Opublikowano 06 września 2016 | Zaktualizowano 12 września 2016 r.
Biuletyn Android Security Bulletin zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Wraz z biuletynem udostępniliśmy aktualizację zabezpieczeń urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA). Obrazy oprogramowania sprzętowego Nexusa zostały również udostępnione w witrynie Google Developer . Poprawki zabezpieczeń z 6 września 2016 r. lub nowsze rozwiązują te problemy. Zapoznaj się z dokumentacją , aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń. Obsługiwane urządzenia Nexus otrzymają pojedynczą aktualizację OTA z poziomem poprawki zabezpieczeń z 6 września 2016 r.
Partnerzy zostali powiadomieni o problemach opisanych w biuletynie 5 sierpnia 2016 r. lub wcześniej. W stosownych przypadkach w repozytorium Android Open Source Project (AOSP) udostępniono poprawki kodu źródłowego dla tych problemów. Biuletyn ten zawiera również łącza do poprawek spoza AOSP.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która podczas przetwarzania plików multimedialnych może umożliwić zdalne wykonanie kodu na zaatakowanym urządzeniu za pomocą wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS. Ocena dotkliwości opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy, przy założeniu, że platforma i usługi ograniczania zagrożeń są wyłączone w celach programistycznych lub pomyślnie ominięte.
Nie mieliśmy żadnych doniesień o aktywnym wykorzystywaniu lub nadużywaniu przez klientów tych nowo zgłoszonych problemów. Zapoznaj się z sekcją Ograniczenia ryzyka w usługach Android i Google, aby uzyskać szczegółowe informacje na temat zabezpieczeń platformy Android i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android.
Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Ogłoszenia
- Ten biuletyn zawiera trzy łańcuchy poziomów poprawek zabezpieczeń, aby zapewnić partnerom systemu Android elastyczność umożliwiającą szybsze naprawianie podzbioru luk, które są podobne na wszystkich urządzeniach z systemem Android. Zobacz Często zadawane pytania i odpowiedzi, aby uzyskać dodatkowe informacje:
- 2016-09-01 : Częściowy ciąg poziomu poprawek zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z 01.09.2016 (i wszystkimi poprzednimi ciągami poziomu poprawek zabezpieczeń).
- 2016-09-05 : Częściowy ciąg poziomu poprawek zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że wszystkie problemy związane z 2016-09-01 i 2016-09-05 (oraz wszystkie poprzednie ciągi poziomu poprawek zabezpieczeń) zostały rozwiązane.
- 2016-09-06 : Kompletny ciąg poziomu poprawek zabezpieczeń, który rozwiązuje problemy wykryte po powiadomieniu partnerów o większości problemów w tym biuletynie. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że wszystkie problemy związane z 2016-09-01, 2016-09-05 i 2016-09-06 (oraz wszystkie poprzednie ciągi poziomu poprawek zabezpieczeń) zostały rozwiązane.
- Obsługiwane urządzenia Nexus otrzymają pojedynczą aktualizację OTA z poziomem poprawki zabezpieczeń z 6 września 2016 r.
Ograniczenia w usługach Android i Google
To jest podsumowanie środków łagodzących zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Te możliwości zmniejszają prawdopodobieństwo pomyślnego wykorzystania luk w zabezpieczeniach w systemie Android.
- Wykorzystanie wielu problemów w systemie Android jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do aktualizacji do najnowszej wersji Androida tam, gdzie to możliwe.
- Zespół Android Security aktywnie monitoruje nadużycia za pomocą funkcji Verify Apps i SafetyNet , które mają ostrzegać użytkowników o potencjalnie szkodliwych aplikacjach . Weryfikacja aplikacji jest domyślnie włączona na urządzeniach z usługami Google Mobile Services i jest szczególnie ważna dla użytkowników instalujących aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale Weryfikacja aplikacji ostrzega użytkowników, gdy próbują zainstalować wykrytą aplikację do rootowania — bez względu na to, skąd pochodzi. Ponadto Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji, które wykorzystują lukę w eskalacji uprawnień. Jeśli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wykrytej aplikacji.
- W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.
Podziękowanie
Chcielibyśmy podziękować tym badaczom za ich wkład:
- Cory Pruce z Carnegie Mellon University: CVE-2016-3897
- Gengjia Chen ( @chengjia4574 ) i pjf z IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-3869, CVE-2016-3865, CVE-2016-3866, CVE-2016-3867
- Hao Qin z Security Research Lab, Cheetah Mobile : CVE-2016-3863
- Jann Horn z Google Project Zero: CVE-2016-3885
- Jianqiang Zhao ( @jianqiangzhao ) i pjf z IceSword Lab, Qihoo 360: CVE-2016-3858
- Joshua Drake ( @jduck ): CVE-2016-3861
- Madhu Priya Murugan z CISPA, Saarland University: CVE-2016-3896
- Makoto Onuki z Google: CVE-2016-3876
- Oznacz markę Google Project Zero: CVE-2016-3861
- Max Spector zabezpieczeń Androida: CVE-2016-3888
- Max Spector i Quan To zabezpieczeń Androida: CVE-2016-3889
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-3895
- Nathan Crandall ( @natecray ) z zespołu ds. bezpieczeństwa produktów Tesla Motors: wykrycie dodatkowych problemów związanych z CVE-2016-2446
- Oleksiy Vyalov z Google: CVE-2016-3890
- Oliver Chang z zespołu ds. bezpieczeństwa przeglądarki Google Chrome: CVE-2016-3880
- Peng Xiao, Chengming Yang, Ning You, Chao Yang i piosenka Yang z Alibaba Mobile Security Group: CVE-2016-3859
- Ronald L. Loor Vargas ( @loor_rlv ) z TEAM Lv51: CVE-2016-3886
- Sagi Kedmi, IBM Security X-Force Researcher: CVE-2016-3873
- Scott Bauer ( @ScottyBauer1 ): CVE-2016-3893, CVE-2016-3868, CVE-2016-3867
- Siedem Shen ( @lingtongshen ) z TrendMicro: CVE-2016-3894
- Tim Strazzere ( @timstrazz ) z SentinelOne / RedNaga: CVE-2016-3862
- trotmaster ( @trotmaster99 ): CVE-2016-3883
- Victor Chang z Google: CVE-2016-3887
- Vignesh Venkatasubramanian z Google: CVE-2016-3881
- Weichao Sun ( @sunblate ) z Alibaba Inc: CVE-2016-3878
- Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-3870, CVE-2016-3871, CVE-2016-3872
- Życzę Wu (吴潍浠) ( @wish_wu ) z Trend Micro Inc .: CVE-2016-3892
- Xingyu He (何星宇) ( @Spid3r_ ) z Alibaba Inc : CVE-2016-3879
- Yacong Gu z TCA Lab, Institute of Software, Chińska Akademia Nauk: CVE-2016-3884
- Yuru Shao z University of Michigan Ann Arbor: CVE-2016-3898
2016-09-01 poziom poprawki zabezpieczeń — szczegóły dotyczące luk w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z dnia 2016-09-01. Istnieje opis problemu, uzasadnienie ważności oraz tabela z CVE, powiązanymi odniesieniami, dotkliwością, zaktualizowanymi urządzeniami Nexus, zaktualizowanymi wersjami AOSP (jeśli dotyczy) i datą zgłoszenia. Gdy będzie to możliwe, połączymy publiczną zmianę, która dotyczyła problemu, z identyfikatorem błędu, takim jak lista zmian AOSP. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odnośniki są powiązane z liczbami następującymi po identyfikatorze błędu.
Luka umożliwiająca zdalne wykonanie kodu w LibUtils
Luka w zabezpieczeniach LibUtils umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego za pomocą specjalnie spreparowanego pliku. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w aplikacjach korzystających z tej biblioteki.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
---|---|---|---|---|---|
CVE-2016-3861 | A-29250543 [ 2 ] [ 3 ] [ 4 ] | Krytyczny | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 9 czerwca 2016 |
Luka umożliwiająca zdalne wykonanie kodu w Mediaserver
Luka w zabezpieczeniach serwera Mediaserver umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku do uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu Mediaserver.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
---|---|---|---|---|---|
CVE-2016-3862 | A-29270469 | Krytyczny | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 czerwca 2016 |
Luka umożliwiająca zdalne wykonanie kodu w MediaMuxer
Luka w zabezpieczeniach programu MediaMuxer umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej za pomocą specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście nieuprzywilejowanego procesu. Ten problem został oceniony jako Wysoki ze względu na możliwość zdalnego wykonania kodu w aplikacji korzystającej z MediaMuxer.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
---|---|---|---|---|---|
CVE-2016-3863 | A-29161888 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 6 czerwca 2016 |
Podwyższenie luki uprawnień w Mediaserver
Luka umożliwiająca podniesienie uprawnień w serwerze Mediaserver może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, które zwykle nie są dostępne dla aplikacji innych firm.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
---|---|---|---|---|---|
CVE-2016-3870 | A-29421804 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 czerwca 2016 |
CVE-2016-3871 | A-29422022 [ 2 ] [ 3 ] | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 czerwca 2016 |
CVE-2016-3872 | A-29421675 [ 2 ] | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 czerwca 2016 |
Podwyższona luka uprawnień w rozruchu urządzenia
Podniesienie uprawnień podczas sekwencji rozruchowej może umożliwić lokalnemu złośliwemu atakującemu uruchomienie w trybie awaryjnym, nawet jeśli jest on wyłączony. Ten problem został oceniony jako wysoki, ponieważ jest to lokalne obejście wymagań dotyczących interakcji użytkownika w przypadku wszelkich modyfikacji ustawień dewelopera lub zabezpieczeń.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
---|---|---|---|---|---|
CVE-2016-3875 | A-26251884 | Wysoki | Nic* | 6.0, 6.0.1 | Google wewnętrzne |
* Ta luka nie dotyczy obsługiwanych urządzeń Nexus z systemem Android 7.0, w których zainstalowano wszystkie dostępne aktualizacje.
Podwyższenie luki uprawnień w Ustawieniach
Podniesienie uprawnień w Ustawieniach może umożliwić lokalnej złośliwej osobie atakującej uruchomienie w trybie awaryjnym, nawet jeśli jest on wyłączony. Ten problem został oceniony jako wysoki, ponieważ jest to lokalne obejście wymagań dotyczących interakcji użytkownika w przypadku wszelkich modyfikacji ustawień dewelopera lub zabezpieczeń.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
---|---|---|---|---|---|
CVE-2016-3876 | A-29900345 | Wysoki | Wszystkie Nexusy | 6.0, 6.0.1, 7.0 | Google wewnętrzne |
Luka typu Denial of Service w Mediaserver
Luka typu „odmowa usługi” w serwerze Mediaserver może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku w celu zawieszenia lub ponownego uruchomienia urządzenia. Ten problem jest oceniany jako wysoki ze względu na możliwość zdalnej odmowy usługi.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
---|---|---|---|---|---|
CVE-2016-3899 | A-29421811 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 16 czerwca 2016 |
CVE-2016-3878 | A-29493002 | Wysoki | Wszystkie Nexusy* | 6.0, 6.0.1 | 17 czerwca 2016 |
CVE-2016-3879 | A-29770686 | Wysoki | Wszystkie Nexusy* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 czerwca 2016 |
CVE-2016-3880 | A-25747670 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | Google wewnętrzne |
CVE-2016-3881 | A-30013856 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | Google wewnętrzne |
* Ta luka nie dotyczy obsługiwanych urządzeń Nexus z systemem Android 7.0, w których zainstalowano wszystkie dostępne aktualizacje.
Podwyższenie podatności na przywileje w telefonii
Luka umożliwiająca podniesienie uprawnień w składniku Telefonia może umożliwić lokalnej złośliwej aplikacji wysyłanie nieautoryzowanych płatnych wiadomości SMS. Ten problem jest oceniany jako Umiarkowany, ponieważ można go wykorzystać do zwiększenia możliwości bez wyraźnej zgody użytkownika.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
---|---|---|---|---|---|
CVE-2016-3883 | A-28557603 | Umiarkowany | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 3 maja 2016 |
Podniesienie poziomu uprawnień w usłudze Menedżera powiadomień
Luka umożliwiająca podniesienie uprawnień w usłudze Menedżera powiadomień może umożliwić lokalnej złośliwej aplikacji ominięcie zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji. Ten problem jest oceniany jako Umiarkowany, ponieważ jest to lokalne obejście wymagań dotyczących interakcji użytkownika, takich jak dostęp do funkcji, które normalnie wymagałyby inicjacji użytkownika lub uprawnień użytkownika.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
---|---|---|---|---|---|
CVE-2016-3884 | A-29421441 | Umiarkowany | Wszystkie Nexusy | 6.0, 6.0.1, 7.0 | 15 czerwca 2016 |
Podwyższenie luki uprawnień w Debuggerd
Luka umożliwiająca podniesienie uprawnień w zintegrowanym debugerze systemu Android może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście debugera systemu Android. Ten problem jest oceniany jako ważność o średnim stopniu ważności ze względu na możliwość lokalnego wykonania dowolnego kodu w procesie uprzywilejowanym.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
---|---|---|---|---|---|
CVE-2016-3885 | A-29555636 | Umiarkowany | Wszystkie Nexusy | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 21 czerwca 2016 |
Podwyższona luka w uprawnieniach w System UI Tuner
Podniesienie uprawnień w narzędziu System UI Tuner może umożliwić złośliwemu użytkownikowi lokalnemu modyfikowanie chronionych ustawień, gdy urządzenie jest zablokowane. Ten problem jest oceniany jako Umiarkowany, ponieważ jest to lokalne obejście uprawnień użytkownika.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
---|---|---|---|---|---|
CVE-2016-3886 | A-30107438 | Umiarkowany | Wszystkie Nexusy | 7,0 | 23 czerwca 2016 |
Podwyższenie luki uprawnień w Ustawieniach
Luka umożliwiająca podniesienie uprawnień w Ustawieniach może umożliwić lokalnej złośliwej aplikacji ominięcie zabezpieczeń systemu operacyjnego dla ustawień VPN. Ten problem jest oceniany jako Umiarkowany, ponieważ może służyć do uzyskiwania dostępu do danych, które są poza poziomami uprawnień aplikacji.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
---|---|---|---|---|---|
CVE-2016-3887 | A-29899712 | Umiarkowany | Wszystkie Nexusy | 7,0 | Google wewnętrzne |
Podwyższenie luki uprawnień w SMS-ach
Luka umożliwiająca podniesienie uprawnień w programie SMS może umożliwić atakującemu lokalnie wysyłanie płatnych wiadomości SMS przed udostępnieniem urządzenia. Jest to oceniane jako umiarkowane ze względu na możliwość pominięcia ochrony przywracania ustawień fabrycznych, co powinno uniemożliwić korzystanie z urządzenia przed jego skonfigurowaniem.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
---|---|---|---|---|---|
CVE-2016-3888 | A-29420123 | Umiarkowany | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | Google wewnętrzne |
Podwyższenie luki uprawnień w Ustawieniach
Luka umożliwiająca podniesienie uprawnień w Ustawieniach może umożliwić osobie atakującej lokalnie ominięcie ochrony przywracania ustawień fabrycznych i uzyskanie dostępu do urządzenia. Jest to oceniane jako umiarkowane ze względu na możliwość ominięcia ochrony przywracania ustawień fabrycznych, co może prowadzić do pomyślnego zresetowania urządzenia i usunięcia wszystkich jego danych.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
---|---|---|---|---|---|
CVE-2016-3889 | A-29194585 [ 2 ] | Umiarkowany | Wszystkie Nexusy | 6.0, 6.0.1, 7.0 | Google wewnętrzne |
Podniesienie poziomu uprawnień w Java Debug Wire Protocol
Luka umożliwiająca podniesienie uprawnień w Java Debug Wire Protocol może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ wymaga nietypowej konfiguracji urządzenia.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
---|---|---|---|---|---|
CVE-2016-3890 | A-28347842 [ 2 ] | Umiarkowany | Nic* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google wewnętrzne |
* Ta luka nie dotyczy obsługiwanych urządzeń Nexus z systemem Android 7.0, w których zainstalowano wszystkie dostępne aktualizacje.
Luka umożliwiająca ujawnienie informacji w Mediaserver
Luka umożliwiająca ujawnienie informacji w Mediaserver może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ może być używany do uzyskiwania dostępu do poufnych danych bez pozwolenia.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
---|---|---|---|---|---|
CVE-2016-3895 | A-29983260 | Umiarkowany | Wszystkie Nexusy | 6.0, 6.0.1, 7.0 | 4 lipca 2016 r. |
Luka umożliwiająca ujawnienie informacji w AOSP Mail
Luka umożliwiająca ujawnienie informacji w Poczcie AOSP może umożliwić lokalnej złośliwej aplikacji uzyskanie dostępu do prywatnych informacji użytkownika. Ten problem jest oceniany jako Umiarkowany, ponieważ może być używany do nieprawidłowego dostępu do danych bez pozwolenia.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
---|---|---|---|---|---|
CVE-2016-3896 | A-29767043 | Umiarkowany | Nic* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 lipca 2016 r. |
* Ta luka nie dotyczy obsługiwanych urządzeń Nexus z systemem Android 7.0, w których zainstalowano wszystkie dostępne aktualizacje.
Luka umożliwiająca ujawnienie informacji w sieci Wi-Fi
Luka umożliwiająca ujawnienie informacji w konfiguracji Wi-Fi może umożliwić aplikacji dostęp do poufnych informacji. Ten problem jest oceniany jako średni, ponieważ może być używany do uzyskiwania dostępu do danych bez pozwolenia.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
---|---|---|---|---|---|
CVE-2016-3897 | A-25624963 [ 2 ] | Umiarkowany | Nic* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 listopada 2015 r. |
* Ta luka nie dotyczy obsługiwanych urządzeń Nexus z systemem Android 7.0, w których zainstalowano wszystkie dostępne aktualizacje.
Luka w zabezpieczeniach typu „odmowa usługi” w telefonii
Luka w zabezpieczeniach typu „odmowa usługi” w komponencie Telefonia może umożliwić lokalnej złośliwej aplikacji zapobieganie wywołaniom 911 TTY z zablokowanego ekranu. Ten problem jest oceniany jako Umiarkowany ze względu na możliwość odmowy usługi w przypadku funkcji krytycznej.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
---|---|---|---|---|---|
CVE-2016-3898 | A-29832693 | Umiarkowany | Wszystkie Nexusy | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 czerwca 2016 |
2016-09-05 poziom poprawki zabezpieczeń — szczegóły dotyczące luki w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie do poziomu poprawki 2016-09-05. Znajduje się tam opis problemu, uzasadnienie ważności oraz tabela z CVE, powiązanymi odniesieniami, dotkliwością, zaktualizowanymi urządzeniami Nexus, zaktualizowanymi wersjami AOSP (jeśli dotyczy) i datą zgłoszenia. Gdy będzie to możliwe, połączymy publiczną zmianę, która dotyczyła problemu, z identyfikatorem błędu, takim jak lista zmian AOSP. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odnośniki są powiązane z liczbami następującymi po identyfikatorze błędu.
Podwyższenie podatności uprawnień w podsystemie bezpieczeństwa jądra
Luka umożliwiająca podniesienie uprawnień w podsystemie zabezpieczeń jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2014-9529 | A-29510361 | Krytyczny | Nexus 5, Nexus 6, Nexus 9, Nexus Player, Android One | 6 stycznia 2015 |
CVE-2016-4470 | A-29823941 | Krytyczny | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player | 15 czerwca 2016 |
Podwyższenie podatności uprawnień w podsystemie sieciowym jądra
Luka umożliwiająca podniesienie uprawnień w podsystemie sieciowym jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2013-7446 | A-29119002 | Krytyczny | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 18 listopada 2015 r. |
Podwyższona luka uprawnień w podsystemie netfilter jądra
Luka umożliwiająca podniesienie uprawnień w podsystemie netfilter jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2016-3134 | A-28940694 | Krytyczny | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 9 marca 2016 |
Podwyższona luka uprawnień w sterowniku USB jądra
Luka umożliwiająca podniesienie uprawnień w sterowniku USB jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2016-3951 | A-28744625 Jądro nadrzędne [ 2 ] | Krytyczny | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 6 kwi 2016 |
Podwyższenie podatności uprawnień w podsystemie dźwiękowym jądra
Luka umożliwiająca podniesienie uprawnień w podsystemie dźwiękowym jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2014-4655 | A-29916012 | Wysoki | Nexus 5, Nexus 6, Nexus 9, Nexus Player | 26 czerwca 2014 |
Podniesienie poziomu uprawnień w dekoderze jądra ASN.1
Luka umożliwiająca podniesienie uprawnień w dekoderze jądra ASN.1 może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2016-2053 | A-28751627 | Wysoki | Nexus 5X, Nexus 6P | 25 stycznia 2016 |
Podwyższenie podatności uprawnień w warstwie interfejsu radiowego Qualcomm
Luka umożliwiająca podniesienie uprawnień w warstwie interfejsu radiowego Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2016-3864 | A-28823714* QC-CR#913117 | Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 29 kwi 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka uprawnień w sterowniku podsystemu Qualcomm
Luka umożliwiająca podniesienie uprawnień w sterowniku podsystemu Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2016-3858 | A-28675151 QC-CR#1022641 | Wysoki | Nexus 5X, Nexus 6P | 9 maja 2016 |
Podniesienie poziomu uprawnień w sterowniku sieciowym jądra
Luka umożliwiająca podniesienie uprawnień w sterowniku sieciowym jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2016-4805 | A-28979703 | Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9 | 15 maja 2016 |
Podwyższona luka uprawnień w sterowniku ekranu dotykowego Synaptics
Luka umożliwiająca podniesienie uprawnień w sterowniku ekranu dotykowego Synaptics może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2016-3865 | A-28799389* | Wysoki | Nexus 5X, Nexus 9 | 16 maja 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka uprawnień w sterowniku kamery Qualcomm
Luka umożliwiająca podniesienie uprawnień w sterowniku aparatu Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2016-3859 | A-28815326* QC-CR#1034641 | Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 17 maja 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka uprawnień w sterowniku dźwięku Qualcomm
Luka umożliwiająca podniesienie uprawnień w sterowniku dźwięku Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2016-3866 | A-28868303* QC-CR#1032820 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P | 18 maja 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka uprawnień w sterowniku Qualcomm IPA
Luka umożliwiająca podniesienie uprawnień w sterowniku Qualcomm IPA może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2016-3867 | A-28919863* QC-CR#1037897 | Wysoki | Nexus 5X, Nexus 6P | 21 maja 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka uprawnień w sterowniku zasilania Qualcomm
Luka umożliwiająca podniesienie uprawnień w sterowniku zasilania Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2016-3868 | A-28967028* QC-CR#1032875 | Wysoki | Nexus 5X, Nexus 6P | 25 maja 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podniesienie poziomu uprawnień w sterowniku Broadcom Wi-Fi
Luka umożliwiająca podniesienie uprawnień w sterowniku Broadcom Wi-Fi może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2016-3869 | A-29009982* B-RB#96070 | Wysoki | Nexus 5, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C | 27 maja 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podniesienie poziomu uprawnień w systemie plików eCryptfs jądra
Luka umożliwiająca podniesienie uprawnień w systemie plików eCryptfs jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2016-1583 | A-29444228 Jądro nadrzędne | Wysoki | Piksel C | 1 cze 2016 |
Podniesienie poziomu uprawnień w jądrze NVIDIA
Luka umożliwiająca podniesienie uprawnień w jądrze NVIDIA może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2016-3873 | A-29518457* N-CVE-2016-3873 | Wysoki | Nexus 9 | 20 czerwca 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka uprawnień w sterowniku Qualcomm Wi-Fi
Luka umożliwiająca podniesienie uprawnień w sterowniku Qualcomm Wi-Fi może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2016-3874 | A-29944562 QC-CR#997797 [ 2 ] | Wysoki | Nexus 5X | 1 lipca 2016 r. |
Luka typu „odmowa usługi” w podsystemie sieciowym jądra
Luka typu „odmowa usługi” w podsystemie sieciowym jądra może umożliwić osobie atakującej zawieszenie lub ponowne uruchomienie urządzenia. Ten problem został oceniony jako wysoki ze względu na możliwość tymczasowej zdalnej odmowy usługi.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2015-1465 | A-29506807 | Wysoki | Nexus 5, Nexus 6, Nexus 9, Nexus Player, Pixel C, Android One | 3 lut 2015 |
CVE-2015-5364 | A-29507402 | Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 30 czerwca 2015 r. |
Luka typu „odmowa usługi” w systemie plików jądra ext4
Luka w zabezpieczeniach typu „odmowa usługi” w systemie plików jądra ext4 może umożliwić osobie atakującej spowodowanie lokalnej trwałej odmowy usługi, która może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia. Ten problem jest oceniany jako wysoki ze względu na możliwość lokalnego trwałego odmowy usługi.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2015-8839 | A-28760453* | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 4 kwi 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Luka umożliwiająca ujawnienie informacji w sterowniku Qualcomm SPMI
Luka umożliwiająca ujawnienie informacji w sterowniku Qualcomm SPMI może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2016-3892 | A-28760543* QC-CR#1024197 | Umiarkowany | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 13 maja 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Luka umożliwiająca ujawnienie informacji w kodeku dźwięku Qualcomm
Luka umożliwiająca ujawnienie informacji w kodeku dźwięku Qualcomm może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2016-3893 | A-29512527 QC-CR#856400 | Umiarkowany | Nexus 6P | 20 czerwca 2016 |
Luka umożliwiająca ujawnienie informacji w komponencie Qualcomm DMA
Luka umożliwiająca ujawnienie informacji w komponencie Qualcomm DMA może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2016-3894 | A-29618014* QC-CR#1042033 | Umiarkowany | Nexus 6 | 23 czerwca 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Luka umożliwiająca ujawnienie informacji w podsystemie sieciowym jądra
Luka umożliwiająca ujawnienie informacji w podsystemie sieciowym jądra może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2016-4998 | A-29637687 Jądro nadrzędne [ 2 ] | Umiarkowany | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 24 czerwca 2016 |
Luka typu „odmowa usługi” w podsystemie sieciowym jądra
Luka w zabezpieczeniach typu „odmowa usługi” w podsystemie sieciowym jądra może umożliwić osobie atakującej zablokowanie dostępu do funkcji Wi-Fi.Ten problem jest oceniany jako średni ze względu na możliwość tymczasowej zdalnej odmowy usługi funkcji Wi-Fi.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2015-2922 | A-29409847 | Umiarkowany | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 4 kwi 2015 |
Luki w komponentach Qualcomm
Poniższa tabela zawiera luki w zabezpieczeniach dotyczące komponentów Qualcomm, w tym potencjalnie bootloadera, sterownika aparatu, sterownika znaków, sieci, sterownika dźwięku i sterownika wideo.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2016-2469 | QC-CR#997025 | Wysoki | Nic | cze 2016 |
CVE-2016-2469 | QC-CR#997015 | Umiarkowany | Nic | cze 2016 |
2016-09-06 poziom poprawki zabezpieczeń — szczegóły dotyczące luki w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje o każdej z luk w zabezpieczeniach, które mają zastosowanie do poziomu poprawek 2016-09-06. Znajduje się tam opis problemu, uzasadnienie ważności oraz tabela z CVE, powiązanymi odniesieniami, dotkliwością, zaktualizowanymi urządzeniami Nexus, zaktualizowanymi wersjami AOSP (jeśli dotyczy) i datą zgłoszenia. Gdy będzie to możliwe, połączymy publiczną zmianę, która dotyczyła problemu, z identyfikatorem błędu, takim jak lista zmian AOSP. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odnośniki są powiązane z liczbami następującymi po identyfikatorze błędu.
Podniesienie poziomu uprawnień w podsystemie pamięci współdzielonej jądra
Luka umożliwiająca podniesienie uprawnień w podsystemie pamięci współdzielonej jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2016-5340 | A-30652312 QC-CR#1008948 | Krytyczny | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 26 lipca 2016 |
Podwyższona luka uprawnień w komponencie sieciowym Qualcomm
Luka umożliwiająca podniesienie uprawnień w komponencie sieciowym Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
---|---|---|---|---|
CVE-2016-2059 | A-27045580 QC-CR#974577 | Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 lut 2016 |
Często zadawane pytania i odpowiedzi
W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?
Poziomy poprawek zabezpieczeń z dnia 2016-09-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem ciągu poprawki zabezpieczeń 2016-09-01. Poziomy poprawek zabezpieczeń z 05.09.2016 lub nowsze rozwiązują wszystkie problemy związane z poziomem ciągu poprawek zabezpieczeń 2016-09-05. Poziomy poprawek zabezpieczeń z dnia 2016-09-06 lub nowsze rozwiązują wszystkie problemy związane z poziomem ciągu poprawki zabezpieczeń 2016-09-06. Zapoznaj się z centrum pomocy, aby uzyskać instrukcje dotyczące sprawdzania poziomu poprawki zabezpieczeń. Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[2016-09-01], [ro.build.version.security_patch]:[2016-09-05], lub [ro.build.version.security_patch]:[2016-09-06].
2. Dlaczego ten biuletyn zawiera trzy łańcuchy poziomów poprawek zabezpieczeń?
This bulletin has three security patch level strings so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level string.
Devices that use the September 6, 2016 security patch level or newer must include all applicable patches in this (and previous) security bulletins. This patch level was created to addresses issues that were discovered after partners were first notified of most issues in this bulletin.
Devices that use September 5, 2016 security patch level must include all issues associated with that security patch level, the September 1, 2016 security patch level and fixes for all issues reported in previous security bulletins. Devices that use the September 5, 2016 security patch level may also include a subset of fixes associated with the September 6, 2016 security patch level.
Devices that use September 1, 2016 security patch level must include all issues associated with that security patch level as well as fixes for all issues reported in previous security bulletins. Devices that use the September 1, 2016 security patch level may also include a subset of fixes associated with the September 5, 2016 and September 6, 2016 security patch levels.
3 . How do I determine which Nexus devices are affected by each issue?
In the 2016-09-01 , 2016-09-05 , and 2016-09-06 security vulnerability details sections, each table has an Updated Nexus devices column that covers the range of affected Nexus devices updated for each issue. This column has a few options:
- All Nexus devices : If an issue affects all Nexus devices, the table will have “All Nexus” in the Updated Nexus devices column. “All Nexus” encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, and Pixel C.
- Some Nexus devices : If an issue doesn't affect all Nexus devices, the affected Nexus devices are listed in the Updated Nexus devices column.
- No Nexus devices : If no Nexus devices running Android 7.0 are affected by the issue, the table will have “None” in the Updated Nexus devices column.
4. What do the entries in the references column map to?
Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odniesienia. These prefixes map as follows:
Prefiks | Odniesienie |
---|---|
A- | Identyfikator błędu Androida |
Kontrola jakości- | Numer referencyjny Qualcomm |
M- | Numer referencyjny MediaTek |
N- | Numer referencyjny NVIDIA |
B- | Numer referencyjny Broadcom |
Rewizje
- September 06, 2016: Bulletin published.
- September 07, 2016: Bulletin revised to include AOSP links.
- September 12, 2016: Bulletin revised to update attribution for CVE-2016-3861 and remove CVE-2016-3877.