Opublikowano 03 października 2016 | Zaktualizowano 4 października 2016 r.
Biuletyn Android Security Bulletin zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Wraz z biuletynem udostępniliśmy aktualizację zabezpieczeń urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA). Obrazy oprogramowania sprzętowego Nexusa zostały również udostępnione w witrynie Google Developer . Poziomy poprawek zabezpieczeń z 5 października 2016 r. lub nowsze rozwiązują te problemy. Zapoznaj się z dokumentacją , aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń. Obsługiwane urządzenia Nexus otrzymają pojedynczą aktualizację OTA z poziomem poprawki zabezpieczeń z 5 października 2016 r.
Partnerzy zostali powiadomieni o problemach opisanych w biuletynie 6 września 2016 r. lub wcześniej. W stosownych przypadkach w repozytorium Android Open Source Project (AOSP) udostępniono poprawki kodu źródłowego dla tych problemów. Biuletyn ten zawiera również łącza do poprawek spoza AOSP.
Najpoważniejszym z tych problemów są krytyczne luki w zabezpieczeniach w kodzie specyficznym dla urządzenia, które mogą umożliwić zdalne wykonanie kodu w kontekście jądra, prowadząc do możliwości lokalnego trwałego włamania się na urządzenie, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia . Ocena dotkliwości opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy, przy założeniu, że platforma i usługi ograniczania zagrożeń są wyłączone w celach programistycznych lub pomyślnie ominięte.
Nie mieliśmy żadnych doniesień o aktywnym wykorzystywaniu lub nadużywaniu przez klientów tych nowo zgłoszonych problemów. Szczegółowe informacje na temat zabezpieczeń platformy Android i zabezpieczeń usług, takich jak SafetyNet , które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Ograniczenia ryzyka w usługach Android i Google .
Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Ogłoszenia
- Ten biuletyn zawiera dwa łańcuchy poziomów poprawek zabezpieczeń, aby zapewnić partnerom systemu Android elastyczność umożliwiającą szybsze naprawianie podzbioru luk, które są podobne na wszystkich urządzeniach z systemem Android. Zobacz Często zadawane pytania i odpowiedzi, aby uzyskać dodatkowe informacje:
- 2016-10-01 : Częściowy ciąg poziomu poprawek zabezpieczeń. Ten ciąg poziomu poprawek zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z 01.10.2016 (i wszystkie poprzednie ciągi poziomów poprawek zabezpieczeń).
- 2016-10-05 : Kompletny ciąg poziomu poprawek zabezpieczeń. Ten ciąg poziomu poprawek zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z 01.10.2016 i 05.10.2016 (oraz wszystkie poprzednie ciągi poziomów poprawek zabezpieczeń).
- Obsługiwane urządzenia Nexus otrzymają pojedynczą aktualizację OTA z poziomem poprawki zabezpieczeń z 5 października 2016 r.
Ograniczenia w usługach Android i Google
To jest podsumowanie środków łagodzących zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Te możliwości zmniejszają prawdopodobieństwo pomyślnego wykorzystania luk w zabezpieczeniach w systemie Android.
- Wykorzystanie wielu problemów w systemie Android jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do aktualizacji do najnowszej wersji Androida tam, gdzie to możliwe.
- Zespół Android Security aktywnie monitoruje nadużycia za pomocą funkcji Verify Apps i SafetyNet , które mają ostrzegać użytkowników o potencjalnie szkodliwych aplikacjach . Weryfikacja aplikacji jest domyślnie włączona na urządzeniach z usługami Google Mobile Services i jest szczególnie ważna dla użytkowników instalujących aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale Weryfikacja aplikacji ostrzega użytkowników, gdy próbują zainstalować wykrytą aplikację do rootowania — bez względu na to, skąd pochodzi. Ponadto Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji, które wykorzystują lukę w eskalacji uprawnień. Jeśli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wykrytej aplikacji.
- W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.
Podziękowanie
Chcielibyśmy podziękować tym badaczom za ich wkład:
- Andre Teixeira Rizzo: CVE-2016-3882
- Andrea Biondo: CVE-2016-3921
- Daniel Micay z Copperhead Security: CVE-2016-3922
- Dmitrij Wiukow z Google: CVE-2016-7117
- numer telefonu: CVE-2016-3931
- Ecular Xu (徐健) firmy Trend Micro: CVE-2016-3920
- Gengjia Chen ( @chengjia4574 ) i pjf z IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-6690, CVE-2016-3901, CVE-2016-6672, CVE-2016-3940, CVE-2016-3935
- Hang Zhang , Dongdong She i Zhiyun Qian z UC Riverside: CVE-2015-8950
- Hao Chen z zespołu Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2016-3860
- Jann Horn z Google Project Zero: CVE-2016-3900, CVE-2016-3885
- Jason Rogena : CVE-2016-3917
- Jianqiang Zhao ( @jianqiangzhao ) i pjf z IceSword Lab, Qihoo 360: CVE-2016-6688, CVE-2016-6677, CVE-2016-6673, CVE-2016-6687, CVE-2016-6686, CVE-2016-6681 , CVE-2016-6682, CVE-2016-3930
- Joshua Drake ( @jduck ): CVE-2016-3920
- Maciej Szawłowski z zespołu bezpieczeństwa Google: CVE-2016-3905
- Oznacz markę Google Project Zero: CVE-2016-6689
- Michał Bednarski : CVE-2016-3914, CVE-2016-6674, CVE-2016-3911, CVE-2016-3912
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-3933, CVE-2016-3932
- Badania nad cyberbezpieczeństwem Nightwatch ( @nightwatchcyber ): CVE-2016-5348
- Roee Hay, IBM Security X-Force Researcher: CVE-2016-6678
- Samuel Tan z Google: CVE-2016-3925
- Scott Bauer ( @ScottyBauer1 ): CVE-2016-3936, CVE-2016-3928, CVE-2016-3902, CVE-2016-3937, CVE-2016-6696
- Seven Shen ( @lingtongshen ) z zespołu Trend Micro Mobile Threat Research Team: CVE-2016-6685, CVE-2016-6683, CVE-2016-6680, CVE-2016-6679, CVE-2016-3903, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695
- Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-3909
- Wenlin Yang i Guang Gong (龚广) ( @oldfresher ) z zespołu Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2016-3918
- Życzę Wu (吴潍浠) ( @wish_wu) firmy Trend Micro Inc. : CVE-2016-3924, CVE-2016-3915, CVE-2016-3916, CVE-2016-3910
- Yong Shi z zespołu Eagleye, SCC, Huawei: CVE-2016-3938
- Zhanpeng Zhao (行之) ( @0xr0ot ) z Security Research Lab, Cheetah Mobile : CVE-2016-3908
2016-10-01 Poziom poprawki zabezpieczeń — Szczegóły dotyczące luki w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z dnia 2016-10-01. Znajduje się tam opis problemu, uzasadnienie ważności oraz tabela z CVE, powiązanymi odniesieniami, dotkliwością, zaktualizowanymi urządzeniami Nexus, zaktualizowanymi wersjami AOSP (jeśli dotyczy) i datą zgłoszenia. Gdy będzie to możliwe, połączymy publiczną zmianę, która dotyczyła problemu, z identyfikatorem błędu, takim jak lista zmian AOSP. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odnośniki są powiązane z liczbami następującymi po identyfikatorze błędu.
Podwyższenie podatności uprawnień w ServiceManager
Podniesienie uprawnień w programie ServiceManager może umożliwić lokalnej złośliwej aplikacji zarejestrowanie dowolnych usług, które normalnie byłyby świadczone przez uprzywilejowany proces, taki jak serwer_systemu. Ten problem jest oceniany jako Wysoka istotność ze względu na możliwość podszywania się pod usługę.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3900 | A-29431260 [ 2 ] | Wysoki | Wszystkie Nexusy | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 czerwca 2016 |
Podwyższona luka uprawnień w usłudze Lock Settings Service
Luka umożliwiająca podniesienie uprawnień w usłudze Lock Settings Service może umożliwić lokalnej złośliwej aplikacji wyczyszczenie kodu PIN lub hasła urządzenia. Ten problem został oceniony jako wysoki, ponieważ jest to lokalne obejście wymagań dotyczących interakcji użytkownika w przypadku wszelkich modyfikacji ustawień dewelopera lub zabezpieczeń.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3908 | A-30003944 | Wysoki | Wszystkie Nexusy | 6.0, 6.0.1, 7.0 | 6 lipca 2016 |
Podwyższenie luki uprawnień w Mediaserver
Luka umożliwiająca podniesienie uprawnień w serwerze Mediaserver może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3909 | A-30033990 [ 2 ] | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 8 lipca 2016 |
| CVE-2016-3910 | A-30148546 | Wysoki | Wszystkie Nexusy | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 13 lipca 2016 r. |
| CVE-2016-3913 | A-30204103 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 18 lipca 2016 r. |
Podniesienie podatności uprawnień w procesie Zygote
Podniesienie uprawnień w procesie Zygote może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3911 | A-30143607 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 12 lipca 2016 r. |
Podwyższenie podatności uprawnień w API frameworka
Luka umożliwiająca podniesienie uprawnień w interfejsach API struktury może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3912 | A-30202481 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 17 lipca 2016 |
Podwyższenie podatności na przywileje w telefonii
Luka umożliwiająca podniesienie uprawnień w komponencie Telefonia może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3914 | A-30481342 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 lipca 2016 |
Podwyższona luka uprawnień w usłudze Aparat
Luka umożliwiająca podniesienie uprawnień w usłudze Aparat może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3915 | A-30591838 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 1 sierpnia 2016 |
| CVE-2016-3916 | A-30741779 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 2 sierpnia 2016 |
Podniesienie poziomu uprawnień w logowaniu odciskiem palca
Luka umożliwiająca podniesienie uprawnień podczas logowania za pomocą odcisku palca może umożliwić złośliwemu właścicielowi urządzenia zalogowanie się jako inne konto użytkownika na urządzeniu. Ten problem jest oceniany jako wysoki ze względu na możliwość obejścia blokady ekranu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3917 | A-30744668 | Wysoki | Wszystkie Nexusy | 6.0.1, 7.0 | 5 sierpnia 2016 |
Luka umożliwiająca ujawnienie informacji w AOSP Mail
Luka umożliwiająca ujawnienie informacji w Poczcie AOSP może umożliwić lokalnej złośliwej aplikacji ominięcie zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji. Ten problem został oceniony jako wysoki, ponieważ może być używany do uzyskiwania dostępu do danych bez pozwolenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3918 | A-30745403 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 sierpnia 2016 |
Luka w zabezpieczeniach typu „odmowa usługi” w sieci Wi-Fi
Luka w zabezpieczeniach sieci Wi-Fi typu „odmowa usługi” może umożliwić atakującemu lokalnie utworzenie punktu dostępu i ponowne uruchomienie urządzenia. Ten problem został oceniony jako wysoki ze względu na możliwość tymczasowej zdalnej odmowy usługi.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3882 | A-29464811 | Wysoki | Wszystkie Nexusy | 6.0, 6.0.1, 7.0 | 17 czerwca 2016 |
Luka odmowy usługi w GPS
Luka typu „odmowa usługi” w komponencie GPS może umożliwić zdalnej osobie atakującej zawieszenie lub ponowne uruchomienie urządzenia. Ten problem został oceniony jako wysoki ze względu na możliwość tymczasowej zdalnej odmowy usługi.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-5348 | A-29555864 | Wysoki | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 20 czerwca 2016 |
Luka typu Denial of Service w Mediaserver
Luka typu „odmowa usługi” w serwerze Mediaserver może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku w celu zawieszenia lub ponownego uruchomienia urządzenia. Ten problem jest oceniany jako wysoki ze względu na możliwość zdalnej odmowy usługi.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3920 | A-30744884 | Wysoki | Wszystkie Nexusy | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 sierpnia 2016 |
Podwyższenie podatności uprawnień w Framework Listener
Luka umożliwiająca podniesienie uprawnień w programie Framework Listener może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3921 | A-29831647 | Umiarkowany | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 25 czerwca 2016 |
Podwyższenie podatności na przywileje w telefonii
Luka umożliwiająca podniesienie uprawnień w telefonii może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3922 | A-30202619 | Umiarkowany | Wszystkie Nexusy | 6.0, 6.0.1, 7.0 | 17 lipca 2016 |
Podwyższenie podatności uprawnień w usługach ułatwień dostępu
Luka umożliwiająca podniesienie uprawnień w usługach ułatwień dostępu może umożliwić lokalnej złośliwej aplikacji generowanie na urządzeniu nieoczekiwanych zdarzeń dotknięcia, które mogą spowodować, że aplikacje zaakceptują okna dialogowe uprawnień bez wyraźnej zgody użytkownika. Ten problem jest oceniany jako Umiarkowany, ponieważ jest to lokalne obejście wymagań dotyczących interakcji użytkownika, które normalnie wymagałyby inicjacji użytkownika lub uprawnień użytkownika.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3923 | A-30647115 | Umiarkowany | Wszystkie Nexusy | 7,0 | Google wewnętrzne |
Luka umożliwiająca ujawnienie informacji w Mediaserver
Luka umożliwiająca ujawnienie informacji w Mediaserver może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ może być używany do uzyskiwania dostępu do poufnych danych bez pozwolenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3924 | A-30204301 | Umiarkowany | Wszystkie Nexusy | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 18 lipca 2016 r. |
Luka w zabezpieczeniach typu „odmowa usługi” w sieci Wi-Fi
Luka typu „odmowa usługi” w usłudze Wi-Fi może umożliwić lokalnej złośliwej aplikacji zapobieganie nawiązywaniu połączeń przez Wi-Fi. Ten problem jest oceniany jako Umiarkowany ze względu na możliwość odmowy usługi dla funkcjonalności aplikacji.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3925 | A-30230534 | Umiarkowany | Wszystkie Nexusy | 6.0, 6.0.1, 7.0 | Google wewnętrzne |
2016-10-05 poziom poprawki zabezpieczeń — szczegóły dotyczące luki w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje o każdej z luk w zabezpieczeniach, które mają zastosowanie do poziomu poprawek z 05.10.2016. Istnieje opis problemu, uzasadnienie ważności oraz tabela z CVE, powiązanymi odniesieniami, dotkliwością, zaktualizowanymi urządzeniami Nexus, zaktualizowanymi wersjami AOSP (jeśli dotyczy) i datą zgłoszenia. Gdy będzie to możliwe, połączymy publiczną zmianę, która dotyczyła problemu, z identyfikatorem błędu, takim jak lista zmian AOSP. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odnośniki są powiązane z liczbami następującymi po identyfikatorze błędu.
Luka umożliwiająca zdalne wykonanie kodu w dekoderze jądra ASN.1
Luka umożliwiająca podniesienie uprawnień w dekoderze jądra ASN.1 może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0758 | A-29814470 Jądro nadrzędne | Krytyczny | Nexus 5X, Nexus 6P | 12 maja 2016 |
Luka umożliwiająca zdalne wykonanie kodu w podsystemie sieciowym jądra
Luka umożliwiająca zdalne wykonanie kodu w podsystemie sieciowym jądra może umożliwić osobie atakującej zdalne wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-7117 | A-30515201 Jądro nadrzędne | Krytyczny | Wszystkie Nexusy | Google wewnętrzne |
Podniesienie poziomu uprawnień w sterowniku wideo MediaTek
Luka umożliwiająca podniesienie uprawnień w sterowniku wideo MediaTek może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3928 | A-30019362* M-ALPS02829384 | Krytyczny | Nic | 6 lipca 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podniesienie poziomu uprawnień w sterowniku pamięci współdzielonej jądra
Luka umożliwiająca podniesienie uprawnień w sterowniku pamięci współużytkowanej jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-5340 | A-30652312 QC-CR#1008948 | Krytyczny | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 26 lipca 2016 |
Luki w komponentach Qualcomm
Poniższa tabela zawiera luki w zabezpieczeniach mające wpływ na składniki Qualcomm i zostały szczegółowo opisane w biuletynach zabezpieczeń Qualcomm AMSS z marca 2016 r. i Qualcomm AMSS z kwietnia 2016 r.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3926 | A-28823953* | Krytyczny | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | Qualcomm wewnętrzny |
| CVE-2016-3927 | A-28823244* | Krytyczny | Nexus 5X, Nexus 6P | Qualcomm wewnętrzny |
| CVE-2016-3929 | A-28823675* | Wysoki | Nexus 5X, Nexus 6P | Qualcomm wewnętrzny |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka uprawnień w komponencie sieciowym Qualcomm
Luka umożliwiająca podniesienie uprawnień w komponencie sieciowym Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-2059 | A-27045580 QC-CR#974577 | Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 lut 2016 |
Podniesienie poziomu uprawnień w sterowniku testowym NVIDIA MMC
Luka umożliwiająca podniesienie uprawnień w sterowniku testowym NVIDIA MMC może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3930 | A-28760138* N-CVE-2016-3930 | Wysoki | Nexus 9 | 12 maja 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podniesienie poziomu uprawnień w sterowniku Qualcomm QSEE Communicator
Luka umożliwiająca podniesienie uprawnień w sterowniku Qualcomm QSEE Communicator może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3931 | A-29157595 QC-CR#1036418 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 czerwca 2016 |
Podwyższenie luki uprawnień w Mediaserver
Luka umożliwiająca podniesienie uprawnień w serwerze Mediaserver może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3932 | A-29161895 M-ALPS02770870 | Wysoki | Nic | 6 czerwca 2016 |
| CVE-2016-3933 | A-29421408* N-CVE-2016-3933 | Wysoki | Nexus 9, piksel C | 14 czerwca 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka uprawnień w sterowniku kamery Qualcomm
Luka umożliwiająca podniesienie uprawnień w sterowniku aparatu Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3903 | A-29513227 QC-CR#1040857 | Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 20 czerwca 2016 |
| CVE-2016-3934 | A-30102557 QC-CR#789704 | Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 12 lipca 2016 r. |
Podwyższona luka uprawnień w sterowniku dźwięku Qualcomm
Luka umożliwiająca podniesienie uprawnień w sterowniku dźwięku Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-8951 | A-30142668 QC-CR#948902 QC-CR#948902 | Wysoki | Nexus 5X, Nexus 6P, Android One | 20 czerwca 2016 |
Podniesienie poziomu uprawnień w sterowniku silnika kryptograficznego Qualcomm
Luka umożliwiająca podniesienie uprawnień w sterowniku mechanizmu kryptograficznego Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3901 | A-29999161 QC-CR#1046434 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One | 6 lipca 2016 |
| CVE-2016-3935 | A-29999665 QC-CR#1046507 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One | 6 lipca 2016 |
Podniesienie poziomu uprawnień w sterowniku wideo MediaTek
Luka umożliwiająca podniesienie uprawnień w sterowniku wideo MediaTek może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3936 | A-30019037* M-ALPS02829568 | Wysoki | Nic | 6 lipca 2016 |
| CVE-2016-3937 | A-30030994* M-ALPS02834874 | Wysoki | Nic | 7 lipca 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka uprawnień w sterowniku wideo Qualcomm
Luka umożliwiająca podniesienie uprawnień w sterowniku wideo Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3938 | A-30019716 QC-CR#1049232 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One | 7 lipca 2016 |
| CVE-2016-3939 | A-30874196 QC-CR#1001224 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One | 15 sierpnia 2016 |
Podwyższona luka uprawnień w sterowniku ekranu dotykowego Synaptics
Luka umożliwiająca podniesienie uprawnień w sterowniku ekranu dotykowego Synaptics może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3940 | A-30141991* | Wysoki | Nexus 6P, Android One | 12 lipca 2016 r. |
| CVE-2016-6672 | A-30537088* | Wysoki | Nexus 5X | 31 lipca 2016 r. |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podniesienie poziomu uprawnień w sterowniku kamery NVIDIA
Luka umożliwiająca podniesienie uprawnień w sterowniku kamery NVIDIA może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6673 | A-30204201* N-CVE-2016-6673 | Wysoki | Nexus 9 | 17 lipca 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższenie luki uprawnień w systemie_server
Luka umożliwiająca podniesienie uprawnień w serwerze system_server może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6674 | A-30445380* | Wysoki | Wszystkie Nexusy | 26 lipca 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka uprawnień w sterowniku Qualcomm Wi-Fi
Luka umożliwiająca podniesienie uprawnień w sterowniku Qualcomm Wi-Fi może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3905 | A-28061823 QC-CR#1001449 | Wysoki | Nexus 5X | Google wewnętrzne |
| CVE-2016-6675 | A-30873776 QC-CR#1000861 | Wysoki | Nexus 5X, Android One | 15 sierpnia 2016 |
| CVE-2016-6676 | A-30874066 QC-CR#1000853 | Wysoki | Nexus 5X, Android One | 15 sierpnia 2016 |
| CVE-2016-5342 | A-30878283 QC-CR#1032174 | Wysoki | Android Jeden | 15 sierpnia 2016 |
Podwyższona luka uprawnień w podsystemie wydajności jądra
Luka umożliwiająca podniesienie uprawnień w podsystemie wydajności jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-8955 | A-29508816 Jądro nadrzędne | Wysoki | Nexus 5X, Nexus 6P, Pixel C, Android One | Google wewnętrzne |
Luka umożliwiająca ujawnienie informacji w podsystemie ION jądra
Luka umożliwiająca ujawnienie informacji w podsystemie ION jądra może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako wysoki, ponieważ może być używany do uzyskiwania dostępu do poufnych danych bez wyraźnej zgody użytkownika.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-8950 | A-29795245 QC-CR#1041735 | Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 12 maja 2016 |
Luka umożliwiająca ujawnienie informacji w sterowniku GPU NVIDIA
Luka umożliwiająca ujawnienie informacji w sterowniku GPU NVIDIA może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6677 | A-30259955* N-CVE-2016-6677 | Wysoki | Nexus 9 | 19 lipca 2016 r. |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Podwyższona luka uprawnień w sterowniku znaków Qualcomm
Luka umożliwiająca podniesienie uprawnień w sterowniku znaków Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga złamania uprzywilejowanego procesu, a zagrożony kod jest obecnie niedostępny.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-0572 | A-29156684 QC-CR#848489 | Umiarkowany | Nexus 5X, Nexus 6P | 28 maja 2016 |
Luka umożliwiająca ujawnienie informacji w sterowniku dźwięku Qualcomm
Luka umożliwiająca ujawnienie informacji w sterowniku dźwięku Qualcomm może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3860 | A-29323142 QC-CR#1038127 | Umiarkowany | Nexus 5X, Nexus 6P, Android One | 13 czerwca 2016 |
Luka umożliwiająca ujawnienie informacji w sterowniku Motorola USBNet
Luka umożliwiająca ujawnienie informacji w sterowniku Motorola USBNet może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6678 | A-29914434* | Umiarkowany | Nexus 6 | 30 cze 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Luka umożliwiająca ujawnienie informacji w komponentach Qualcomm
Luka umożliwiająca ujawnienie informacji w komponentach Qualcomm, w tym sterowniku dźwięku, sterowniku IPA i sterowniku Wi-Fi, może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6679 | A-29915601 QC-CR#1000913 [ 2 ] | Umiarkowany | Nexus 5X, Android One | 30 cze 2016 |
| CVE-2016-3902 | A-29953313* QC-CR#1044072 | Umiarkowany | Nexusa 5X, Nexusa 6P, | 2 lipca 2016 |
| CVE-2016-6680 | A-29982678* QC-CR#1048052 | Umiarkowany | Nexus 5X, Android One | 3 lipca 2016 |
| CVE-2016-6681 | A-30152182 QC-CR#1049521 | Umiarkowany | Nexus 5X, Nexus 6P, Android One | 14 lipca 2016 r. |
| CVE-2016-6682 | A-30152501 QC-CR#1049615 | Umiarkowany | Nexus 5X, Nexus 6P, Android One | 14 lipca 2016 r. |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Luka umożliwiająca ujawnienie informacji w komponentach jądra
Luka umożliwiająca ujawnienie informacji w składnikach jądra, w tym w sterowniku Binder, Sync, Bluetooth i Sound, może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6683 | A-30143283* | Umiarkowany | Wszystkie Nexusy | 13 lipca 2016 r. |
| CVE-2016-6684 | A-30148243* | Umiarkowany | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Android One | 13 lipca 2016 r. |
| CVE-2015-8956 | A-30149612* | Umiarkowany | Nexus 5, Nexus 6P, Android One | 14 lipca 2016 r. |
| CVE-2016-6685 | A-30402628* | Umiarkowany | Nexus 6P | 25 lipca 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Luka umożliwiająca ujawnienie informacji w profilerze NVIDIA
Luka umożliwiająca ujawnienie informacji w profilerze NVIDIA może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6686 | A-30163101* N-CVE-2016-6686 | Umiarkowany | Nexus 9 | 15 lipca 2016 r. |
| CVE-2016-6687 | A-3016222* N-CVE-2016-6687 | Umiarkowany | Nexus 9 | 15 lipca 2016 r. |
| CVE-2016-6688 | A-30593080* N-CVE-2016-6688 | Umiarkowany | Nexus 9 | 2 sierpnia 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Luka umożliwiająca ujawnienie informacji w jądrze
Luka umożliwiająca ujawnienie informacji w programie Binder może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6689 | A-30768347* | Umiarkowany | Wszystkie Nexusy | 9 sierpnia 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Luka typu „odmowa usługi” w podsystemie sieciowym jądra
Luka typu „odmowa usługi” w podsystemie sieciowym jądra może umożliwić osobie atakującej zablokowanie dostępu do połączeń TCP i spowodować tymczasową zdalną odmowę usługi. Ten problem jest oceniany jako średni, ponieważ usługi komórkowe są nadal dostępne, a urządzenie nadal nadaje się do użytku.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-5696 | A-30809774 Jądro nadrzędne | Umiarkowany | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 12 lipca 2016 r. |
Luka typu „odmowa usługi” w sterowniku dźwięku jądra
Luka w zabezpieczeniach typu „odmowa usługi” w jądrze może umożliwić lokalnej złośliwej aplikacji spowodowanie ponownego uruchomienia urządzenia. Ten problem został oceniony jako Niski, ponieważ jest to tymczasowa odmowa usługi.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6690 | A-28838221* | Niski | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus Player | 18 maja 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Luki w komponentach Qualcomm
Poniższa tabela zawiera listę luk w zabezpieczeniach, które mają wpływ na komponenty Qualcomm.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6691 | QC-CR#978452 | Wysoki | Nic | Lipiec 2016 |
| CVE-2016-6692 | QC-CR#1004933 | Wysoki | Nic | Sierpień 2016 |
| CVE-2016-6693 | QC-CR#1027585 | Wysoki | Nic | Sierpień 2016 |
| CVE-2016-6694 | QC-CR#1033525 | Wysoki | Nic | Sierpień 2016 |
| CVE-2016-6695 | QC-CR#1033540 | Wysoki | Nic | Sierpień 2016 |
| CVE-2016-6696 | QC-CR#1041130 | Wysoki | Nic | Sierpień 2016 |
| CVE-2016-5344 | QC-CR#993650 | Umiarkowany | Nic | Sierpień 2016 |
| CVE-2016-5343 | QC-CR#1010081 | Umiarkowany | Nic | Sierpień 2016 |
Często zadawane pytania i odpowiedzi
W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?
Poziomy poprawek zabezpieczeń z dnia 2016-10-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem ciągu poprawki zabezpieczeń 2016-10-01. Poziomy poprawek zabezpieczeń z 05.10.2016 lub nowsze rozwiązują wszystkie problemy związane z poziomem ciągu poprawek zabezpieczeń 05.10.2016. Zapoznaj się z centrum pomocy, aby uzyskać instrukcje dotyczące sprawdzania poziomu poprawki zabezpieczeń. Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[01.10.2016] lub [ro.build.version.security_patch]:[05.10.2016].
2. Dlaczego ten biuletyn zawiera dwa łańcuchy poziomów poprawek zabezpieczeń?
Ten biuletyn zawiera dwa łańcuchy poziomów poprawek zabezpieczeń, dzięki czemu partnerzy systemu Android mogą szybciej naprawiać podzbiór luk, które są podobne na wszystkich urządzeniach z systemem Android. Zachęcamy partnerów Androida do rozwiązywania wszystkich problemów w tym biuletynie i korzystania z najnowszego ciągu poziomów poprawek zabezpieczeń.
Urządzenia korzystające z poziomu poprawek zabezpieczeń z 5 października 2016 r. lub nowszego muszą zawierać wszystkie odpowiednie poprawki w tym (i poprzednich) biuletynach zabezpieczeń.
Urządzenia korzystające z poziomu poprawek zabezpieczeń z 1 października 2016 r. muszą zawierać wszystkie problemy związane z tym poziomem poprawek zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach zabezpieczeń.
3. Jak określić, których urządzeń Nexus dotyczy każdy problem?
W sekcjach szczegółów luki w zabezpieczeniach 01.10.2016 i 05.10.2016 każda tabela zawiera kolumnę Zaktualizowane urządzenia Nexus, która obejmuje zakres urządzeń Nexus, których dotyczy problem, zaktualizowanych dla każdego problemu. Ta kolumna ma kilka opcji:
- Wszystkie urządzenia Nexus : jeśli problem dotyczy wszystkich urządzeń Nexus, w tabeli w kolumnie Zaktualizowane urządzenia Nexus pojawi się „Wszystkie Nexusy”. „Wszystkie Nexusy” obejmują następujące obsługiwane urządzenia : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player i Pixel C.
- Niektóre urządzenia Nexus : jeśli problem nie dotyczy wszystkich urządzeń Nexus, urządzenia Nexus, których dotyczy problem, są wymienione w kolumnie Zaktualizowane urządzenia Nexus .
- Brak urządzeń Nexus : jeśli problem nie dotyczy żadnych urządzeń Nexus z Androidem 7.0, w tabeli w kolumnie Zaktualizowane urządzenia Nexus będzie widoczny komunikat „Brak”.
4. Do czego odwzorowują się wpisy w kolumnie Referencje?
Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odniesienia. These prefixes map as follows:
| Prefiks | Odniesienie |
|---|---|
| A- | Identyfikator błędu Androida |
| Kontrola jakości- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
Rewizje
- October 03, 2016: Bulletin published.
- October 04, 2016: Bulletin revised to include AOSP links and update attributions for CVE-2016-3920, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695, and CVE-2016-6696.