Opublikowano 03 października 2016 | Zaktualizowano 4 października 2016 r
Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Wraz z biuletynem opublikowaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA). Obrazy oprogramowania sprzętowego Nexusa zostały także udostępnione w witrynie Google Developer . Poziomy poprawek zabezpieczeń z 5 października 2016 r. lub nowszych rozwiązują te problemy. Zapoznaj się z dokumentacją , aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń. Obsługiwane urządzenia Nexus otrzymają pojedynczą aktualizację OTA z poziomem poprawki zabezpieczeń z 5 października 2016 r.
Partnerzy zostali powiadomieni o problemach opisanych w biuletynie w dniu 06 września 2016 roku lub wcześniej. W stosownych przypadkach w repozytorium Android Open Source Project (AOSP) udostępniono poprawki kodu źródłowego rozwiązujące te problemy. Biuletyn ten zawiera także łącza do poprawek spoza AOSP.
Najpoważniejsze z tych problemów to krytyczne luki w zabezpieczeniach kodu specyficznego dla urządzenia, które mogą umożliwić zdalne wykonanie kodu w kontekście jądra, co prowadzi do możliwości trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownego flashowania systemu operacyjnego w celu naprawy urządzenia . Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług są wyłączone na potrzeby programowania lub jeśli pomyślnie je ominiesz.
Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu klientów lub nadużyciach w związku z nowo zgłoszonymi problemami. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i zabezpieczeń usług, takich jak SafetyNet , które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Ograniczenia dotyczące usług Android i Google.
Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Ogłoszenia
- Ten biuletyn zawiera dwa ciągi poziomów poprawek zabezpieczeń, które zapewniają partnerom systemu Android elastyczność umożliwiającą szybsze naprawianie podzbioru luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Aby uzyskać dodatkowe informacje, zobacz Często zadawane pytania i odpowiedzi :
- 2016-10-01 : Ciąg znaków dotyczący poziomu częściowej poprawki zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datą 2016-10-01 (i wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń).
- 2016-10-05 : Kompletny ciąg poziomów poprawek zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datami 2016-10-01 i 2016-10-05 (oraz wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń).
- Obsługiwane urządzenia Nexus otrzymają pojedynczą aktualizację OTA z poziomem poprawki zabezpieczeń z 5 października 2016 r.
Ograniczenia dotyczące usług Android i Google
To jest podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.
- Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
- Zespół ds. bezpieczeństwa systemu Android aktywnie monitoruje nadużycia za pomocą aplikacji Verify Apps i SafetyNet , których zadaniem jest ostrzeganie użytkowników o potencjalnie szkodliwych aplikacjach . Opcja Weryfikuj aplikacje jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale funkcja Verify Apps ostrzega użytkowników, gdy próbują zainstalować wykrytą aplikację do rootowania – niezależnie od tego, skąd ona pochodzi. Ponadto funkcja Verify Apps próbuje identyfikować i blokować instalację znanych złośliwych aplikacji wykorzystujących lukę umożliwiającą eskalację uprawnień. Jeżeli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wykrytej aplikacji.
- W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.
Podziękowanie
Chcielibyśmy podziękować tym badaczom za ich wkład:
- Andre Teixeira Rizzo: CVE-2016-3882
- Andrea Biondo: CVE-2016-3921
- Daniel Micay z Copperhead Security: CVE-2016-3922
- Dmitry Vyukov z Google: CVE-2016-7117
- dosomder: CVE-2016-3931
- Ecular Xu (徐健) firmy Trend Micro: CVE-2016-3920
- Gengjia Chen ( @chengjia4574 ) i plik PDF z IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-6690, CVE-2016-3901, CVE-2016-6672, CVE-2016-3940, CVE-2016-3935
- Hang Zhang , Dongdong She i Zhiyun Qian z Uniwersytetu Kalifornijskiego w Riverside: CVE-2015-8950
- Hao Chen z Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-3860
- Jann Horn z Google Project Zero: CVE-2016-3900, CVE-2016-3885
- Jason Rogena : CVE-2016-3917
- Jianqiang Zhao ( @jianqiangzhao ) i plik pjf z IceSword Lab, Qihoo 360: CVE-2016-6688, CVE-2016-6677, CVE-2016-6673, CVE-2016-6687, CVE-2016-6686, CVE-2016-6681 , CVE-2016-6682, CVE-2016-3930
- Joshua Drake @jduck ): CVE-2016-3920
- Maciej Szawłowski z zespołu ds. bezpieczeństwa Google: CVE-2016-3905
- Oznacz markę Google Project Zero: CVE-2016-6689
- Michał Bednarski : CVE-2016-3914, CVE-2016-6674, CVE-2016-3911, CVE-2016-3912
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-3933, CVE-2016-3932
- Badania nad cyberbezpieczeństwem Nightwatch ( @nightwatchcyber ): CVE-2016-5348
- Roee Hay, badacz IBM Security X-Force: CVE-2016-6678
- Samuel Tan z Google: CVE-2016-3925
- Scott Bauer ( @ScottyBauer1 ): CVE-2016-3936, CVE-2016-3928, CVE-2016-3902, CVE-2016-3937, CVE-2016-6696
- Seven Shen ( @lingtongshen ) z zespołu badawczego Trend Micro Mobile Threat Research Team: CVE-2016-6685, CVE-2016-6683, CVE-2016-6680, CVE-2016-6679, CVE-2016-3903, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695
- Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-3909
- Wenlin Yang i Guang Gong (龚广) ( @oldfresher ) z Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-3918
- Wish Wu (吴潍浠) ( @wish_wu) z Trend Micro Inc .: CVE-2016-3924, CVE-2016-3915, CVE-2016-3916, CVE-2016-3910
- Yong Shi z zespołu Eagleye, SCC, Huawei: CVE-2016-3938
- Zhanpeng Zhao (行之) ( @0xr0ot ) z Laboratorium Badań nad Bezpieczeństwem, Cheetah Mobile : CVE-2016-3908
Poziom poprawki zabezpieczeń z dnia 2016-10-01 — szczegóły dotyczące luki w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki z dnia 2016-10-01. Znajduje się tam opis problemu, uzasadnienie wagi oraz tabela zawierająca CVE, powiązane odniesienia, wagę, zaktualizowane urządzenia Nexus, zaktualizowane wersje AOSP (w stosownych przypadkach) i datę zgłoszenia. Jeśli będzie to możliwe, połączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.
Zwiększenie luki w zabezpieczeniach ServiceManager
Podniesienie uprawnień w menedżerze usług ServiceManager może umożliwić lokalnej złośliwej aplikacji zarejestrowanie dowolnych usług, które normalnie byłyby świadczone przez proces uprzywilejowany, taki jak serwer_systemowy. Ten problem został sklasyfikowany jako bardzo poważny ze względu na możliwość podszywania się pod usługę.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3900 | A-29431260 [ 2 ] | Wysoki | Cały Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 czerwca 2016 r |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w usłudze ustawień blokady
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w usłudze ustawień blokady może umożliwić lokalnej złośliwej aplikacji wyczyszczenie kodu PIN lub hasła urządzenia. Ten problem ma ocenę Wysoki, ponieważ stanowi lokalne obejście wymagań dotyczących interakcji użytkownika w przypadku jakichkolwiek modyfikacji ustawień zabezpieczeń przez programistów lub zabezpieczeń.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3908 | A-30003944 | Wysoki | Cały Nexus | 6.0, 6.0.1, 7.0 | 6 lipca 2016 r |
Zwiększenie luki w zabezpieczeniach serwera multimediów
Luka w zabezpieczeniach programu Mediaserver umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3909 | A-30033990 [ 2 ] | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 8 lipca 2016 r |
| CVE-2016-3910 | A-30148546 | Wysoki | Cały Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 13 lipca 2016 r |
| CVE-2016-3913 | A-30204103 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 18 lipca 2016 r |
Podniesienie poziomu podatności na uprawnienia w procesie Zygote
Podniesienie uprawnień w procesie Zygote może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3911 | A-30143607 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 12 lipca 2016 r |
Zwiększenie luki w zabezpieczeniach w interfejsach API platformy
Luka w zabezpieczeniach interfejsów API platformy umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3912 | A-30202481 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 17 lipca 2016 r |
Zwiększenie luki w zabezpieczeniach w zakresie uprawnień w telefonii
Luka umożliwiająca podniesienie uprawnień w komponencie Telefonia może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3914 | A-30481342 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 lipca 2016 r |
Zwiększenie luki w zabezpieczeniach usługi Camera
Luka w zabezpieczeniach usługi Camera umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3915 | A-30591838 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 1 sierpnia 2016 r |
| CVE-2016-3916 | A-30741779 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 2 sierpnia 2016 r |
Zwiększenie luki w uprawnieniach podczas logowania odciskiem palca
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień podczas logowania za pomocą odcisku palca może umożliwić właścicielowi złośliwego urządzenia zalogowanie się na urządzeniu jako inne konto użytkownika. Ten problem ma ocenę Wysoki ze względu na możliwość obejścia ekranu blokady.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3917 | A-30744668 | Wysoki | Cały Nexus | 6.0.1, 7.0 | 5 sierpnia 2016 r |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w poczcie AOSP
Luka w zabezpieczeniach poczty AOSP umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji ominięcie zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do danych bez pozwolenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3918 | A-30745403 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 sierpnia 2016 r |
Luka w zabezpieczeniach typu „odmowa usługi” w sieci Wi-Fi
Luka w zabezpieczeniach Wi-Fi umożliwiająca odmowę usługi może umożliwić lokalnemu atakującemu utworzenie hotspotu i spowodować ponowne uruchomienie urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość tymczasowej zdalnej odmowy usługi.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3882 | A-29464811 | Wysoki | Cały Nexus | 6.0, 6.0.1, 7.0 | 17 czerwca 2016 r |
Luka w zabezpieczeniach typu „odmowa usługi” w systemie GPS
Luka w komponencie GPS umożliwiająca odmowę usługi może umożliwić zdalnemu atakującemu spowodowanie zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość tymczasowej zdalnej odmowy usługi.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-5348 | A-29555864 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 20 czerwca 2016 r |
Luka w zabezpieczeniach typu „odmowa usługi” w serwerze multimediów
Luka w zabezpieczeniach programu Mediaserver umożliwiająca odmowę usługi może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku w celu spowodowania zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnej odmowy usługi.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3920 | A-30744884 | Wysoki | Cały Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 sierpnia 2016 r |
Zwiększenie luki w zabezpieczeniach związanej z podniesieniem uprawnień w programie Framework Listener
Luka umożliwiająca podniesienie uprawnień w programie Framework Listener może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3921 | A-29831647 | Umiarkowany | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 25 czerwca 2016 r |
Zwiększenie luki w zabezpieczeniach w zakresie uprawnień w telefonii
Luka w zabezpieczeniach telefonii umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3922 | A-30202619 | Umiarkowany | Cały Nexus | 6.0, 6.0.1, 7.0 | 17 lipca 2016 r |
Zwiększenie luki w zabezpieczeniach usług dostępności
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w usługach dostępności może umożliwić lokalnej złośliwej aplikacji generowanie nieoczekiwanych zdarzeń dotykowych na urządzeniu, które mogą spowodować, że aplikacje zaakceptują okna dialogowe uprawnień bez wyraźnej zgody użytkownika. Ten problem został oceniony jako umiarkowany, ponieważ stanowi lokalne obejście wymagań dotyczących interakcji użytkownika, które normalnie wymagałyby albo inicjacji użytkownika, albo jego zgody.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3923 | A-30647115 | Umiarkowany | Cały Nexus | 7,0 | Wewnętrzne Google |
Luka umożliwiająca ujawnienie informacji w Mediaserverze
Luka w zabezpieczeniach Mediaservera umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez pozwolenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3924 | A-30204301 | Umiarkowany | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 18 lipca 2016 r |
Luka w zabezpieczeniach typu „odmowa usługi” w sieci Wi-Fi
Luka w zabezpieczeniach usługi Wi-Fi umożliwiająca odmowę usługi może umożliwić lokalnej złośliwej aplikacji uniemożliwienie połączeń Wi-Fi. Ten problem został oceniony jako umiarkowany ze względu na możliwość odmowy usługi funkcjonalności aplikacji.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3925 | A-30230534 | Umiarkowany | Cały Nexus | 6.0, 6.0.1, 7.0 | Wewnętrzne Google |
Poziom poprawki zabezpieczeń z dnia 2016-10-05 — szczegóły dotyczące luki w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki z dnia 2016-10-05. Znajduje się tam opis problemu, uzasadnienie wagi oraz tabela zawierająca CVE, powiązane odniesienia, wagę, zaktualizowane urządzenia Nexus, zaktualizowane wersje AOSP (w stosownych przypadkach) i datę zgłoszenia. Jeśli będzie to możliwe, połączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.
Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w dekoderze jądra ASN.1
Luka w zabezpieczeniach dekodera ASN.1 jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-0758 | A-29814470 Jądro nadrzędne | Krytyczny | Nexusa 5X, Nexusa 6P | 12 maja 2016 r |
Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w podsystemie sieciowym jądra
Luka w podsystemie sieciowym jądra umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej zdalne wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-7117 | A-30515201 Jądro nadrzędne | Krytyczny | Cały Nexus | Wewnętrzne Google |
Zwiększenie luki w zabezpieczeniach sterownika wideo MediaTek
Luka w sterowniku wideo MediaTek umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3928 | A-30019362* M-ALPS02829384 | Krytyczny | Nic | 6 lipca 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika pamięci współdzielonej jądra
Luka w sterowniku pamięci współdzielonej jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-5340 | A-30652312 QC-CR#1008948 | Krytyczny | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 26 lipca 2016 r |
Luki w komponentach Qualcomm
Poniższa tabela zawiera luki w zabezpieczeniach komponentów Qualcomm i zostały opisane bardziej szczegółowo w biuletynach bezpieczeństwa Qualcomm AMSS z marca 2016 r. i Qualcomm AMSS z kwietnia 2016 r.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3926 | A-28823953* | Krytyczny | Nexusa 5, Nexusa 5X, Nexusa 6, Nexusa 6P | Wewnętrzne Qualcomma |
| CVE-2016-3927 | A-28823244* | Krytyczny | Nexusa 5X, Nexusa 6P | Wewnętrzne Qualcomma |
| CVE-2016-3929 | A-28823675* | Wysoki | Nexusa 5X, Nexusa 6P | Wewnętrzne Qualcomma |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach w komponencie sieciowym Qualcomm
Luka umożliwiająca podniesienie uprawnień w komponencie sieciowym Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-2059 | A-27045580 QC-CR#974577 | Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 lutego 2016 r |
Zwiększenie luki w zabezpieczeniach sterownika testowego NVIDIA MMC
Luka umożliwiająca podniesienie uprawnień w sterowniku testowym NVIDIA MMC może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3930 | A-28760138* N-CVE-2016-3930 | Wysoki | Nexusa 9 | 12 maja 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika Qualcomm QSEE Communicator
Luka w zabezpieczeniach sterownika Qualcomm QSEE Communicator umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3931 | A-29157595 QC-CR#1036418 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 czerwca 2016 r |
Zwiększenie luki w zabezpieczeniach serwera multimediów
Luka w zabezpieczeniach programu Mediaserver umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3932 | A-29161895 M-ALPS02770870 | Wysoki | Nic | 6 czerwca 2016 r |
| CVE-2016-3933 | A-29421408* N-CVE-2016-3933 | Wysoki | Nexusa 9 i Pixela C | 14 czerwca 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika kamery Qualcomm
Luka w zabezpieczeniach sterownika aparatu Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3903 | A-29513227 QC-CR#1040857 | Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 20 czerwca 2016 r |
| CVE-2016-3934 | A-30102557 QC-CR#789704 | Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 12 lipca 2016 r |
Zwiększenie luki w zabezpieczeniach sterownika dźwięku Qualcomm
Luka w sterowniku dźwięku Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-8951 | A-30142668 QC-CR#948902 QC-CR#948902 | Wysoki | Nexus 5X, Nexus 6P i Android One | 20 czerwca 2016 r |
Zwiększenie luki w zabezpieczeniach sterownika silnika kryptograficznego Qualcomm
Luka w zabezpieczeniach sterownika silnika kryptograficznego Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3901 | A-29999161 QC-CR#1046434 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One | 6 lipca 2016 r |
| CVE-2016-3935 | A-29999665 QC-CR#1046507 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One | 6 lipca 2016 r |
Zwiększenie luki w zabezpieczeniach sterownika wideo MediaTek
Luka w sterowniku wideo MediaTek umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3936 | A-30019037* M-ALPS02829568 | Wysoki | Nic | 6 lipca 2016 r |
| CVE-2016-3937 | A-30030994* M-ALPS02834874 | Wysoki | Nic | 7 lipca 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika wideo Qualcomm
Luka w sterowniku wideo Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3938 | A-30019716 QC-CR#1049232 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One | 7 lipca 2016 r |
| CVE-2016-3939 | A-30874196 QC-CR#1001224 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One | 15 sierpnia 2016 r |
Zwiększenie luki w zabezpieczeniach sterownika ekranu dotykowego Synaptics
Luka w zabezpieczeniach sterownika ekranu dotykowego Synaptics umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3940 | A-30141991* | Wysoki | Nexusa 6P i Androida One | 12 lipca 2016 r |
| CVE-2016-6672 | A-30537088* | Wysoki | Nexusa 5X | 31 lipca 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika kamery NVIDIA
Luka w zabezpieczeniach sterownika kamery NVIDIA umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-6673 | A-30204201* N-CVE-2016-6673 | Wysoki | Nexusa 9 | 17 lipca 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w serwerze systemowym
Luka umożliwiająca podniesienie uprawnień w serwerze_systemowym może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-6674 | A-30445380* | Wysoki | Cały Nexus | 26 lipca 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika Qualcomm Wi-Fi
Luka w zabezpieczeniach sterownika Qualcomm Wi-Fi umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3905 | A-28061823 QC-CR#1001449 | Wysoki | Nexusa 5X | Wewnętrzne Google |
| CVE-2016-6675 | A-30873776 QC-CR#1000861 | Wysoki | Nexusa 5X i Androida One | 15 sierpnia 2016 r |
| CVE-2016-6676 | A-30874066 QC-CR#1000853 | Wysoki | Nexusa 5X i Androida One | 15 sierpnia 2016 r |
| CVE-2016-5342 | A-30878283 QC-CR#1032174 | Wysoki | Android Jeden | 15 sierpnia 2016 r |
Zwiększenie luki w zabezpieczeniach podsystemu wydajności jądra
Luka w zabezpieczeniach podsystemu wydajności jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-8955 | A-29508816 Jądro nadrzędne | Wysoki | Nexus 5X, Nexus 6P, Pixel C, Android One | Wewnętrzne Google |
Luka umożliwiająca ujawnienie informacji w podsystemie jądra ION
Luka w podsystemie jądra ION umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez wyraźnej zgody użytkownika.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-8950 | A-29795245 QC-CR#1041735 | Wysoki | Nexusa 5, Nexusa 5X, Nexusa 6, Nexusa 6P | 12 maja 2016 r |
Luka umożliwiająca ujawnienie informacji w sterowniku procesora graficznego NVIDIA
Luka w sterowniku procesora graficznego NVIDIA umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-6677 | A-30259955* N-CVE-2016-6677 | Wysoki | Nexusa 9 | 19 lipca 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika znakowego Qualcomm
Luka w zabezpieczeniach sterownika znakowego Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu, a kod zawierający lukę jest obecnie niedostępny.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-0572 | A-29156684 QC-CR#848489 | Umiarkowany | Nexusa 5X, Nexusa 6P | 28 maja 2016 r |
Luka umożliwiająca ujawnienie informacji w sterowniku dźwięku Qualcomm
Luka w sterowniku dźwięku Qualcomm umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3860 | A-29323142 QC-CR#1038127 | Umiarkowany | Nexus 5X, Nexus 6P i Android One | 13 czerwca 2016 r |
Luka umożliwiająca ujawnienie informacji w sterowniku Motorola USBNet
Luka w sterowniku Motorola USBNet umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-6678 | A-29914434* | Umiarkowany | Nexusa 6 | 30 czerwca 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luka umożliwiająca ujawnienie informacji w komponentach Qualcomm
Luka umożliwiająca ujawnienie informacji w komponentach Qualcomm, w tym w sterowniku dźwięku, sterowniku IPA i sterowniku Wi-Fi, może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-6679 | A-29915601 QC-CR#1000913 [ 2 ] | Umiarkowany | Nexusa 5X i Androida One | 30 czerwca 2016 r |
| CVE-2016-3902 | A-29953313* QC-CR#1044072 | Umiarkowany | Nexusa 5X, Nexusa 6P, | 2 lipca 2016 r |
| CVE-2016-6680 | A-29982678* QC-CR#1048052 | Umiarkowany | Nexusa 5X i Androida One | 3 lipca 2016 r |
| CVE-2016-6681 | A-30152182 QC-CR#1049521 | Umiarkowany | Nexus 5X, Nexus 6P i Android One | 14 lipca 2016 r |
| CVE-2016-6682 | A-30152501 QC-CR#1049615 | Umiarkowany | Nexus 5X, Nexus 6P i Android One | 14 lipca 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luka umożliwiająca ujawnienie informacji w komponentach jądra
Luka w składnikach jądra, w tym Binder, Sync, Bluetooth i sterownik dźwięku, umożliwiająca ujawnienie informacji, może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-6683 | A-30143283* | Umiarkowany | Cały Nexus | 13 lipca 2016 r |
| CVE-2016-6684 | A-30148243* | Umiarkowany | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Android One | 13 lipca 2016 r |
| CVE-2015-8956 | A-30149612* | Umiarkowany | Nexusa 5, Nexusa 6P i Androida One | 14 lipca 2016 r |
| CVE-2016-6685 | A-30402628* | Umiarkowany | Nexusa 6P | 25 lipca 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luka umożliwiająca ujawnienie informacji w profilerze NVIDIA
Luka w profilerze NVIDIA umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-6686 | A-30163101* N-CVE-2016-6686 | Umiarkowany | Nexusa 9 | 15 lipca 2016 r |
| CVE-2016-6687 | A-30162222* N-CVE-2016-6687 | Umiarkowany | Nexusa 9 | 15 lipca 2016 r |
| CVE-2016-6688 | A-30593080* N-CVE-2016-6688 | Umiarkowany | Nexusa 9 | 2 sierpnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luka w jądrze umożliwiająca ujawnienie informacji
Luka w zabezpieczeniach programu Binder umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-6689 | A-30768347* | Umiarkowany | Cały Nexus | 9 sierpnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luka w zabezpieczeniach typu „odmowa usługi” w podsystemie sieciowym jądra
Luka w zabezpieczeniach podsystemu sieciowego jądra umożliwiająca odmowę usługi może umożliwić osobie atakującej zablokowanie dostępu do połączeń TCP i spowodować tymczasową zdalną odmowę usługi. Ten problem został oceniony jako umiarkowany, ponieważ usługi komórkowe są nadal dostępne, a urządzenia nadal można używać.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-5696 | A-30809774 Jądro nadrzędne | Umiarkowany | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 12 lipca 2016 r |
Luka w zabezpieczeniach typu „odmowa usługi” w sterowniku dźwięku jądra
Luka w jądrze umożliwiająca odmowę usługi może pozwolić lokalnej złośliwej aplikacji na spowodowanie ponownego uruchomienia urządzenia. Ten problem ma ocenę Niski, ponieważ jest to tymczasowa odmowa usługi.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-6690 | A-28838221* | Niski | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus Player | 18 maja 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Luki w komponentach Qualcomm
Poniższa tabela zawiera listę luk w zabezpieczeniach wpływających na komponenty Qualcomm.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-6691 | QC-CR#978452 | Wysoki | Nic | lipiec 2016 |
| CVE-2016-6692 | QC-CR#1004933 | Wysoki | Nic | sierpień 2016 |
| CVE-2016-6693 | QC-CR#1027585 | Wysoki | Nic | sierpień 2016 |
| CVE-2016-6694 | QC-CR#1033525 | Wysoki | Nic | sierpień 2016 |
| CVE-2016-6695 | QC-CR#1033540 | Wysoki | Nic | sierpień 2016 |
| CVE-2016-6696 | QC-CR#1041130 | Wysoki | Nic | sierpień 2016 |
| CVE-2016-5344 | QC-CR#993650 | Umiarkowany | Nic | sierpień 2016 |
| CVE-2016-5343 | QC-CR#1010081 | Umiarkowany | Nic | sierpień 2016 |
Często zadawane pytania i odpowiedzi
W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?
Poziomy poprawek zabezpieczeń z dnia 2016-10-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem ciągu poprawek zabezpieczeń z dnia 2016-10-01. Poziomy poprawek zabezpieczeń z dnia 2016-10-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem ciągu poprawek zabezpieczeń z dnia 2016-10-05. Instrukcje dotyczące sprawdzania poziomu poprawki zabezpieczeń znajdują się w Centrum pomocy . Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[2016-10-01] lub [ro.build.version.security_patch]:[2016-10-05].
2. Dlaczego ten biuletyn zawiera dwa ciągi dotyczące poziomów poprawek zabezpieczeń?
W tym biuletynie znajdują się dwa poziomy poprawek zabezpieczeń, dzięki czemu partnerzy systemu Android mogą szybciej naprawić podzbiór luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Zachęcamy partnerów korzystających z systemu Android do naprawienia wszystkich problemów opisanych w tym biuletynie i korzystania z najnowszych poziomów poprawek zabezpieczeń.
Urządzenia korzystające z poprawki zabezpieczeń z dnia 5 października 2016 r. lub nowszej muszą zawierać wszystkie odpowiednie poprawki opisane w tym (i poprzednich) biuletynach zabezpieczeń.
Urządzenia korzystające z poziomu poprawki zabezpieczeń z 1 października 2016 r. muszą zawierać wszystkie problemy związane z tym poziomem poprawki zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach zabezpieczeń.
3. Jak ustalić, których urządzeń Nexus dotyczy dany problem?
W sekcjach ze szczegółami dotyczącymi luk w zabezpieczeniach z dnia 2016-10-01 i 2016-10-05 każda tabela zawiera kolumnę Zaktualizowane urządzenia Nexus , która obejmuje zakres urządzeń Nexus, których dotyczy problem, zaktualizowanych pod kątem każdego problemu. Ta kolumna ma kilka opcji:
- Wszystkie urządzenia Nexus : jeśli problem dotyczy wszystkich urządzeń Nexus, w kolumnie Zaktualizowane urządzenia Nexus w tabeli będzie widoczna informacja „Wszystkie Nexusy”. „Wszystkie Nexusy” obejmują następujące obsługiwane urządzenia : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player i Pixel C.
- Niektóre urządzenia Nexus : jeśli problem nie dotyczy wszystkich urządzeń Nexus, dotknięte urządzenia Nexus zostaną wyświetlone w kolumnie Zaktualizowane urządzenia Nexus .
- Brak urządzeń Nexus : jeśli problem nie dotyczy żadnego urządzenia Nexus z systemem Android 7.0, w kolumnie Zaktualizowane urządzenia Nexus w tabeli będzie widoczna informacja „Brak”.
4. Do czego odnoszą się wpisy w kolumnie referencje?
Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna. Te prefiksy są mapowane w następujący sposób:
| Prefiks | Odniesienie |
|---|---|
| A- | Identyfikator błędu Androida |
| Kontrola jakości- | Numer referencyjny Qualcomma |
| M- | Numer referencyjny MediaTeka |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny firmy Broadcom |
Wersje
- 03 października 2016: Biuletyn opublikowany.
- 4 października 2016 r.: Zaktualizowano biuletyn w celu uwzględnienia łączy AOSP i aktualizacji przypisań dla CVE-2016-3920, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695 i CVE-2016-6696.