwachstelle im ext4-Dateisystem des Kernels könnte es einem Angreifer ermöglichen, eine lokale permanente Denial-of-Service-Angriffe zu verursachen, die möglicherweise ein erneutes Flashen des Betriebssystems erforderlich machen, um das Gerät zu reparieren. Dieses Problem wird aufgrund der Möglichkeit einer lokalen permanenten Dienstverweigerung als Hoch eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-8839 | A-28760453* | Hoch | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 4. April 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Schwachstelle bezüglich Offenlegung von Informationen im Qualcomm SPMI-Treiber
Eine Schwachstelle zur Offenlegung von Informationen im Qualcomm SPMI-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-3892 | A-28760543* QC-CR#1024197 | Mäßig | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 13. Mai 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Schwachstelle bei der Offenlegung von Informationen im Qualcomm-Sound-Codec
Eine Schwachstelle zur Offenlegung von Informationen im Qualcomm-Sound-Codec könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-3893 | A-29512527 QC-CR#856400 | Mäßig | Nexus 6P | 20. Juni 2016 |
Schwachstelle bei der Offenlegung von Informationen in der Qualcomm DMA-Komponente
Eine Schwachstelle zur Offenlegung von Informationen in der Qualcomm DMA-Komponente könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-3894 | A-29618014* QC-CR#1042033 | Mäßig | Verbindung 6 | 23. Juni 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Schwachstelle bezüglich Offenlegung von Informationen im Subsystem des Kernel-Netzwerks
Eine Schwachstelle zur Offenlegung von Informationen im Kernel-Netzwerksubsystem könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-4998 | A-29637687 Upstream-Kernel [ 2 ] | Mäßig | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 24. Juni 2016 |
Denial-of-Service-Schwachstelle im Kernel-Netzwerk-Subsystem
Eine Denial-of-Service-Schwachstelle im Kernel-Netzwerksubsystem könnte es einem Angreifer ermöglichen, den Zugriff auf Wi-Fi-Funktionen zu blockieren. Dieses Problem wird aufgrund der Möglichkeit einer vorübergehenden Remote-Denial-of-Service der Wi-Fi-Funktionen als moderat eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-2922 | A-29409847 | Mäßig | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 4. April 2015 |
Schwachstellen in Qualcomm-Komponenten
Die folgende Tabelle enthält Sicherheitslücken, die Qualcomm-Komponenten betreffen, möglicherweise einschließlich Bootloader, Kameratreiber, Zeichentreiber, Netzwerk, Soundtreiber und Grafiktreiber.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2469 | QC-CR#997025 | Hoch | Keiner | Juni 2016 |
| CVE-2016-2469 | QC-CR#997015 | Mäßig | Keiner | Juni 2016 |
2016-09-06 Sicherheits-Patch-Level – Details zur Schwachstelle
In den folgenden Abschnitten stellen wir Details für jede der Sicherheitsschwachstellen bereit, die für das Patch-Level 2016-09-06 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, den zugehörigen Referenzen, dem Schweregrad, aktualisierten Nexus-Geräten, aktualisierten AOSP-Versionen (falls zutreffend) und dem gemeldeten Datum. Wenn verfügbar, werden wir die öffentliche Änderung, die das Problem behebt, mit der Fehler-ID verknüpfen, wie die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen mit Nummern nach der Fehler-ID verknüpft.
Schwachstelle bezüglich Erhöhung von Berechtigungen im gemeinsam genutzten Speicher-Subsystem des Kernels
Eine Elevation-of-Privilege-Schwachstelle im Shared-Memory-Subsystem des Kernels könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-5340 | A-30652312 QC-CR#1008948 | Kritisch | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 26. Juli 2016 |
Elevation of Privilege-Schwachstelle in der Qualcomm-Netzwerkkomponente
Eine Elevation-of-Privilege-Schwachstelle in der Qualcomm-Netzwerkkomponente könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Nexus-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-2059 | A-27045580 QC-CR#974577 | Hoch | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | Feb 4, 2016 |
Common Questions and Answers
In diesem Abschnitt werden allgemeine Fragen beantwortet, die nach dem Lesen dieses Bulletins auftreten können.
1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?
Security Patch Levels of 2016-09-01 or later address all issues associated with the 2016-09-01 security patch string level. Security Patch Levels of 2016-09-05 or later address all issues associated with the 2016-09-05 security patch string level. Security Patch Levels of 2016-09-06 or later address all issues associated with the 2016-09-06 security patch string level. Refer to the help center for instructions on how to check the security patch level. Device manufacturers that include these updates should set the patch string level to: [ro.build.version.security_patch]:[2016-09-01], [ro.build.version.security_patch]:[2016-09-05], or [ro.build.version.security_patch]:[2016-09-06].
2. Why does this bulletin have three security patch level strings?
This bulletin has three security patch level strings so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level string.
Devices that use the September 6, 2016 security patch level or newer must include all applicable patches in this (and previous) security bulletins. This patch level was created to addresses issues that were discovered after partners were first notified of most issues in this bulletin.
Devices that use September 5, 2016 security patch level must include all issues associated with that security patch level, the September 1, 2016 security patch level and fixes for all issues reported in previous security bulletins. Devices that use the September 5, 2016 security patch level may also include a subset of fixes associated with the September 6, 2016 security patch level.
Devices that use September 1, 2016 security patch level must include all issues associated with that security patch level as well as fixes for all issues reported in previous security bulletins. Devices that use the September 1, 2016 security patch level may also include a subset of fixes associated with the September 5, 2016 and September 6, 2016 security patch levels.
3 . How do I determine which Nexus devices are affected by each issue?
In the 2016-09-01 , 2016-09-05 , and 2016-09-06 security vulnerability details sections, each table has an Updated Nexus devices column that covers the range of affected Nexus devices updated for each issue. This column has a few options:
- All Nexus devices : If an issue affects all Nexus devices, the table will have “All Nexus” in the Updated Nexus devices column. “All Nexus” encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, and Pixel C.
- Some Nexus devices : If an issue doesn't affect all Nexus devices, the affected Nexus devices are listed in the Updated Nexus devices column.
- No Nexus devices : If no Nexus devices running Android 7.0 are affected by the issue, the table will have “None” in the Updated Nexus devices column.
4. What do the entries in the references column map to?
Einträge in der Spalte „ Referenzen “ der Tabelle mit den Schwachstellendetails können ein Präfix enthalten, das die Organisation angibt, zu der der Referenzwert gehört. These prefixes map as follows:
| Präfix | Bezug |
|---|---|
| EIN- | Android-Fehler-ID |
| QC- | Qualcomm-Referenznummer |
| M- | MediaTek-Referenznummer |
| N- | NVIDIA-Referenznummer |
| B- | Broadcom-Referenznummer |
Revisions
- September 06, 2016: Bulletin published.
- September 07, 2016: Bulletin revised to include AOSP links.
- September 12, 2016: Bulletin revised to update attribution for CVE-2016-3861 and remove CVE-2016-3877.