עלון אבטחה של אנדרואיד - ספטמבר 2016

ded

פורסם ב-06 בספטמבר 2016 | עודכן ב-12 בספטמבר 2016

עלון האבטחה של אנדרואיד מכיל פרטים על פרצות אבטחה המשפיעות על מכשירי אנדרואיד. לצד העלון, פרסמנו עדכון אבטחה למכשירי Nexus באמצעות עדכון אוויר (OTA). תמונות הקושחה של Nexus שוחררו גם לאתר Google Developer . רמות תיקון האבטחה של 06 בספטמבר 2016 ואילך מטפלות בבעיות אלה. עיין בתיעוד כדי ללמוד כיצד לבדוק את רמת תיקון האבטחה. מכשירי Nexus נתמכים יקבלו עדכון OTA יחיד עם רמת תיקון האבטחה של 06 בספטמבר 2016.

שותפים קיבלו הודעה על הבעיות המתוארות בעלון ב-5 באוגוסט 2016 או קודם לכן. במידת האפשר, תיקוני קוד מקור עבור בעיות אלה שוחררו למאגר Android Open Source Project (AOSP). עלון זה כולל גם קישורים לתיקונים מחוץ ל-AOSP.

החמורה ביותר מבין הבעיות הללו היא פגיעות אבטחה קריטית שעלולה לאפשר ביצוע קוד מרחוק במכשיר מושפע באמצעות מספר שיטות כגון דואר אלקטרוני, גלישה באינטרנט ו-MMS בעת עיבוד קובצי מדיה. הערכת החומרה מבוססת על ההשפעה שאולי תהיה לניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה וההפחתות השירות מושבתות למטרות פיתוח או אם יעקפו בהצלחה.

לא קיבלנו דיווחים על ניצול פעיל של לקוחות או שימוש לרעה בבעיות אלה שדווחו לאחרונה. עיין בסעיף ההפחתות בשירותי אנדרואיד וגוגל לפרטים על הגנות פלטפורמת האבטחה של אנדרואיד והגנות שירות כגון SafetyNet, המשפרות את האבטחה של פלטפורמת אנדרואיד.

אנו מעודדים את כל הלקוחות לקבל עדכונים אלה למכשירים שלהם.

הכרזות

  • עלון זה כולל שלוש מחרוזות ברמת תיקון אבטחה כדי לספק לשותפים של אנדרואיד את הגמישות לנוע מהר יותר כדי לתקן קבוצת משנה של נקודות תורפה הדומות בכל מכשירי האנדרואיד. ראה שאלות ותשובות נפוצות למידע נוסף:
    • 2016-09-01 : מחרוזת רמת תיקון אבטחה חלקית. מחרוזת רמת תיקון אבטחה זו מציינת שכל הבעיות הקשורות ל-2016-09-01 (וכל מחרוזות רמת תיקון האבטחה הקודמות) מטופלות.
    • 2016-09-05 : מחרוזת רמת תיקון אבטחה חלקית. מחרוזת רמת תיקון אבטחה זו מציינת שכל הבעיות הקשורות ל-2016-09-01 ו-2016-09-05 (וכל מחרוזות רמת תיקון האבטחה הקודמות) מטופלות.
    • 2016-09-06 : מחרוזת מלאה ברמת תיקון האבטחה, המטפלת בבעיות שהתגלו לאחר שהשותפים קיבלו הודעה על רוב הבעיות בעלון זה. מחרוזת רמת תיקון אבטחה זו מציינת שכל הבעיות הקשורות ל-2016-09-01, 2016-09-05 ו-2016-09-06 (וכל המחרוזות הקודמות ברמת תיקון האבטחה) מטופלות.
  • מכשירי Nexus נתמכים יקבלו עדכון OTA יחיד עם רמת תיקון האבטחה של 06 בספטמבר 2016.

הפחתות שירותי אנדרואיד וגוגל

זהו סיכום של ההקלות שמספקות פלטפורמת האבטחה אנדרואיד והגנות שירות כגון SafetyNet. יכולות אלו מפחיתות את הסבירות שניתן יהיה לנצל בהצלחה פרצות אבטחה באנדרואיד.

  • ניצול בעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
  • צוות אבטחת אנדרואיד עוקב באופן פעיל אחר שימוש לרעה באמצעות Verify Apps ו- SafetyNet , שנועדו להזהיר משתמשים מפני יישומים שעלולים להזיק . אימות אפליקציות מופעל כברירת מחדל במכשירים עם שירותי Google Mobile , והוא חשוב במיוחד למשתמשים המתקינים אפליקציות מחוץ ל-Google Play. כלי השתרשות מכשירים אסורים ב-Google Play, אך Verify Apps מזהיר משתמשים כאשר הם מנסים להתקין אפליקציית השתרשות שזוהתה - לא משנה מאיפה היא מגיעה. בנוסף, Verify Apps מנסה לזהות ולחסום התקנה של יישומים זדוניים ידועים המנצלים פגיעות של הסלמה של הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע למשתמש וינסה להסיר את היישום שזוהה.
  • בהתאם, יישומי Google Hangouts ו-Messenger אינם מעבירים מדיה אוטומטית לתהליכים כגון Mediaserver.

תודות

ברצוננו להודות לחוקרים אלו על תרומתם:

  • קורי פרו מאוניברסיטת קרנגי מלון: CVE-2016-3897
  • Gengjia Chen ( @chengjia4574 ) ו- pjf ממעבדת IceSword, Qihoo 360 Technology Co. Ltd.: CVE-2016-3869, CVE-2016-3865, CVE-2016-3866, CVE-2016-3867
  • Hao Qin ממעבדת מחקר אבטחה, Cheetah Mobile : CVE-2016-3863
  • Jann Horn מ-Google Project Zero: CVE-2016-3885
  • Jianqiang Zhao ( @jianqiangzhao ) ו- pjf של IceSword Lab, Qihoo 360: CVE-2016-3858
  • ג'ושוע דרייק ( @jduck ): CVE-2016-3861
  • Madhu Priya Murugan מ-CISPA, אוניברסיטת סערלנד: CVE-2016-3896
  • Makoto Onuki מגוגל: CVE-2016-3876
  • Mark Brand של Google Project Zero: CVE-2016-3861
  • Max Spector של אבטחת אנדרואיד: CVE-2016-3888
  • Max Spector ו-Quan To של אבטחת אנדרואיד: CVE-2016-3889
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), ו-Xuxian Jiang מצוות C0RE : CVE-2016-3895
  • נתן קרנדל ( @natecray ) מצוות אבטחת המוצר של טסלה מוטורס: גילוי של בעיות נוספות הקשורות ל-CVE-2016-2446
  • אולקסי ויאלוב מגוגל: CVE-2016-3890
  • אוליבר צ'אנג מצוות האבטחה של Google Chrome: CVE-2016-3880
  • שיר פנג שיאו, צ'נגמינג יאנג, נינג יו, צ'או יאנג ויאנג, של Alibaba Mobile Security Group: CVE-2016-3859
  • Ronald L. Loor Vargas ( @loor_rlv ) מ-TEAM Lv51: CVE-2016-3886
  • שגיא קדמי, חוקר X-Force Security של IBM: CVE-2016-3873
  • סקוט באואר ( @ScottyBauer1 ): CVE-2016-3893, CVE-2016-3868, CVE-2016-3867
  • Seven Shen ( @lingtongshen ) של TrendMicro: CVE-2016-3894
  • Tim Strazzere ( @timstrazz ) מ-SentinelOne / RedNaga: CVE-2016-3862
  • trotmaster ( @trotmaster99 ): CVE-2016-3883
  • ויקטור צ'אנג מגוגל: CVE-2016-3887
  • Vignesh Venkatasubramanian מגוגל: CVE-2016-3881
  • Weichao Sun ( @sunblate ) מ-Alibaba Inc: CVE-2016-3878
  • Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), ו-Xuxian Jiang מצוות C0RE : CVE-2016-3870, CVE-2016-3871, CVE-2016-3872
  • Wish Wu (吴潍浠) ( @wish_wu ) של Trend Micro Inc .: CVE-2016-3892
  • Xingyu He (何星宇) ( @Spid3r_ ) של Alibaba Inc : CVE-2016-3879
  • Yacong Gu ממעבדת TCA, המכון לתוכנה, האקדמיה הסינית למדעים: CVE-2016-3884
  • יורו שאו מאוניברסיטת מישיגן אן ארבור: CVE-2016-3898

רמת תיקון אבטחה 2016-09-01—פרטי פגיעות אבטחה

בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2016-09-01. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הפניות משויכות, חומרה, מכשירי Nexus מעודכנים, גרסאות AOSP מעודכנות (כאשר רלוונטי) ותאריך הדיווח. כאשר יהיה זמין, נקשר את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות מקושרות למספרים בעקבות מזהה הבאג.

פגיעות של ביצוע קוד מרחוק ב-LibUtils

פגיעות של ביצוע קוד מרחוק ב-LibUtils עלולה לאפשר לתוקף המשתמש בקובץ בעל מבנה מיוחד לבצע קוד שרירותי בהקשר של תהליך מיוחס. בעיה זו מדורגת כקריטית בשל האפשרות של ביצוע קוד מרחוק ביישומים המשתמשים בספרייה זו.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3861 A-29250543 [ 2 ] [ 3 ] [ 4 ] קריטי הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 9 ביוני 2016

פגיעות של ביצוע קוד מרחוק ב-Mediaserver

פגיעות של ביצוע קוד מרחוק ב-Mediaserver עלולה לאפשר לתוקף המשתמש בקובץ בעל מבנה מיוחד לגרום לפגיעה בזיכרון במהלך עיבוד קבצי מדיה ונתונים. בעיה זו מדורגת כקריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של תהליך Mediaserver.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3862 A-29270469 קריטי הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 ביוני 2016

פגיעות של ביצוע קוד מרחוק ב-MediaMuxer

פגיעות של ביצוע קוד מרחוק ב-MediaMuxer עלולה לאפשר לתוקף המשתמש בקובץ בעל מבנה מיוחד לבצע קוד שרירותי בהקשר של תהליך חסר הרשאות. בעיה זו מדורגת כגבוהה בשל האפשרות של ביצוע קוד מרחוק באפליקציה המשתמשת ב-MediaMuxer.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3863 A-29161888 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 6 ביוני 2016

הפגיעות של העלאת הרשאות ב-Mediaserver

הפגיעות של העלאת הרשאות ב-Mediaserver עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של תהליך מיוחס. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, שבדרך כלל אינן נגישות לאפליקציה של צד שלישי.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3870 A-29421804 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 15 ביוני 2016
CVE-2016-3871 A-29422022 [ 2 ] [ 3 ] גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 15 ביוני 2016
CVE-2016-3872 A-29421675 [ 2 ] גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 15 ביוני 2016

הפגיעות של העלאת הרשאות באתחול המכשיר

העלאת הרשאות במהלך רצף האתחול עלולה לאפשר לתוקף זדוני מקומי לאתחל למצב בטוח למרות שהוא מושבת. בעיה זו מדורגת כגבוהה מכיוון שהיא עקיפת מקומית של דרישות אינטראקציה של משתמשים עבור כל שינוי של מפתח או הגדרות אבטחה.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3875 A-26251884 גָבוֹהַ אף אחד* 6.0, 6.0.1 Google פנימי

* מכשירי Nexus נתמכים ב-Android 7.0 שהתקינו את כל העדכונים הזמינים אינם מושפעים מפגיעות זו.

הפגיעות של העלאת הרשאות בהגדרות

העלאת הרשאות בהגדרות עלולה לאפשר לתוקף זדוני מקומי לאתחל למצב בטוח למרות שהוא מושבת. בעיה זו מדורגת כגבוהה מכיוון שהיא עקיפת מקומית של דרישות אינטראקציה של משתמשים עבור כל שינוי של מפתח או הגדרות אבטחה.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3876 A-29900345 גָבוֹהַ הכל Nexus 6.0, 6.0.1, 7.0 Google פנימי

פגיעות מניעת שירות ב-Mediaserver

פגיעות של מניעת שירות ב-Mediaserver עלולה לאפשר לתוקף להשתמש בקובץ בעל מבנה מיוחד כדי לגרום להתקן להיתקע או לאתחל מחדש. נושא זה מדורג כגבוה בשל האפשרות של מניעת שירות מרחוק.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3899 A-29421811 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 16 ביוני 2016
CVE-2016-3878 A-29493002 גָבוֹהַ כל Nexus* 6.0, 6.0.1 17 ביוני 2016
CVE-2016-3879 A-29770686 גָבוֹהַ כל Nexus* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 25 ביוני 2016
CVE-2016-3880 A-25747670 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 Google פנימי
CVE-2016-3881 A-30013856 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 Google פנימי

* מכשירי Nexus נתמכים ב-Android 7.0 שהתקינו את כל העדכונים הזמינים אינם מושפעים מפגיעות זו.

הפגיעות של העלאת הרשאות בטלפוניה

הפגיעות של העלאת הרשאות ברכיב הטלפוניה עלולה לאפשר לאפליקציה זדונית מקומית לשלוח הודעות SMS פרימיום לא מורשות. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות ללא הרשאת משתמש מפורשת.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3883 A-28557603 לְמַתֵן הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 3 במאי 2016

הפגיעות של העלאת הרשאות בשירות מנהל ההודעות

הפגיעות של העלאת הרשאות ב-Notification Manager Service עלולה לאפשר לאפליקציה זדונית מקומית לעקוף הגנות של מערכת הפעלה המבודדות נתוני יישומים מיישומים אחרים. בעיה זו מדורגת כמתונה מכיוון שהיא עקיפת מקומית של דרישות אינטראקציה של משתמשים, כגון גישה לפונקציונליות שבדרך כלל תצריך ייזום משתמש או הרשאת משתמש.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3884 A-29421441 לְמַתֵן הכל Nexus 6.0, 6.0.1, 7.0 15 ביוני 2016

הפגיעות של העלאת הרשאות ב-Debuggerd

הפגיעות של העלאת הרשאות במפרק הבאגים המשולב של אנדרואיד עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של מאתר הבאגים של אנדרואיד. בעיה זו מדורגת כחומרה בינונית בשל האפשרות של ביצוע קוד שרירותי מקומי בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3885 A-29555636 לְמַתֵן הכל Nexus 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 21 ביוני 2016

הפגיעות של העלאת הרשאות ב-System UI Tuner

העלאת הרשאות במקלט ממשק המשתמש של המערכת עלולה לאפשר למשתמש זדוני מקומי לשנות הגדרות מוגנות כאשר מכשיר נעול. בעיה זו מדורגת כמתונה מכיוון שהיא עקיפת מקומית של הרשאות משתמש.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3886 A-30107438 לְמַתֵן הכל Nexus 7.0 23 ביוני 2016

הפגיעות של העלאת הרשאות בהגדרות

הפגיעות של העלאת הרשאות בהגדרות עלולה לאפשר לאפליקציה זדונית מקומית לעקוף הגנות של מערכת ההפעלה עבור הגדרות VPN. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי לקבל גישה לנתונים מחוץ לרמות ההרשאה של האפליקציה.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3887 A-29899712 לְמַתֵן הכל Nexus 7.0 Google פנימי

הפגיעות של העלאת הרשאות ב-SMS

הפגיעות של העלאת הרשאות ב-SMS עלולה לאפשר לתוקף מקומי לשלוח הודעות SMS מובחרות לפני הקצאת המכשיר. זה מדורג כבינוני בשל האפשרות לעקוף את הגנת איפוס היצרן, שאמורה למנוע שימוש במכשיר לפני הגדרתו.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3888 A-29420123 לְמַתֵן הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 Google פנימי

הפגיעות של העלאת הרשאות בהגדרות

הפגיעות של העלאת הרשאות בהגדרות עלולה לאפשר לתוקף מקומי לעקוף את הגנת איפוס היצרן ולקבל גישה למכשיר. זה מדורג כבינוני בשל האפשרות לעקוף את הגנת איפוס היצרן, מה שעלול להוביל לאיפוס מוצלח של המכשיר ולמחיקת כל הנתונים שלו.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3889 A-29194585 [ 2 ] לְמַתֵן הכל Nexus 6.0, 6.0.1, 7.0 Google פנימי

העלאת פגיעות הרשאות ב-Java Debug Wire Protocol

פגיעות העלאת הרשאות ב-Java Debug Wire Protocol עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של יישום מערכת מוגבה. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תצורת מכשיר לא שכיחה.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3890 A-28347842 [ 2 ] לְמַתֵן אף אחד* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google פנימי

* מכשירי Nexus נתמכים ב-Android 7.0 שהתקינו את כל העדכונים הזמינים אינם מושפעים מפגיעות זו.

פגיעות של חשיפת מידע ב-Mediaserver

פגיעות של חשיפת מידע ב-Mediaserver עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי לגשת לנתונים רגישים ללא רשות.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3895 A-29983260 לְמַתֵן הכל Nexus 6.0, 6.0.1, 7.0 4 ביולי 2016

פגיעות של חשיפת מידע ב-AOSP Mail

פגיעות של חשיפת מידע ב-AOSP Mail עלולה לאפשר לאפליקציה זדונית מקומית לקבל גישה למידע הפרטי של המשתמש. בעיה זו מדורגת כמתונה מכיוון שהיא עשויה לשמש לגישה לא נכונה לנתונים ללא רשות.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3896 א-29767043 לְמַתֵן אף אחד* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 ביולי 2016

* מכשירי Nexus נתמכים ב-Android 7.0 שהתקינו את כל העדכונים הזמינים אינם מושפעים מפגיעות זו.

פגיעות של חשיפת מידע ב-Wi-Fi

פגיעות של חשיפת מידע בתצורת ה-Wi-Fi עלולה לאפשר לאפליקציה לגשת למידע רגיש. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי לגשת לנתונים ללא רשות.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3897 A-25624963 [ 2 ] לְמַתֵן אף אחד* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 בנובמבר 2015

* מכשירי Nexus נתמכים ב-Android 7.0 שהתקינו את כל העדכונים הזמינים אינם מושפעים מפגיעות זו.

פגיעות מניעת שירות בטלפוניה

פגיעות של מניעת שירות ברכיב הטלפוניה עלולה לאפשר לאפליקציה זדונית מקומית למנוע שיחות 911 TTY ממסך נעול. נושא זה מדורג כבינוני בשל האפשרות של מניעת שירות בפונקציה קריטית.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3898 A-29832693 לְמַתֵן הכל Nexus 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 28 ביוני 2016

רמת תיקון האבטחה של 2016-09-05—פרטי פגיעות

בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2016-09-05. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הפניות משויכות, חומרה, מכשירי Nexus מעודכנים, גרסאות AOSP מעודכנות (כאשר רלוונטי) ותאריך הדיווח. כאשר יהיה זמין, נקשר את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות מקושרות למספרים בעקבות מזהה הבאג.

העלאת פגיעות הרשאות בתת מערכת אבטחת הליבה

הפגיעות של העלאת הרשאות בתת-מערכת האבטחה של הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2014-9529 A-29510361

גרעין במעלה הזרם

קריטי Nexus 5, Nexus 6, Nexus 9, Nexus Player, Android One 6 בינואר 2015
CVE-2016-4470 A-29823941

גרעין במעלה הזרם

קריטי Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player 15 ביוני 2016

העלאת פגיעות הרשאות בתת-מערכת רשת ליבה

הפגיעות של העלאת הרשאות בתת-מערכת הרשת של הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2013-7446 A-29119002

גרעין במעלה הזרם

קריטי Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One 18 בנובמבר 2015

הפגיעות של העלאת הרשאות בתת-מערכת Netfilter של ליבה

הפגיעות של העלאת הרשאות בתת-מערכת הליבה Netfilter עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3134 A-28940694

גרעין במעלה הזרם

קריטי Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One 9 במרץ 2016

הפגיעות של העלאת הרשאות במנהל התקן USB ליבה

הפגיעות של העלאת הרשאות במנהל התקן ה-USB של הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3951 A-28744625

גרעין במעלה הזרם [ 2 ]

קריטי Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One 6 באפריל, 2016

העלאת פגיעות הרשאות בתת-מערכת סאונד ליבה

הפגיעות של העלאת הרשאות בתת-מערכת הקול של הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2014-4655 A-29916012

גרעין במעלה הזרם

גָבוֹהַ Nexus 5, Nexus 6, Nexus 9, Nexus Player 26 ביוני 2014

הפגיעות של העלאת הרשאות במפענח ASN.1 של ליבה

הפגיעות של העלאת הרשאות במפענח הליבה ASN.1 עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-2053 A-28751627

גרעין במעלה הזרם

גָבוֹהַ Nexus 5X, Nexus 6P 25 בינואר 2016

הפגיעות של העלאת הרשאות בשכבת ממשק הרדיו של קוואלקום

הפגיעות של העלאת הרשאות בשכבת ממשק הרדיו של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3864 A-28823714*
QC-CR#913117
גָבוֹהַ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 29 באפריל, 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל ההתקן של המשנה של Qualcomm

הפגיעות של העלאת הרשאות במנהל ההתקן של המשנה של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3858 A-28675151
QC-CR#1022641
גָבוֹהַ Nexus 5X, Nexus 6P 9 במאי 2016

הפגיעות של העלאת הרשאות במנהל התקן רשת ליבה

הפגיעות של העלאת הרשאות במנהל ההתקן של רשת הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-4805 A-28979703

גרעין במעלה הזרם

גָבוֹהַ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9 15 במאי 2016

הפגיעות של העלאת הרשאות במנהל ההתקן של מסך המגע של Synaptics

הפגיעות של העלאת הרשאות במנהל ההתקן של מסך המגע של Synaptics עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3865 A-28799389* גָבוֹהַ Nexus 5X, Nexus 9 16 במאי 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל ההתקן של המצלמה של Qualcomm

הפגיעות של העלאת הרשאות במנהל ההתקן של מצלמת Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3859 A-28815326*
QC-CR#1034641
גָבוֹהַ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 17 במאי 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל התקן הסאונד של Qualcomm

הפגיעות של העלאת הרשאות במנהל התקן הסאונד של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3866 A-28868303*
QC-CR#1032820
גָבוֹהַ Nexus 5X, Nexus 6, Nexus 6P 18 במאי 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל התקן IPA של Qualcomm

הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm IPA עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3867 A-28919863*
QC-CR#1037897
גָבוֹהַ Nexus 5X, Nexus 6P 21 במאי 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות ב-Qualcomm Power Driver

הפגיעות של העלאת הרשאות במנהל התקן הכוח של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3868 A-28967028*
QC-CR#1032875
גָבוֹהַ Nexus 5X, Nexus 6P 25 במאי 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל התקן Wi-Fi של Broadcom

הפגיעות של העלאת הרשאות במנהל ההתקן של Broadcom Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3869 A-29009982*
B-RB#96070
גָבוֹהַ Nexus 5, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C 27 במאי 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

העלאת פגיעות הרשאות במערכת הקבצים eCryptfs של ליבה

הפגיעות של העלאת הרשאות במערכת הקבצים eCryptfs של הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-1583 A-29444228
גרעין במעלה הזרם
גָבוֹהַ Pixel C 1 ביוני 2016

העלאת פגיעות הרשאות בליבת NVIDIA

הפגיעות של העלאת הרשאות בליבת NVIDIA עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כחומרה גבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3873 A-29518457*
N-CVE-2016-3873
גָבוֹהַ Nexus 9 20 ביוני 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל התקן Wi-Fi של Qualcomm

הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3874 A-29944562
QC-CR#997797 [ 2 ]
גָבוֹהַ Nexus 5X 1 ביולי 2016

פגיעות מניעת שירות בתת-מערכת רשת ליבה

פגיעות של מניעת שירות בתת-מערכת הרשת של הליבה עלולה לאפשר לתוקף לגרום להתקן להיתקע או לאתחל מחדש. בעיה זו מדורגת כגבוהה בשל האפשרות של מניעת שירות מרחוק זמנית.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2015-1465 A-29506807

גרעין במעלה הזרם

גָבוֹהַ Nexus 5, Nexus 6, Nexus 9, Nexus Player, Pixel C, Android One 3 בפברואר 2015
CVE-2015-5364 A-29507402

גרעין במעלה הזרם

גָבוֹהַ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One 30 ביוני 2015

פגיעות מניעת שירות במערכת הקבצים ext4 של הקרנל

פגיעות של מניעת שירות במערכת הקבצים ext4 של הליבה עלולה לאפשר לתוקף לגרום למניעת שירות מקומית קבועה, מה שעלול לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר. נושא זה מדורג כגבוה בשל האפשרות של מניעת שירות מקומית קבועה.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2015-8839 A-28760453* גָבוֹהַ Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One 4 באפריל, 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות של חשיפת מידע במנהל התקן SPMI של Qualcomm

פגיעות של חשיפת מידע במנהל ההתקן של Qualcomm SPMI עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3892 A-28760543*
QC-CR#1024197
לְמַתֵן Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 13 במאי 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות של חשיפת מידע ב-Codec סאונד של Qualcomm

פגיעות של חשיפת מידע ב-Codec הקול של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3893 A-29512527
QC-CR#856400
לְמַתֵן Nexus 6P 20 ביוני 2016

פגיעות של חשיפת מידע ברכיב DMA של קוואלקום

פגיעות של חשיפת מידע ברכיב ה-DMA של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3894 A-29618014*
QC-CR#1042033
לְמַתֵן Nexus 6 23 ביוני 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות של חשיפת מידע בתת-מערכת רשת ליבה

פגיעות של חשיפת מידע בתת-מערכת הרשת של הליבה עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-4998 A-29637687
גרעין במעלה הזרם [ 2 ]
לְמַתֵן Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One 24 ביוני 2016

פגיעות מניעת שירות בתת-מערכת רשת ליבה

פגיעות של מניעת שירות בתת-מערכת רשת הליבה עלולה לאפשר לתוקף לחסום גישה ליכולות ה-Wi-Fi. בעיה זו מדורגת כמתונה בשל האפשרות של מניעת שירות זמנית מרחוק של יכולות ה-Wi-Fi.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2015-2922 A-29409847

גרעין במעלה הזרם

לְמַתֵן Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One 4 באפריל, 2015

פגיעויות ברכיבי קוואלקום

הטבלה שלהלן מכילה פרצות אבטחה המשפיעות על רכיבי קוואלקום, הכוללות פוטנציאל את טוען האתחול, מנהל ההתקן של המצלמה, מנהל ההתקן של התווים, הרשת, מנהל ההתקן הקול ומנהל ההתקן של הווידאו.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-2469 QC-CR#997025 גָבוֹהַ אף אחד יוני 2016
CVE-2016-2469 QC-CR#997015 לְמַתֵן אף אחד יוני 2016

רמת תיקון האבטחה של 2016-09-06—פרטי פגיעות

בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2016-09-06. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הפניות משויכות, חומרה, מכשירי Nexus מעודכנים, גרסאות AOSP מעודכנות (כאשר רלוונטי) ותאריך הדיווח. כאשר יהיה זמין, נקשר את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות מקושרות למספרים בעקבות מזהה הבאג.

הפגיעות של העלאת הרשאות בתת-מערכת זיכרון משותף ליבה

הפגיעות של העלאת הרשאות בתת-מערכת הזיכרון המשותף של הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-5340 A-30652312
QC-CR#1008948
קריטי Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 26 ביולי 2016

הפגיעות של העלאת הרשאות ברכיב הרשת של Qualcomm

הפגיעות של העלאת הרשאות ברכיב הרשת של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-2059 A-27045580
QC-CR#974577
גָבוֹהַ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 4 בפברואר 2016

שאלות ותשובות נפוצות

סעיף זה עונה על שאלות נפוצות שעלולות להתרחש לאחר קריאת עלון זה.

1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלו?

רמות תיקון האבטחה של 2016-09-01 ואילך מטפלות בכל הבעיות הקשורות לרמת מחרוזת תיקון האבטחה של 2016-09-01. רמות תיקון האבטחה של 2016-09-05 ואילך מטפלות בכל הבעיות הקשורות לרמת מחרוזת תיקון האבטחה של 2016-09-05. רמות תיקון האבטחה של 2016-09-06 ואילך מטפלות בכל הבעיות הקשורות לרמת מחרוזת תיקון האבטחה של 2016-09-06. עיין במרכז העזרה לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה. יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל: [ro.build.version.security_patch]:[2016-09-01], [ro.build.version.security_patch]:[2016-09-05], או [ro.build.version.security_patch]:[2016-09-06].

2. מדוע בעלון זה כולל שלוש מחרוזות ברמת תיקון אבטחה?

עלון זה כולל שלוש מחרוזות ברמת תיקון אבטחה, כך שלשותפי אנדרואיד יש את הגמישות לתקן קבוצת משנה של נקודות תורפה הדומות בכל מכשירי האנדרואיד במהירות רבה יותר. שותפי Android מוזמנים לתקן את כל הבעיות בעלון זה ולהשתמש במחרוזת העדכנית ביותר של תיקון האבטחה.

מכשירים המשתמשים ברמת תיקון האבטחה של 6 בספטמבר 2016 ומעלה חייבים לכלול את כל התיקונים הרלוונטיים בעלוני אבטחה זה (וקודמים). רמת תיקון זו נוצרה כדי לטפל בבעיות שהתגלו לאחר שהשותפים קיבלו הודעה ראשונה על רוב הבעיות בעלון זה.

מכשירים המשתמשים ברמת תיקון האבטחה של 5 בספטמבר 2016 חייבים לכלול את כל הבעיות הקשורות לרמת תיקון האבטחה הזו, רמת תיקון האבטחה של 1 בספטמבר 2016 ותיקונים עבור כל הבעיות שדווחו בעלוני אבטחה קודמים. מכשירים המשתמשים ברמת תיקון האבטחה של 5 בספטמבר 2016 עשויים לכלול גם קבוצת משנה של תיקונים המשויכים לרמת תיקון האבטחה של 6 בספטמבר 2016.

מכשירים המשתמשים ברמת תיקון האבטחה של 1 בספטמבר 2016 חייבים לכלול את כל הבעיות הקשורות לרמת תיקון האבטחה הזו, כמו גם תיקונים עבור כל הבעיות שדווחו בעלוני אבטחה קודמים. מכשירים המשתמשים ברמת תיקון האבטחה של 1 בספטמבר 2016 עשויים לכלול גם קבוצת משנה של תיקונים המשויכים לרמות תיקון האבטחה של 5 בספטמבר 2016 ו-6 בספטמבר 2016.

3 . כיצד אוכל לקבוע אילו מכשירי Nexus מושפעים מכל בעיה?

בסעיפים של 2016-09-01 , 2016-09-05 ו -2016-09-06 פרטי פגיעות אבטחה, לכל טבלה יש עמודת מכשירי Nexus מעודכנים המכסה את מגוון מכשירי ה-Nexus המושפעים המעודכנים עבור כל בעיה. בעמודה זו יש כמה אפשרויות:

  • כל מכשירי ה-Nexus : אם בעיה משפיעה על כל מכשירי ה-Nexus, הטבלה תכלול "כל מכשירי ה-Nexus" בעמודה מכשירי ה-Nexus המעודכנים . "כל הנקסוס" מכסה את המכשירים הנתמכים הבאים: Nexus 5, Nexus 5x, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player ו- Pixel C.
  • כמה מכשירי Nexus : אם בעיה אינה משפיעה על כל התקני Nexus, התקני Nexus המושפעים מופיעים בעמודה המעודכנת של התקני Nexus .
  • אין התקני NEXUS : אם אין התקני NEXUS המריצים אנדרואיד 7.0 מושפעים מהבעיה, לטבלה יש "אין" בעמודה המעודכנת של מכשירי NEXUS .

4. אלם מפת הערכים במפת העמודות ההפניות?

ערכים בעמודה הפניות של טבלת פרטי הפגיעות עשויים להכיל קידומת המזהה את הארגון שאליו שייך ערך ההפניה. קידומות אלה מפה כדלקמן:

קידומת התייחסות
א- מזהה באג אנדרואיד
QC- מספר סימוכין של קוואלקום
M- מספר סימוכין של MediaTek
נ- מספר סימוכין של NVIDIA
ב- מספר סימוכין של Broadcom

תיקונים

  • 06 בספטמבר 2016: עלון פורסם.
  • 07 בספטמבר 2016: עלון מתוקן לכלול קישורי AOSP.
  • 12 בספטמבר 2016: עלון מתוקן כדי לעדכן את הייחוס עבור CVE-2016-3861 ולהסיר את CVE-2016-3877.