Biuletyn dotyczący bezpieczeństwa Androida — październik 2016 r

Opublikowano 03 października 2016 | Zaktualizowano 4 października 2016 r.

Biuletyn Android Security Bulletin zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Wraz z biuletynem udostępniliśmy aktualizację zabezpieczeń urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA). Obrazy oprogramowania sprzętowego Nexusa zostały również udostępnione w witrynie Google Developer . Poziomy poprawek zabezpieczeń z 5 października 2016 r. lub nowsze rozwiązują te problemy. Zapoznaj się z dokumentacją , aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń. Obsługiwane urządzenia Nexus otrzymają pojedynczą aktualizację OTA z poziomem poprawki zabezpieczeń z 5 października 2016 r.

Partnerzy zostali powiadomieni o problemach opisanych w biuletynie 6 września 2016 r. lub wcześniej. W stosownych przypadkach w repozytorium Android Open Source Project (AOSP) udostępniono poprawki kodu źródłowego dla tych problemów. Biuletyn ten zawiera również łącza do poprawek spoza AOSP.

Najpoważniejszym z tych problemów są krytyczne luki w zabezpieczeniach w kodzie specyficznym dla urządzenia, które mogą umożliwić zdalne wykonanie kodu w kontekście jądra, prowadząc do możliwości lokalnego trwałego włamania się na urządzenie, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia . Ocena dotkliwości opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy, przy założeniu, że platforma i usługi ograniczania zagrożeń są wyłączone w celach programistycznych lub pomyślnie ominięte.

Nie mieliśmy żadnych doniesień o aktywnym wykorzystywaniu lub nadużywaniu przez klientów tych nowo zgłoszonych problemów. Szczegółowe informacje na temat zabezpieczeń platformy Android i zabezpieczeń usług, takich jak SafetyNet , które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Ograniczenia ryzyka w usługach Android i Google .

Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Ogłoszenia

  • Ten biuletyn zawiera dwa łańcuchy poziomów poprawek zabezpieczeń, aby zapewnić partnerom systemu Android elastyczność umożliwiającą szybsze naprawianie podzbioru luk, które są podobne na wszystkich urządzeniach z systemem Android. Zobacz Często zadawane pytania i odpowiedzi, aby uzyskać dodatkowe informacje:
    • 2016-10-01 : Częściowy ciąg poziomu poprawek zabezpieczeń. Ten ciąg poziomu poprawek zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z 01.10.2016 (i wszystkie poprzednie ciągi poziomów poprawek zabezpieczeń).
    • 2016-10-05 : Kompletny ciąg poziomu poprawek zabezpieczeń. Ten ciąg poziomu poprawek zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z 01.10.2016 i 05.10.2016 (oraz wszystkie poprzednie ciągi poziomów poprawek zabezpieczeń).
  • Obsługiwane urządzenia Nexus otrzymają pojedynczą aktualizację OTA z poziomem poprawki zabezpieczeń z 5 października 2016 r.

Ograniczenia w usługach Android i Google

To jest podsumowanie środków łagodzących zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Te możliwości zmniejszają prawdopodobieństwo pomyślnego wykorzystania luk w zabezpieczeniach w systemie Android.

  • Wykorzystanie wielu problemów w systemie Android jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do aktualizacji do najnowszej wersji Androida tam, gdzie to możliwe.
  • Zespół Android Security aktywnie monitoruje nadużycia za pomocą funkcji Verify Apps i SafetyNet , które mają ostrzegać użytkowników o potencjalnie szkodliwych aplikacjach . Weryfikacja aplikacji jest domyślnie włączona na urządzeniach z usługami Google Mobile Services i jest szczególnie ważna dla użytkowników instalujących aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale Weryfikacja aplikacji ostrzega użytkowników, gdy próbują zainstalować wykrytą aplikację do rootowania — bez względu na to, skąd pochodzi. Ponadto Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji, które wykorzystują lukę w eskalacji uprawnień. Jeśli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wykrytej aplikacji.
  • W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

  • Andre Teixeira Rizzo: CVE-2016-3882
  • Andrea Biondo: CVE-2016-3921
  • Daniel Micay z Copperhead Security: CVE-2016-3922
  • Dmitrij Wiukow z Google: CVE-2016-7117
  • numer telefonu: CVE-2016-3931
  • Ecular Xu (徐健) firmy Trend Micro: CVE-2016-3920
  • Gengjia Chen ( @chengjia4574 ) i pjf z IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-6690, CVE-2016-3901, CVE-2016-6672, CVE-2016-3940, CVE-2016-3935
  • Hang Zhang , Dongdong She i Zhiyun Qian z UC Riverside: CVE-2015-8950
  • Hao Chen z zespołu Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2016-3860
  • Jann Horn z Google Project Zero: CVE-2016-3900, CVE-2016-3885
  • Jason Rogena : CVE-2016-3917
  • Jianqiang Zhao ( @jianqiangzhao ) i pjf z IceSword Lab, Qihoo 360: CVE-2016-6688, CVE-2016-6677, CVE-2016-6673, CVE-2016-6687, CVE-2016-6686, CVE-2016-6681 , CVE-2016-6682, CVE-2016-3930
  • Joshua Drake ( @jduck ): CVE-2016-3920
  • Maciej Szawłowski z zespołu bezpieczeństwa Google: CVE-2016-3905
  • Oznacz markę Google Project Zero: CVE-2016-6689
  • Michał Bednarski : CVE-2016-3914, CVE-2016-6674, CVE-2016-3911, CVE-2016-3912
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-3933, CVE-2016-3932
  • Badania nad cyberbezpieczeństwem Nightwatch ( @nightwatchcyber ): CVE-2016-5348
  • Roee Hay, IBM Security X-Force Researcher: CVE-2016-6678
  • Samuel Tan z Google: CVE-2016-3925
  • Scott Bauer ( @ScottyBauer1 ): CVE-2016-3936, CVE-2016-3928, CVE-2016-3902, CVE-2016-3937, CVE-2016-6696
  • Seven Shen ( @lingtongshen ) z zespołu Trend Micro Mobile Threat Research Team: CVE-2016-6685, CVE-2016-6683, CVE-2016-6680, CVE-2016-6679, CVE-2016-3903, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695
  • Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-3909
  • Wenlin Yang i Guang Gong (龚广) ( @oldfresher ) z zespołu Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2016-3918
  • Życzę Wu (吴潍浠) ( @wish_wu) firmy Trend Micro Inc. : CVE-2016-3924, CVE-2016-3915, CVE-2016-3916, CVE-2016-3910
  • Yong Shi z zespołu Eagleye, SCC, Huawei: CVE-2016-3938
  • Zhanpeng Zhao (行之) ( @0xr0ot ) z Security Research Lab, Cheetah Mobile : CVE-2016-3908

2016-10-01 Poziom poprawki zabezpieczeń — Szczegóły dotyczące luki w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z dnia 2016-10-01. Znajduje się tam opis problemu, uzasadnienie ważności oraz tabela z CVE, powiązanymi odniesieniami, dotkliwością, zaktualizowanymi urządzeniami Nexus, zaktualizowanymi wersjami AOSP (jeśli dotyczy) i datą zgłoszenia. Gdy będzie to możliwe, połączymy publiczną zmianę, która dotyczyła problemu, z identyfikatorem błędu, takim jak lista zmian AOSP. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odnośniki są powiązane z liczbami następującymi po identyfikatorze błędu.

Podwyższenie podatności uprawnień w ServiceManager

Podniesienie uprawnień w programie ServiceManager może umożliwić lokalnej złośliwej aplikacji zarejestrowanie dowolnych usług, które normalnie byłyby świadczone przez uprzywilejowany proces, taki jak serwer_systemu. Ten problem jest oceniany jako Wysoka istotność ze względu na możliwość podszywania się pod usługę.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3900 A-29431260 [ 2 ] Wysoki Wszystkie Nexusy 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 15 czerwca 2016

Podwyższona luka uprawnień w usłudze Lock Settings Service

Luka umożliwiająca podniesienie uprawnień w usłudze Lock Settings Service może umożliwić lokalnej złośliwej aplikacji wyczyszczenie kodu PIN lub hasła urządzenia. Ten problem został oceniony jako wysoki, ponieważ jest to lokalne obejście wymagań dotyczących interakcji użytkownika w przypadku wszelkich modyfikacji ustawień dewelopera lub zabezpieczeń.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3908 A-30003944 Wysoki Wszystkie Nexusy 6.0, 6.0.1, 7.0 6 lipca 2016

Podwyższenie luki uprawnień w Mediaserver

Luka umożliwiająca podniesienie uprawnień w serwerze Mediaserver może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3909 A-30033990 [ 2 ] Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 8 lipca 2016
CVE-2016-3910 A-30148546 Wysoki Wszystkie Nexusy 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 13 lipca 2016 r.
CVE-2016-3913 A-30204103 Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 18 lipca 2016 r.

Podniesienie podatności uprawnień w procesie Zygote

Podniesienie uprawnień w procesie Zygote może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3911 A-30143607 Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 12 lipca 2016 r.

Podwyższenie podatności uprawnień w API frameworka

Luka umożliwiająca podniesienie uprawnień w interfejsach API struktury może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3912 A-30202481 Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 17 lipca 2016

Podwyższenie podatności na przywileje w telefonii

Luka umożliwiająca podniesienie uprawnień w komponencie Telefonia może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3914 A-30481342 Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 28 lipca 2016

Podwyższona luka uprawnień w usłudze Aparat

Luka umożliwiająca podniesienie uprawnień w usłudze Aparat może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3915 A-30591838 Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 1 sierpnia 2016
CVE-2016-3916 A-30741779 Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 2 sierpnia 2016

Podniesienie poziomu uprawnień w logowaniu odciskiem palca

Luka umożliwiająca podniesienie uprawnień podczas logowania za pomocą odcisku palca może umożliwić złośliwemu właścicielowi urządzenia zalogowanie się jako inne konto użytkownika na urządzeniu. Ten problem jest oceniany jako wysoki ze względu na możliwość obejścia blokady ekranu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3917 A-30744668 Wysoki Wszystkie Nexusy 6.0.1, 7.0 5 sierpnia 2016

Luka umożliwiająca ujawnienie informacji w AOSP Mail

Luka umożliwiająca ujawnienie informacji w Poczcie AOSP może umożliwić lokalnej złośliwej aplikacji ominięcie zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji. Ten problem został oceniony jako wysoki, ponieważ może być używany do uzyskiwania dostępu do danych bez pozwolenia.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3918 A-30745403 Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 5 sierpnia 2016

Luka w zabezpieczeniach typu „odmowa usługi” w sieci Wi-Fi

Luka w zabezpieczeniach sieci Wi-Fi typu „odmowa usługi” może umożliwić atakującemu lokalnie utworzenie punktu dostępu i ponowne uruchomienie urządzenia. Ten problem został oceniony jako wysoki ze względu na możliwość tymczasowej zdalnej odmowy usługi.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3882 A-29464811 Wysoki Wszystkie Nexusy 6.0, 6.0.1, 7.0 17 czerwca 2016

Luka odmowy usługi w GPS

Luka typu „odmowa usługi” w komponencie GPS może umożliwić zdalnej osobie atakującej zawieszenie lub ponowne uruchomienie urządzenia. Ten problem został oceniony jako wysoki ze względu na możliwość tymczasowej zdalnej odmowy usługi.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-5348 A-29555864 Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 20 czerwca 2016

Luka typu Denial of Service w Mediaserver

Luka typu „odmowa usługi” w serwerze Mediaserver może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku w celu zawieszenia lub ponownego uruchomienia urządzenia. Ten problem jest oceniany jako wysoki ze względu na możliwość zdalnej odmowy usługi.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3920 A-30744884 Wysoki Wszystkie Nexusy 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 5 sierpnia 2016

Podwyższenie podatności uprawnień w Framework Listener

Luka umożliwiająca podniesienie uprawnień w programie Framework Listener może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3921 A-29831647 Umiarkowany Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 25 czerwca 2016

Podwyższenie podatności na przywileje w telefonii

Luka umożliwiająca podniesienie uprawnień w telefonii może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3922 A-30202619 Umiarkowany Wszystkie Nexusy 6.0, 6.0.1, 7.0 17 lipca 2016

Podwyższenie podatności uprawnień w usługach ułatwień dostępu

Luka umożliwiająca podniesienie uprawnień w usługach ułatwień dostępu może umożliwić lokalnej złośliwej aplikacji generowanie na urządzeniu nieoczekiwanych zdarzeń dotknięcia, które mogą spowodować, że aplikacje zaakceptują okna dialogowe uprawnień bez wyraźnej zgody użytkownika. Ten problem jest oceniany jako Umiarkowany, ponieważ jest to lokalne obejście wymagań dotyczących interakcji użytkownika, które normalnie wymagałyby inicjacji użytkownika lub uprawnień użytkownika.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3923 A-30647115 Umiarkowany Wszystkie Nexusy 7,0 Google wewnętrzne

Luka umożliwiająca ujawnienie informacji w Mediaserver

Luka umożliwiająca ujawnienie informacji w Mediaserver może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ może być używany do uzyskiwania dostępu do poufnych danych bez pozwolenia.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3924 A-30204301 Umiarkowany Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 18 lipca 2016 r.

Luka w zabezpieczeniach typu „odmowa usługi” w sieci Wi-Fi

Luka typu „odmowa usługi” w usłudze Wi-Fi może umożliwić lokalnej złośliwej aplikacji zapobieganie nawiązywaniu połączeń przez Wi-Fi. Ten problem jest oceniany jako Umiarkowany ze względu na możliwość odmowy usługi dla funkcjonalności aplikacji.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3925 A-30230534 Umiarkowany Wszystkie Nexusy 6.0, 6.0.1, 7.0 Google wewnętrzne

2016-10-05 poziom poprawki zabezpieczeń — szczegóły dotyczące luki w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje o każdej z luk w zabezpieczeniach, które mają zastosowanie do poziomu poprawek z 05.10.2016. Istnieje opis problemu, uzasadnienie ważności oraz tabela z CVE, powiązanymi odniesieniami, dotkliwością, zaktualizowanymi urządzeniami Nexus, zaktualizowanymi wersjami AOSP (jeśli dotyczy) i datą zgłoszenia. Gdy będzie to możliwe, połączymy publiczną zmianę, która dotyczyła problemu, z identyfikatorem błędu, takim jak lista zmian AOSP. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odnośniki są powiązane z liczbami następującymi po identyfikatorze błędu.

Luka umożliwiająca zdalne wykonanie kodu w dekoderze jądra ASN.1

Luka umożliwiająca podniesienie uprawnień w dekoderze jądra ASN.1 może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-0758 A-29814470
Jądro nadrzędne
Krytyczny Nexus 5X, Nexus 6P 12 maja 2016

Luka umożliwiająca zdalne wykonanie kodu w podsystemie sieciowym jądra

Luka umożliwiająca zdalne wykonanie kodu w podsystemie sieciowym jądra może umożliwić osobie atakującej zdalne wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-7117 A-30515201
Jądro nadrzędne
Krytyczny Wszystkie Nexusy Google wewnętrzne

Podniesienie poziomu uprawnień w sterowniku wideo MediaTek

Luka umożliwiająca podniesienie uprawnień w sterowniku wideo MediaTek może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3928 A-30019362*
M-ALPS02829384
Krytyczny Nic 6 lipca 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podniesienie poziomu uprawnień w sterowniku pamięci współdzielonej jądra

Luka umożliwiająca podniesienie uprawnień w sterowniku pamięci współużytkowanej jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-5340 A-30652312
QC-CR#1008948
Krytyczny Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 26 lipca 2016

Luki w komponentach Qualcomm

Poniższa tabela zawiera luki w zabezpieczeniach mające wpływ na składniki Qualcomm i zostały szczegółowo opisane w biuletynach zabezpieczeń Qualcomm AMSS z marca 2016 r. i Qualcomm AMSS z kwietnia 2016 r.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3926 A-28823953* Krytyczny Nexus 5, Nexus 5X, Nexus 6, Nexus 6P Qualcomm wewnętrzny
CVE-2016-3927 A-28823244* Krytyczny Nexus 5X, Nexus 6P Qualcomm wewnętrzny
CVE-2016-3929 A-28823675* Wysoki Nexus 5X, Nexus 6P Qualcomm wewnętrzny

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka uprawnień w komponencie sieciowym Qualcomm

Luka umożliwiająca podniesienie uprawnień w komponencie sieciowym Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-2059 A-27045580
QC-CR#974577
Wysoki Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 4 lut 2016

Podniesienie poziomu uprawnień w sterowniku testowym NVIDIA MMC

Luka umożliwiająca podniesienie uprawnień w sterowniku testowym NVIDIA MMC może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3930 A-28760138*
N-CVE-2016-3930
Wysoki Nexus 9 12 maja 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podniesienie poziomu uprawnień w sterowniku Qualcomm QSEE Communicator

Luka umożliwiająca podniesienie uprawnień w sterowniku Qualcomm QSEE Communicator może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3931 A-29157595
QC-CR#1036418
Wysoki Nexus 5X, Nexus 6, Nexus 6P, Android One 4 czerwca 2016

Podwyższenie luki uprawnień w Mediaserver

Luka umożliwiająca podniesienie uprawnień w serwerze Mediaserver może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3932 A-29161895
M-ALPS02770870
Wysoki Nic 6 czerwca 2016
CVE-2016-3933 A-29421408*
N-CVE-2016-3933
Wysoki Nexus 9, piksel C 14 czerwca 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka uprawnień w sterowniku kamery Qualcomm

Luka umożliwiająca podniesienie uprawnień w sterowniku aparatu Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3903 A-29513227
QC-CR#1040857
Wysoki Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 20 czerwca 2016
CVE-2016-3934 A-30102557
QC-CR#789704
Wysoki Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 12 lipca 2016 r.

Podwyższona luka uprawnień w sterowniku dźwięku Qualcomm

Luka umożliwiająca podniesienie uprawnień w sterowniku dźwięku Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2015-8951 A-30142668
QC-CR#948902
QC-CR#948902
Wysoki Nexus 5X, Nexus 6P, Android One 20 czerwca 2016

Podniesienie poziomu uprawnień w sterowniku silnika kryptograficznego Qualcomm

Luka umożliwiająca podniesienie uprawnień w sterowniku mechanizmu kryptograficznego Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3901 A-29999161
QC-CR#1046434
Wysoki Nexus 5X, Nexus 6, Nexus 6P, Android One 6 lipca 2016
CVE-2016-3935 A-29999665
QC-CR#1046507
Wysoki Nexus 5X, Nexus 6, Nexus 6P, Android One 6 lipca 2016

Podniesienie poziomu uprawnień w sterowniku wideo MediaTek

Luka umożliwiająca podniesienie uprawnień w sterowniku wideo MediaTek może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3936 A-30019037*
M-ALPS02829568
Wysoki Nic 6 lipca 2016
CVE-2016-3937 A-30030994*
M-ALPS02834874
Wysoki Nic 7 lipca 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka uprawnień w sterowniku wideo Qualcomm

Luka umożliwiająca podniesienie uprawnień w sterowniku wideo Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3938 A-30019716
QC-CR#1049232
Wysoki Nexus 5X, Nexus 6, Nexus 6P, Android One 7 lipca 2016
CVE-2016-3939 A-30874196
QC-CR#1001224
Wysoki Nexus 5X, Nexus 6, Nexus 6P, Android One 15 sierpnia 2016

Podwyższona luka uprawnień w sterowniku ekranu dotykowego Synaptics

Luka umożliwiająca podniesienie uprawnień w sterowniku ekranu dotykowego Synaptics może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3940 A-30141991* Wysoki Nexus 6P, Android One 12 lipca 2016 r.
CVE-2016-6672 A-30537088* Wysoki Nexus 5X 31 lipca 2016 r.

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podniesienie poziomu uprawnień w sterowniku kamery NVIDIA

Luka umożliwiająca podniesienie uprawnień w sterowniku kamery NVIDIA może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-6673 A-30204201*
N-CVE-2016-6673
Wysoki Nexus 9 17 lipca 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższenie luki uprawnień w systemie_server

Luka umożliwiająca podniesienie uprawnień w serwerze system_server może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-6674 A-30445380* Wysoki Wszystkie Nexusy 26 lipca 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka uprawnień w sterowniku Qualcomm Wi-Fi

Luka umożliwiająca podniesienie uprawnień w sterowniku Qualcomm Wi-Fi może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3905 A-28061823
QC-CR#1001449
Wysoki Nexus 5X Google wewnętrzne
CVE-2016-6675 A-30873776
QC-CR#1000861
Wysoki Nexus 5X, Android One 15 sierpnia 2016
CVE-2016-6676 A-30874066
QC-CR#1000853
Wysoki Nexus 5X, Android One 15 sierpnia 2016
CVE-2016-5342 A-30878283
QC-CR#1032174
Wysoki Android Jeden 15 sierpnia 2016

Podwyższona luka uprawnień w podsystemie wydajności jądra

Luka umożliwiająca podniesienie uprawnień w podsystemie wydajności jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2015-8955 A-29508816
Jądro nadrzędne
Wysoki Nexus 5X, Nexus 6P, Pixel C, Android One Google wewnętrzne

Luka umożliwiająca ujawnienie informacji w podsystemie ION jądra

Luka umożliwiająca ujawnienie informacji w podsystemie ION jądra może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako wysoki, ponieważ może być używany do uzyskiwania dostępu do poufnych danych bez wyraźnej zgody użytkownika.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2015-8950 A-29795245
QC-CR#1041735
Wysoki Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 12 maja 2016

Luka umożliwiająca ujawnienie informacji w sterowniku GPU NVIDIA

Luka umożliwiająca ujawnienie informacji w sterowniku GPU NVIDIA może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-6677 A-30259955*
N-CVE-2016-6677
Wysoki Nexus 9 19 lipca 2016 r.

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka uprawnień w sterowniku znaków Qualcomm

Luka umożliwiająca podniesienie uprawnień w sterowniku znaków Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga złamania uprzywilejowanego procesu, a zagrożony kod jest obecnie niedostępny.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2015-0572 A-29156684
QC-CR#848489
Umiarkowany Nexus 5X, Nexus 6P 28 maja 2016

Luka umożliwiająca ujawnienie informacji w sterowniku dźwięku Qualcomm

Luka umożliwiająca ujawnienie informacji w sterowniku dźwięku Qualcomm może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3860 A-29323142
QC-CR#1038127
Umiarkowany Nexus 5X, Nexus 6P, Android One 13 czerwca 2016

Luka umożliwiająca ujawnienie informacji w sterowniku Motorola USBNet

Luka umożliwiająca ujawnienie informacji w sterowniku Motorola USBNet może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-6678 A-29914434* Umiarkowany Nexus 6 30 cze 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Luka umożliwiająca ujawnienie informacji w komponentach Qualcomm

Luka umożliwiająca ujawnienie informacji w komponentach Qualcomm, w tym sterowniku dźwięku, sterowniku IPA i sterowniku Wi-Fi, może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-6679 A-29915601
QC-CR#1000913 [ 2 ]
Umiarkowany Nexus 5X, Android One 30 cze 2016
CVE-2016-3902 A-29953313*
QC-CR#1044072
Umiarkowany Nexusa 5X, Nexusa 6P, 2 lipca 2016
CVE-2016-6680 A-29982678*
QC-CR#1048052
Umiarkowany Nexus 5X, Android One 3 lipca 2016
CVE-2016-6681 A-30152182
QC-CR#1049521
Umiarkowany Nexus 5X, Nexus 6P, Android One 14 lipca 2016 r.
CVE-2016-6682 A-30152501
QC-CR#1049615
Umiarkowany Nexus 5X, Nexus 6P, Android One 14 lipca 2016 r.

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Luka umożliwiająca ujawnienie informacji w komponentach jądra

Luka umożliwiająca ujawnienie informacji w składnikach jądra, w tym w sterowniku Binder, Sync, Bluetooth i Sound, może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-6683 A-30143283* Umiarkowany Wszystkie Nexusy 13 lipca 2016 r.
CVE-2016-6684 A-30148243* Umiarkowany Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Android One 13 lipca 2016 r.
CVE-2015-8956 A-30149612* Umiarkowany Nexus 5, Nexus 6P, Android One 14 lipca 2016 r.
CVE-2016-6685 A-30402628* Umiarkowany Nexus 6P 25 lipca 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Luka umożliwiająca ujawnienie informacji w profilerze NVIDIA

Luka umożliwiająca ujawnienie informacji w profilerze NVIDIA może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-6686 A-30163101*
N-CVE-2016-6686
Umiarkowany Nexus 9 15 lipca 2016 r.
CVE-2016-6687 A-3016222*
N-CVE-2016-6687
Umiarkowany Nexus 9 15 lipca 2016 r.
CVE-2016-6688 A-30593080*
N-CVE-2016-6688
Umiarkowany Nexus 9 2 sierpnia 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Luka umożliwiająca ujawnienie informacji w jądrze

Luka umożliwiająca ujawnienie informacji w programie Binder może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-6689 A-30768347* Umiarkowany Wszystkie Nexusy 9 sierpnia 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Luka typu „odmowa usługi” w podsystemie sieciowym jądra

Luka typu „odmowa usługi” w podsystemie sieciowym jądra może umożliwić osobie atakującej zablokowanie dostępu do połączeń TCP i spowodować tymczasową zdalną odmowę usługi. Ten problem jest oceniany jako średni, ponieważ usługi komórkowe są nadal dostępne, a urządzenie nadal nadaje się do użytku.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-5696 A-30809774
Jądro nadrzędne
Umiarkowany Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One 12 lipca 2016 r.

Luka typu „odmowa usługi” w sterowniku dźwięku jądra

Luka w zabezpieczeniach typu „odmowa usługi” w jądrze może umożliwić lokalnej złośliwej aplikacji spowodowanie ponownego uruchomienia urządzenia. Ten problem został oceniony jako Niski, ponieważ jest to tymczasowa odmowa usługi.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-6690 A-28838221* Niski Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus Player 18 maja 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Luki w komponentach Qualcomm

Poniższa tabela zawiera listę luk w zabezpieczeniach, które mają wpływ na komponenty Qualcomm.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-6691 QC-CR#978452 Wysoki Nic Lipiec 2016
CVE-2016-6692 QC-CR#1004933 Wysoki Nic Sierpień 2016
CVE-2016-6693 QC-CR#1027585 Wysoki Nic Sierpień 2016
CVE-2016-6694 QC-CR#1033525 Wysoki Nic Sierpień 2016
CVE-2016-6695 QC-CR#1033540 Wysoki Nic Sierpień 2016
CVE-2016-6696 QC-CR#1041130 Wysoki Nic Sierpień 2016
CVE-2016-5344 QC-CR#993650 Umiarkowany Nic Sierpień 2016
CVE-2016-5343 QC-CR#1010081 Umiarkowany Nic Sierpień 2016

Często zadawane pytania i odpowiedzi

W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Poziomy poprawek zabezpieczeń z dnia 2016-10-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem ciągu poprawki zabezpieczeń 2016-10-01. Poziomy poprawek zabezpieczeń z 05.10.2016 lub nowsze rozwiązują wszystkie problemy związane z poziomem ciągu poprawek zabezpieczeń 05.10.2016. Zapoznaj się z centrum pomocy, aby uzyskać instrukcje dotyczące sprawdzania poziomu poprawki zabezpieczeń. Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[01.10.2016] lub [ro.build.version.security_patch]:[05.10.2016].

2. Dlaczego ten biuletyn zawiera dwa łańcuchy poziomów poprawek zabezpieczeń?

Ten biuletyn zawiera dwa łańcuchy poziomów poprawek zabezpieczeń, dzięki czemu partnerzy systemu Android mogą szybciej naprawiać podzbiór luk, które są podobne na wszystkich urządzeniach z systemem Android. Zachęcamy partnerów Androida do rozwiązywania wszystkich problemów w tym biuletynie i korzystania z najnowszego ciągu poziomów poprawek zabezpieczeń.

Urządzenia korzystające z poziomu poprawek zabezpieczeń z 5 października 2016 r. lub nowszego muszą zawierać wszystkie odpowiednie poprawki w tym (i poprzednich) biuletynach zabezpieczeń.

Urządzenia korzystające z poziomu poprawek zabezpieczeń z 1 października 2016 r. muszą zawierać wszystkie problemy związane z tym poziomem poprawek zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach zabezpieczeń.

3. Jak określić, których urządzeń Nexus dotyczy każdy problem?

W sekcjach szczegółów luki w zabezpieczeniach 01.10.2016 i 05.10.2016 każda tabela zawiera kolumnę Zaktualizowane urządzenia Nexus, która obejmuje zakres urządzeń Nexus, których dotyczy problem, zaktualizowanych dla każdego problemu. Ta kolumna ma kilka opcji:

  • Wszystkie urządzenia Nexus : jeśli problem dotyczy wszystkich urządzeń Nexus, w tabeli w kolumnie Zaktualizowane urządzenia Nexus pojawi się „Wszystkie Nexusy”. „Wszystkie Nexusy” obejmują następujące obsługiwane urządzenia : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player i Pixel C.
  • Niektóre urządzenia Nexus : jeśli problem nie dotyczy wszystkich urządzeń Nexus, urządzenia Nexus, których dotyczy problem, są wymienione w kolumnie Zaktualizowane urządzenia Nexus .
  • Brak urządzeń Nexus : jeśli problem nie dotyczy żadnych urządzeń Nexus z Androidem 7.0, w tabeli w kolumnie Zaktualizowane urządzenia Nexus będzie widoczny komunikat „Brak”.

4. Do czego odwzorowują się wpisy w kolumnie Referencje?

Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odniesienia. These prefixes map as follows:

Prefiks Odniesienie
A- Identyfikator błędu Androida
Kontrola jakości- Numer referencyjny Qualcomm
M- Numer referencyjny MediaTek
N- Numer referencyjny NVIDIA
B- Numer referencyjny Broadcom

Rewizje

  • October 03, 2016: Bulletin published.
  • October 04, 2016: Bulletin revised to include AOSP links and update attributions for CVE-2016-3920, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695, and CVE-2016-6696.