Dipublikasikan 06 September 2016 | Diperbarui 12 September 2016
Buletin Keamanan Android berisi detail kerentanan keamanan yang memengaruhi perangkat Android. Bersama dengan buletin ini, kami telah merilis update keamanan ke perangkat Nexus melalui update over-the-air (OTA). Image firmware Nexus juga telah dirilis ke situs Developer Google. Tingkat Patch Keamanan 06 September 2016 atau yang lebih baru mengatasi masalah ini. Lihat dokumentasi untuk mempelajari cara memeriksa tingkat patch keamanan. Perangkat Nexus yang didukung akan menerima satu update OTA dengan level patch keamanan 06 September 2016.
Partner diberi tahu tentang masalah yang dijelaskan dalam buletin pada 05 Agustus 2016 atau sebelumnya. Jika berlaku, patch kode sumber untuk masalah ini telah dirilis ke repositori Android Open Source Project (AOSP). Buletin ini juga menyertakan link ke patch di luar AOSP.
Masalah yang paling parah adalah kerentanan keamanan Kritis yang dapat memungkinkan eksekusi kode jarak jauh di perangkat yang terpengaruh melalui beberapa metode seperti email, penjelajahan web, dan MMS saat memproses file media. Penilaian keparahan berdasarkan efek yang mungkin akan ditimbulkan oleh eksploitasi kerentanan pada perangkat yang terpengaruh, dengan asumsi mitigasi platform dan layanan dinonaktifkan untuk tujuan pengembangan atau jika berhasil diabaikan.
Kami tidak menerima laporan tentang eksploitasi atau penyalahgunaan pelanggan aktif terhadap masalah yang baru dilaporkan ini. Lihat bagian Mitigasi layanan Android dan Google untuk mengetahui detail tentang perlindungan platform keamanan Android dan perlindungan layanan seperti SafetyNet, yang meningkatkan keamanan platform Android.
Sebaiknya semua pelanggan menyetujui update ini ke perangkat mereka.
Pengumuman
- Buletin ini memiliki tiga string tingkat patch keamanan untuk memberi partner
Android fleksibilitas agar dapat bergerak lebih cepat untuk memperbaiki sebagian vulnerability
yang serupa di semua perangkat Android. Lihat
Jawaban untuk pertanyaan umum untuk
mengetahui informasi tambahan:
- 2016-09-01: String level patch keamanan parsial. String tingkat patch keamanan ini menunjukkan bahwa semua masalah yang terkait dengan 01-09-2016 (dan semua string tingkat patch keamanan sebelumnya) telah ditangani.
- 2016-09-05: String level patch keamanan sebagian. String tingkat patch keamanan ini menunjukkan bahwa semua masalah yang terkait dengan 01-09-2016 dan 05-09-2016 (dan semua string tingkat patch keamanan sebelumnya) telah ditangani.
- 06-09-2016: Menyelesaikan string level patch keamanan, yang menangani masalah yang ditemukan setelah partner diberi tahu tentang sebagian besar masalah dalam buletin ini. String tingkat patch keamanan ini menunjukkan bahwa semua masalah yang terkait dengan 01-09-2016, 05-09-2016, dan 06-09-2016 (dan semua string tingkat patch keamanan sebelumnya) telah ditangani.
- Perangkat Nexus yang didukung akan menerima satu update OTA dengan level patch keamanan 06 September 2016.
Mitigasi layanan Android dan Google
Ini adalah ringkasan mitigasi yang disediakan oleh platform keamanan Android dan perlindungan layanan seperti SafetyNet. Kemampuan ini mengurangi kemungkinan kerentanan keamanan dapat berhasil dieksploitasi di Android.
- Eksploitasi untuk banyak masalah di Android menjadi lebih sulit karena peningkatan pada platform Android versi yang lebih baru. Sebaiknya semua pengguna mengupdate ke versi Android terbaru jika memungkinkan.
- Tim Android Security secara aktif memantau penyalahgunaan dengan Verify Apps dan SafetyNet, yang dirancang untuk memperingatkan pengguna tentang Aplikasi yang Berpotensi Membahayakan. Verifikasi Aplikasi diaktifkan secara default di perangkat dengan Layanan Seluler Google, dan sangat penting bagi pengguna yang menginstal aplikasi dari luar Google Play. Alat rooting perangkat dilarang di Google Play, tetapi Verifikasi Aplikasi memperingatkan pengguna saat mereka mencoba menginstal aplikasi rooting yang terdeteksi—terlepas dari tempat asalnya. Selain itu, Verifikasi Aplikasi mencoba mengidentifikasi dan memblokir penginstalan aplikasi berbahaya yang diketahui mengeksploitasi kerentanan escalation hak istimewa. Jika aplikasi tersebut telah diinstal, Verifikasi Aplikasi akan memberi tahu pengguna dan mencoba menghapus aplikasi yang terdeteksi.
- Sesuai kebutuhan, aplikasi Google Hangouts dan Messenger tidak otomatis meneruskan media ke proses seperti Mediaserver.
Ucapan Terima Kasih
Kami ingin mengucapkan terima kasih kepada para peneliti berikut atas kontribusi mereka:
- Cory Pruce dari Carnegie Mellon University: CVE-2016-3897
- Gengjia Chen (@chengjia4574) dan pjf dari IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-3869, CVE-2016-3865, CVE-2016-3866, CVE-2016-3867
- Hao Qin dari Security Research Lab, Cheetah Mobile: CVE-2016-3863
- Jann Horn dari Project Zero Google: CVE-2016-3885
- Jianqiang Zhao (@jianqiangzhao) dan pjf dari IceSword Lab, Qihoo 360: CVE-2016-3858
- Joshua Drake (@jduck): CVE-2016-3861
- Madhu Priya Murugan dari CISPA, Saarland University: CVE-2016-3896
- Makoto Onuki dari Google: CVE-2016-3876
- Merek Tanda Project Zero Google: CVE-2016-3861
- Max Spector dari Android Security: CVE-2016-3888
- Max Spector dan Quan To dari Android Security: CVE-2016-3889
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu), dan Xuxian Jiang dari Tim C0RE: CVE-2016-3895
- Nathan Crandall (@natecray) dari Tim Keamanan Produk Tesla Motors: Penemuan masalah tambahan terkait CVE-2016-2446
- Oleksiy Vyalov dari Google: CVE-2016-3890
- Oliver Chang dari Tim Keamanan Google Chrome: CVE-2016-3880
- Peng Xiao, Chengming Yang, Ning You, Chao Yang, dan Yang song, dari Alibaba Mobile Security Group: CVE-2016-3859
- Ronald L. Loor Vargas (@loor_rlv) dari TEAM Lv51: CVE-2016-3886
- Sagi Kedmi, IBM Security X-Force Researcher: CVE-2016-3873
- Scott Bauer (@ScottyBauer1): CVE-2016-3893, CVE-2016-3868, CVE-2016-3867
- Seven Shen (@lingtongshen) dari TrendMicro: CVE-2016-3894
- Tim Strazzere (@timstrazz) dari SentinelOne / RedNaga: CVE-2016-3862
- trotmaster (@trotmaster99): CVE-2016-3883
- Victor Chang dari Google: CVE-2016-3887
- Vignesh Venkatasubramanian dari Google: CVE-2016-3881
- Weichao Sun (@sunblate) dari Alibaba Inc: CVE-2016-3878
- Wenke Dou, Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu), dan Xuxian Jiang dari Tim C0RE: CVE-2016-3870, CVE-2016-3871, CVE-2016-3872
- Wish Wu (吴潍浠) (@wish_wu) dari Trend Micro Inc.: CVE-2016-3892
- Xingyu He (何星宇) (@Spid3r_) dari Alibaba Inc: CVE-2016-3879
- Yacong Gu dari TCA Lab, Institute of Software, Chinese Academy of Sciences: CVE-2016-3884
- Yuru Shao dari University of Michigan Ann Arbor: CVE-2016-3898
Level patch keamanan 01-09-2016—Detail kerentanan keamanan
Di bagian di bawah, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku untuk tingkat patch 01-09-2016. Terdapat deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, referensi terkait, tingkat keparahan, perangkat Nexus yang diupdate, versi AOSP yang diupdate (jika ada), dan tanggal dilaporkan. Jika tersedia, kami akan menautkan perubahan publik yang mengatasi masalah tersebut ke ID bug, seperti daftar perubahan AOSP. Jika beberapa perubahan terkait dengan satu bug, referensi tambahan akan ditautkan ke angka yang mengikuti ID bug.
Kerentanan eksekusi kode jarak jauh di LibUtils
Kerentanan eksekusi kode jarak jauh di LibUtils dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk mengeksekusi kode arbitrer dalam konteks proses dengan hak istimewa. Masalah ini diberi rating sebagai Kritis karena kemungkinan eksekusi kode jarak jauh dalam aplikasi yang menggunakan library ini.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3861 | A-29250543 [2] [3] [4] | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 9 Juni 2016 |
Kerentanan eksekusi kode jarak jauh di Mediaserver
Kerentanan eksekusi kode jarak jauh di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan kerusakan memori selama pemrosesan file media dan data. Masalah ini diberi rating sebagai Kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks proses Mediaserver.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3862 | A-29270469 | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 Juni 2016 |
Kerentanan eksekusi kode jarak jauh di MediaMuxer
Kerentanan eksekusi kode jarak jauh di MediaMuxer dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk mengeksekusi kode arbitrer dalam konteks proses tanpa hak istimewa. Masalah ini diberi rating Tinggi karena kemungkinan eksekusi kode jarak jauh dalam aplikasi yang menggunakan MediaMuxer.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3863 | A-29161888 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 6 Juni 2016 |
Kerentanan elevasi hak istimewa di Mediaserver
Kerentanan peningkatan hak istimewa di Mediaserver dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks proses dengan hak istimewa. Masalah ini diberi rating Tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang ditingkatkan, yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3870 | A-29421804 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 Juni 2016 |
| CVE-2016-3871 | A-29422022 [2] [3] | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 Juni 2016 |
| CVE-2016-3872 | A-29421675 [2] | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 Juni 2016 |
Kerentanan elevasi hak istimewa saat booting perangkat
Elevasi hak istimewa selama urutan booting dapat memungkinkan penyerang jahat lokal melakukan booting ke mode aman meskipun mode tersebut dinonaktifkan. Masalah ini diberi rating Tinggi karena merupakan pengabaian lokal terhadap persyaratan interaksi pengguna untuk modifikasi setelan keamanan atau developer.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3875 | A-26251884 | Tinggi | Tidak ada* | 6.0, 6.0.1 | Internal Google |
* Perangkat Nexus yang didukung di Android 7.0 yang telah menginstal semua update yang tersedia tidak terpengaruh oleh kerentanan ini.
Kerentanan elevasi hak istimewa di Setelan
Eskalasi hak istimewa di Setelan dapat memungkinkan penyerang berbahaya lokal mem-booting ke mode aman meskipun dinonaktifkan. Masalah ini diberi rating Tinggi karena merupakan pengabaian lokal terhadap persyaratan interaksi pengguna untuk setiap modifikasi setelan keamanan atau developer.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3876 | A-29900345 | Tinggi | Semua Nexus | 6.0, 6.0.1, 7.0 | Internal Google |
Kerentanan denial of service di Mediaserver
Kerentanan denial of service di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan perangkat hang atau mulai ulang. Masalah ini diberi rating Tinggi karena kemungkinan serangan denial of service jarak jauh.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3899 | A-29421811 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 16 Juni 2016 |
| CVE-2016-3878 | A-29493002 | Tinggi | Semua Nexus* | 6.0, 6.0.1 | 17 Juni 2016 |
| CVE-2016-3879 | A-29770686 | Tinggi | Semua Nexus* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 Juni 2016 |
| CVE-2016-3880 | A-25747670 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | Internal Google |
| CVE-2016-3881 | A-30013856 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | Internal Google |
* Perangkat Nexus yang didukung di Android 7.0 yang telah menginstal semua update yang tersedia tidak terpengaruh oleh kerentanan ini.
Kerentanan elevasi hak istimewa di Telepon
Kerentanan elevasi hak istimewa di komponen Telepon dapat memungkinkan aplikasi berbahaya lokal mengirim pesan SMS premium yang tidak sah. Masalah ini diberi rating Sedang karena dapat digunakan untuk mendapatkan kemampuan yang ditingkatkan tanpa izin pengguna yang eksplisit.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3883 | A-28557603 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 3 Mei 2016 |
Kerentanan elevasi hak istimewa di Layanan Pengelola Notifikasi
Kerentanan peningkatan hak istimewa di Layanan Pengelola Notifikasi dapat memungkinkan aplikasi berbahaya lokal mengabaikan perlindungan sistem operasi yang mengisolasi data aplikasi dari aplikasi lain. Masalah ini dinilai sebagai Sedang karena merupakan pengabaian lokal terhadap persyaratan interaksi pengguna, seperti akses ke fungsi yang biasanya memerlukan inisiatif pengguna atau izin pengguna.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3884 | A-29421441 | Sedang | Semua Nexus | 6.0, 6.0.1, 7.0 | 15 Juni 2016 |
Kerentanan elevasi hak istimewa di Debuggerd
Kerentanan peningkatan hak istimewa di debugger Android terintegrasi dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer dalam konteks debugger Android. Masalah ini diberi rating keparahan Sedang karena kemungkinan eksekusi kode arbitrer lokal dalam proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3885 | A-29555636 | Sedang | Semua Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 21 Juni 2016 |
Kerentanan elevasi hak istimewa di Penyetel UI Sistem
Elevasi hak istimewa di System UI Tuner dapat memungkinkan pengguna lokal jahat mengubah setelan yang dilindungi saat perangkat terkunci. Masalah ini diberi rating sebagai Sedang karena merupakan pengabaian izin pengguna secara lokal.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3886 | A-30107438 | Sedang | Semua Nexus | 7,0 | 23 Juni 2016 |
Kerentanan elevasi hak istimewa di Setelan
Kerentanan elevasi hak istimewa di Setelan dapat memungkinkan aplikasi malicious lokal untuk mengabaikan perlindungan sistem operasi untuk setelan VPN. Masalah ini diberi rating Sedang karena dapat digunakan untuk mendapatkan akses ke data yang berada di luar tingkat izin aplikasi.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3887 | A-29899712 | Sedang | Semua Nexus | 7,0 | Internal Google |
Kerentanan elevasi hak istimewa di SMS
Kerentanan elevasi hak istimewa di SMS dapat memungkinkan penyerang lokal mengirim pesan SMS premium sebelum perangkat disediakan. Tindakan ini diberi rating sebagai Sedang karena kemungkinan mengabaikan Perlindungan Reset ke Setelan Pabrik, yang akan mencegah perangkat digunakan sebelum disiapkan.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3888 | A-29420123 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | Internal Google |
Kerentanan elevasi hak istimewa di Setelan
Kerentanan elevasi hak istimewa di Setelan dapat memungkinkan penyerang lokal mengabaikan Perlindungan Reset ke Setelan Pabrik dan mendapatkan akses ke perangkat. Hal ini diberi rating Sedang karena kemungkinan mengabaikan Perlindungan Reset ke Setelan Pabrik, yang dapat menyebabkan perangkat berhasil direset dan menghapus semua datanya.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3889 | A-29194585 [2] | Sedang | Semua Nexus | 6.0, 6.0.1, 7.0 | Internal Google |
Kerentanan elevasi hak istimewa di Java Debug Wire Protocol
Kerentanan peningkatan hak istimewa di Java Debug Wire Protocol dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer dalam konteks aplikasi sistem yang ditingkatkan. Masalah ini diberi rating Sedang karena memerlukan konfigurasi perangkat yang tidak umum.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3890 | A-28347842 [2] | Sedang | Tidak ada* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Internal Google |
* Perangkat Nexus yang didukung di Android 7.0 yang telah menginstal semua update yang tersedia tidak terpengaruh oleh kerentanan ini.
Kerentanan pengungkapan informasi di Mediaserver
Kerentanan pengungkapan informasi di Mediaserver dapat memungkinkan aplikasi berbahaya lokal mengakses data di luar tingkat izinnya. Masalah ini diberi rating Sedang karena dapat digunakan untuk mengakses data sensitif tanpa izin.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3895 | A-29983260 | Sedang | Semua Nexus | 6.0, 6.0.1, 7.0 | 4 Juli 2016 |
Kerentanan pengungkapan informasi di AOSP Mail
Kerentanan pengungkapan informasi di AOSP Mail dapat memungkinkan aplikasi berbahaya lokal mendapatkan akses ke informasi pribadi pengguna. Masalah ini diberi rating Sedang karena dapat digunakan untuk mengakses data secara tidak semestinya tanpa izin.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3896 | A-29767043 | Sedang | Tidak ada* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 Juli 2016 |
* Perangkat Nexus yang didukung di Android 7.0 yang telah menginstal semua update yang tersedia tidak terpengaruh oleh kerentanan ini.
Kerentanan pengungkapan informasi di Wi-Fi
Kerentanan pengungkapan informasi dalam konfigurasi Wi-Fi dapat memungkinkan aplikasi mengakses informasi sensitif. Masalah ini diberi rating Sedang karena dapat digunakan untuk mengakses data tanpa izin.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3897 | A-25624963 [2] | Sedang | Tidak ada* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 November 2015 |
* Perangkat Nexus yang didukung di Android 7.0 yang telah menginstal semua update yang tersedia tidak terpengaruh oleh kerentanan ini.
Kerentanan denial of service di Telepon
Kerentanan denial of service di komponen Telepon dapat memungkinkan aplikasi berbahaya lokal mencegah panggilan TTY 911 dari layar terkunci. Masalah ini diberi rating Sedang karena kemungkinan denial of service pada fungsi penting.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3898 | A-29832693 | Sedang | Semua Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 Juni 2016 |
Tingkat patch keamanan 05-09-2016—Detail kerentanan
Di bagian di bawah, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku untuk tingkat patch 05-09-2016. Terdapat deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, referensi terkait, tingkat keparahan, perangkat Nexus yang diupdate, versi AOSP yang diupdate (jika ada), dan tanggal dilaporkan. Jika tersedia, kami akan menautkan perubahan publik yang mengatasi masalah tersebut ke ID bug, seperti daftar perubahan AOSP. Jika beberapa perubahan terkait dengan satu bug, referensi tambahan akan ditautkan ke angka yang mengikuti ID bug.
Kerentanan elevasi hak istimewa di subsistem keamanan kernel
Kerentanan eskalasi hak istimewa di subsistem keamanan kernel dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2014-9529 | A-29510361 | Kritis | Nexus 5, Nexus 6, Nexus 9, Nexus Player, Android One | 6 Januari 2015 |
| CVE-2016-4470 | A-29823941 | Kritis | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player | 15 Juni 2016 |
Kerentanan elevasi hak istimewa di subsistem jaringan kernel
Kerentanan peningkatan hak istimewa di subsistem jaringan kernel dapat memungkinkan aplikasi berbahaya lokal menjalankan kode arbitrer dalam konteks kernel. Masalah ini diberi rating Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2013-7446 | A-29119002 | Kritis | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 18 November 2015 |
Kerentanan elevasi hak istimewa di subsistem netfilter kernel
Kerentanan eskalasi hak istimewa di subsistem netfilter kernel dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3134 | A-28940694 | Kritis | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 9 Mar 2016 |
Kerentanan elevasi hak istimewa di driver USB kernel
Kerentanan peningkatan hak istimewa di driver USB kernel dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Kritis karena kemungkinan adanya compromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3951 | A-28744625 | Kritis | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 6 April 2016 |
Kerentanan elevasi hak istimewa di subsistem suara kernel
Kerentanan elevasi hak istimewa di subsistem suara kernel dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2014-4655 | A-29916012 | Tinggi | Nexus 5, Nexus 6, Nexus 9, Nexus Player | 26 Juni 2014 |
Kerentanan elevasi hak istimewa di decoder ASN.1 kernel
Kerentanan elevasi hak istimewa dalam dekoder ASN.1 kernel dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2053 | A-28751627 | Tinggi | Nexus 5X, Nexus 6P | 25 Jan 2016 |
Kerentanan elevasi hak istimewa di lapisan antarmuka radio Qualcomm
Kerentanan elevasi hak istimewa di lapisan antarmuka radio Qualcomm dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3864 | A-28823714* QC-CR#913117 |
Tinggi | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 29 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan elevasi hak istimewa di driver subsistem Qualcomm
Kerentanan peningkatan hak istimewa di driver subsistem Qualcomm dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3858 | A-28675151 QC-CR#1022641 |
Tinggi | Nexus 5X, Nexus 6P | 9 Mei 2016 |
Kerentanan elevasi hak istimewa di driver jaringan kernel
Kerentanan peningkatan hak istimewa di driver jaringan kernel dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-4805 | A-28979703 | Tinggi | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9 | 15 Mei 2016 |
Kerentanan elevasi hak istimewa di driver layar sentuh Synaptics
Kerentanan peningkatan hak istimewa di driver layar sentuh Synaptics dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3865 | A-28799389* | Tinggi | Nexus 5X, Nexus 9 | 16 Mei 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan elevasi hak istimewa di driver kamera Qualcomm
Kerentanan elevasi hak istimewa di driver kamera Qualcomm dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3859 | A-28815326* QC-CR#1034641 |
Tinggi | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 17 Mei 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan elevasi hak istimewa di driver suara Qualcomm
Kerentanan peningkatan hak istimewa di driver suara Qualcomm dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3866 | A-28868303* QC-CR#1032820 |
Tinggi | Nexus 5X, Nexus 6, Nexus 6P | 18 Mei 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan elevasi hak istimewa di driver IPA Qualcomm
Kerentanan peningkatan hak istimewa di driver IPA Qualcomm dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3867 | A-28919863* QC-CR#1037897 |
Tinggi | Nexus 5X, Nexus 6P | 21 Mei 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan elevasi hak istimewa di driver daya Qualcomm
Kerentanan peningkatan hak istimewa di driver daya Qualcomm dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3868 | A-28967028* QC-CR#1032875 |
Tinggi | Nexus 5X, Nexus 6P | 25 Mei 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan elevasi hak istimewa di driver Wi-Fi Broadcom
Kerentanan elevasi hak istimewa di driver Wi-Fi Broadcom dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3869 | A-29009982* B-RB#96070 |
Tinggi | Nexus 5, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C | 27 Mei 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan elevasi hak istimewa dalam sistem file eCryptfs kernel
Kerentanan peningkatan hak istimewa dalam sistem file eCryptfs kernel dapat memungkinkan aplikasi berbahaya lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-1583 | A-29444228 Kernel upstream |
Tinggi | Pixel C | 1 Juni 2016 |
Kerentanan elevasi hak istimewa di kernel NVIDIA
Kerentanan peningkatan hak istimewa di kernel NVIDIA dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Keparahan tinggi karena memerlukan kompromi proses dengan hak istimewa terlebih dahulu.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3873 | A-29518457* N-CVE-2016-3873 |
Tinggi | Nexus 9 | 20 Juni 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan elevasi hak istimewa di driver Wi-Fi Qualcomm
Kerentanan peningkatan hak istimewa di driver Wi-Fi Qualcomm dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3874 | A-29944562 QC-CR#997797 [2] |
Tinggi | Nexus 5X | 1 Juli 2016 |
Kerentanan denial of service di subsistem jaringan kernel
Kerentanan denial of service di subsistem jaringan kernel dapat memungkinkan penyerang menyebabkan perangkat hang atau melakukan reboot. Masalah ini diberi rating Tinggi karena kemungkinan denial of service jarak jauh yang bersifat sementara.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2015-1465 | A-29506807 | Tinggi | Nexus 5, Nexus 6, Nexus 9, Nexus Player, Pixel C, Android One | 3 Februari 2015 |
| CVE-2015-5364 | A-29507402 | Tinggi | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 30 Juni 2015 |
Kerentanan denial of service di sistem file ext4 kernel
Kerentanan denial of service di sistem file ext4 kernel dapat memungkinkan penyerang menyebabkan denial of service permanen lokal, yang mungkin memerlukan flash ulang sistem operasi untuk memperbaiki perangkat. Masalah ini diberi rating Tinggi karena kemungkinan denial of service lokal yang permanen.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2015-8839 | A-28760453* | Tinggi | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 4 April 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan pengungkapan informasi di driver SPMI Qualcomm
Kerentanan pengungkapan informasi di driver SPMI Qualcomm dapat memungkinkan aplikasi berbahaya lokal mengakses data di luar tingkat izinnya. Masalah ini diberi rating Sedang karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3892 | A-28760543* QC-CR#1024197 |
Sedang | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 13 Mei 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan pengungkapan informasi di codec suara Qualcomm
Kerentanan pengungkapan informasi di codec suara Qualcomm dapat memungkinkan aplikasi berbahaya lokal mengakses data di luar tingkat izinnya. Masalah ini diberi rating Sedang karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3893 | A-29512527 QC-CR#856400 |
Sedang | Nexus 6P | 20 Juni 2016 |
Kerentanan pengungkapan informasi di komponen DMA Qualcomm
Kerentanan pengungkapan informasi di komponen DMA Qualcomm dapat memungkinkan aplikasi berbahaya lokal mengakses data di luar tingkat izinnya. Masalah ini diberi rating Sedang karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3894 | A-29618014* QC-CR#1042033 |
Sedang | Nexus 6 | 23 Juni 2016 |
* Patch untuk masalah ini tidak tersedia secara publik. Update ini terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Developer Google.
Kerentanan pengungkapan informasi di subsistem jaringan kernel
Kerentanan pengungkapan informasi di subsistem jaringan kernel dapat memungkinkan aplikasi berbahaya lokal mengakses data di luar tingkat izinnya. Masalah ini diberi rating Sedang karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-4998 | A-29637687 Kernel upstream [2] |
Sedang | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 24 Juni 2016 |
Kerentanan denial of service di subsistem jaringan kernel
Kerentanan denial of service di subsistem jaringan kernel dapat memungkinkan penyerang memblokir akses ke kemampuan Wi-Fi.Masalah ini diberi rating Sedang karena kemungkinan denial of service jarak jauh sementara dari kemampuan Wi-Fi.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2015-2922 | A-29409847 | Sedang | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 4 April 2015 |
Kerentanan dalam komponen Qualcomm
Tabel di bawah berisi kerentanan keamanan yang memengaruhi komponen Qualcomm, yang berpotensi mencakup bootloader, driver kamera, driver karakter, jaringan, driver suara, dan driver video.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2469 | QC-CR#997025 | Tinggi | Tidak ada | Jun 2016 |
| CVE-2016-2469 | QC-CR#997015 | Sedang | Tidak ada | Jun 2016 |
Tingkat patch keamanan 06-09-2016—Detail kerentanan
Di bagian di bawah, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku untuk tingkat patch 06-09-2016. Terdapat deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, referensi terkait, tingkat keparahan, perangkat Nexus yang diupdate, versi AOSP yang diupdate (jika ada), dan tanggal dilaporkan. Jika tersedia, kami akan menautkan perubahan publik yang mengatasi masalah tersebut ke ID bug, seperti daftar perubahan AOSP. Jika beberapa perubahan terkait dengan satu bug, referensi tambahan akan ditautkan ke angka yang mengikuti ID bug.
Kerentanan elevasi hak istimewa di subsistem memori bersama kernel
Kerentanan eskalasi hak istimewa di subsistem memori bersama kernel dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-5340 | A-30652312 QC-CR#1008948 |
Kritis | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 26 Juli 2016 |
Kerentanan elevasi hak istimewa dalam komponen jaringan Qualcomm
Kerentanan elevasi hak istimewa di komponen jaringan Qualcomm dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini diberi rating Tinggi karena pertama-tama memerlukan kompromi proses dengan hak istimewa.
| CVE | Referensi | Tingkat Keparahan | Perangkat Nexus yang telah diupdate | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2059 | A-27045580 QC-CR#974577 |
Tinggi | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 Februari 2016 |
Pertanyaan Umum dan Jawaban
Bagian ini menjawab pertanyaan umum yang mungkin muncul setelah membaca berita ini.
1. Bagaimana cara menentukan apakah perangkat saya telah diupdate untuk menyelesaikan masalah ini?
Tingkat Patch Keamanan 01-09-2016 atau yang lebih baru mengatasi semua masalah yang terkait dengan tingkat string patch keamanan 01-09-2016. Tingkat Patch Keamanan 05-09-2016 atau yang lebih baru mengatasi semua masalah yang terkait dengan tingkat string patch keamanan 05-09-2016. Tingkat Patch Keamanan 06-09-2016 atau yang lebih baru mengatasi semua masalah yang terkait dengan tingkat string patch keamanan 06-09-2016. Lihat pusat bantuan untuk mengetahui petunjuk cara memeriksa level patch keamanan. Produsen perangkat yang menyertakan update ini harus menetapkan level string patch ke: [ro.build.version.security_patch]:[2016-09-01], [ro.build.version.security_patch]:[2016-09-05], atau [ro.build.version.security_patch]:[2016-09-06].
2. Mengapa buletin ini memiliki tiga string level patch keamanan?
Buletin ini memiliki tiga string tingkat patch keamanan sehingga partner Android memiliki fleksibilitas untuk memperbaiki sebagian kerentanan yang serupa di semua perangkat Android dengan lebih cepat. Partner Android dianjurkan untuk memperbaiki semua masalah dalam buletin ini dan menggunakan string level patch keamanan terbaru.
Perangkat yang menggunakan level patch keamanan 6 September 2016 atau yang lebih baru harus menyertakan semua patch yang berlaku dalam buletin keamanan ini (dan sebelumnya). Tingkat patch ini dibuat untuk mengatasi masalah yang ditemukan setelah partner pertama kali diberi tahu tentang sebagian besar masalah dalam buletin ini.
Perangkat yang menggunakan level patch keamanan 5 September 2016 harus menyertakan semua masalah yang terkait dengan level patch keamanan tersebut, level patch keamanan 1 September 2016, dan perbaikan untuk semua masalah yang dilaporkan dalam buletin keamanan sebelumnya. Perangkat yang menggunakan level patch keamanan 5 September 2016 juga dapat menyertakan subset perbaikan yang terkait dengan level patch keamanan 6 September 2016.
Perangkat yang menggunakan level patch keamanan 1 September 2016 harus menyertakan semua masalah yang terkait dengan level patch keamanan tersebut serta perbaikan untuk semua masalah yang dilaporkan dalam buletin keamanan sebelumnya. Perangkat yang menggunakan tingkat patch keamanan 1 September 2016 juga dapat menyertakan subset perbaikan yang terkait dengan tingkat patch keamanan 5 September 2016 dan 6 September 2016.
3. Bagaimana cara menentukan perangkat Nexus mana yang terpengaruh oleh setiap masalah?
Di bagian detail kerentanan keamanan 01-09-2016, 05-09-2016, dan 06-09-2016, setiap tabel memiliki kolom Perangkat Nexus yang diperbarui yang mencakup rentang perangkat Nexus yang terpengaruh dan telah diupdate untuk setiap masalah. Kolom ini memiliki beberapa opsi:
- Semua perangkat Nexus: Jika masalah memengaruhi semua perangkat Nexus, tabel akan menampilkan “Semua Nexus” di kolom Perangkat Nexus yang diupdate. “Semua Nexus” mengenkapsulasi perangkat yang didukung berikut: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, dan Pixel C.
- Beberapa perangkat Nexus: Jika masalah tidak memengaruhi semua perangkat Nexus, perangkat Nexus yang terpengaruh akan tercantum di kolom Perangkat Nexus yang diupdate.
- Tidak ada perangkat Nexus: Jika tidak ada perangkat Nexus yang menjalankan Android 7.0 yang terpengaruh oleh masalah ini, tabel akan menampilkan “Tidak ada” di kolom Perangkat Nexus yang diupdate.
4. Apa yang dipetakan oleh entri di kolom referensi?
Entri di kolom Referensi pada tabel detail kerentanan dapat berisi awalan yang mengidentifikasi organisasi tempat nilai referensi berada. Awalan ini dipetakan sebagai berikut:
| Awalan | Referensi |
|---|---|
| A- | ID bug Android |
| QC- | Nomor referensi Qualcomm |
| M- | Nomor referensi MediaTek |
| N- | Nomor referensi NVIDIA |
| B- | Nomor referensi Broadcom |
Revisi
- 06 September 2016: Buletin diterbitkan.
- 07 September 2016: Buletin direvisi untuk menyertakan link AOSP.
- 12 September 2016: Buletin direvisi untuk memperbarui atribusi untuk CVE-2016-3861 dan menghapus CVE-2016-3877.