Biuletyn dotyczący bezpieczeństwa Androida — październik 2016 r

Opublikowano 03 października 2016 | Zaktualizowano 4 października 2016 r

Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Wraz z biuletynem opublikowaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA). Obrazy oprogramowania sprzętowego Nexusa zostały także udostępnione w witrynie Google Developer . Poziomy poprawek zabezpieczeń z 5 października 2016 r. lub nowszych rozwiązują te problemy. Zapoznaj się z dokumentacją , aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń. Obsługiwane urządzenia Nexus otrzymają pojedynczą aktualizację OTA z poziomem poprawki zabezpieczeń z 5 października 2016 r.

Partnerzy zostali powiadomieni o problemach opisanych w biuletynie w dniu 06 września 2016 roku lub wcześniej. W stosownych przypadkach w repozytorium Android Open Source Project (AOSP) udostępniono poprawki kodu źródłowego rozwiązujące te problemy. Biuletyn ten zawiera także łącza do poprawek spoza AOSP.

Najpoważniejsze z tych problemów to krytyczne luki w zabezpieczeniach kodu specyficznego dla urządzenia, które mogą umożliwić zdalne wykonanie kodu w kontekście jądra, co prowadzi do możliwości trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownego flashowania systemu operacyjnego w celu naprawy urządzenia . Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług są wyłączone na potrzeby programowania lub jeśli pomyślnie je ominiesz.

Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu klientów lub nadużyciach w związku z nowo zgłoszonymi problemami. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i zabezpieczeń usług, takich jak SafetyNet , które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Ograniczenia dotyczące usług Android i Google.

Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Ogłoszenia

  • Ten biuletyn zawiera dwa ciągi poziomów poprawek zabezpieczeń, które zapewniają partnerom systemu Android elastyczność umożliwiającą szybsze naprawianie podzbioru luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Aby uzyskać dodatkowe informacje, zobacz Często zadawane pytania i odpowiedzi :
    • 2016-10-01 : Ciąg znaków dotyczący poziomu częściowej poprawki zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datą 2016-10-01 (i wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń).
    • 2016-10-05 : Kompletny ciąg poziomów poprawek zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datami 2016-10-01 i 2016-10-05 (oraz wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń).
  • Obsługiwane urządzenia Nexus otrzymają pojedynczą aktualizację OTA z poziomem poprawki zabezpieczeń z 5 października 2016 r.

Ograniczenia dotyczące usług Android i Google

To jest podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.

  • Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
  • Zespół ds. bezpieczeństwa systemu Android aktywnie monitoruje nadużycia za pomocą aplikacji Verify Apps i SafetyNet , których zadaniem jest ostrzeganie użytkowników o potencjalnie szkodliwych aplikacjach . Opcja Weryfikuj aplikacje jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale funkcja Verify Apps ostrzega użytkowników, gdy próbują zainstalować wykrytą aplikację do rootowania – niezależnie od tego, skąd ona pochodzi. Ponadto funkcja Verify Apps próbuje identyfikować i blokować instalację znanych złośliwych aplikacji wykorzystujących lukę umożliwiającą eskalację uprawnień. Jeżeli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wykrytej aplikacji.
  • W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

  • Andre Teixeira Rizzo: CVE-2016-3882
  • Andrea Biondo: CVE-2016-3921
  • Daniel Micay z Copperhead Security: CVE-2016-3922
  • Dmitry Vyukov z Google: CVE-2016-7117
  • dosomder: CVE-2016-3931
  • Ecular Xu (徐健) firmy Trend Micro: CVE-2016-3920
  • Gengjia Chen ( @chengjia4574 ) i plik PDF z IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-6690, CVE-2016-3901, CVE-2016-6672, CVE-2016-3940, CVE-2016-3935
  • Hang Zhang , Dongdong She i Zhiyun Qian z Uniwersytetu Kalifornijskiego w Riverside: CVE-2015-8950
  • Hao Chen z Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-3860
  • Jann Horn z Google Project Zero: CVE-2016-3900, CVE-2016-3885
  • Jason Rogena : CVE-2016-3917
  • Jianqiang Zhao ( @jianqiangzhao ) i plik pjf z IceSword Lab, Qihoo 360: CVE-2016-6688, CVE-2016-6677, CVE-2016-6673, CVE-2016-6687, CVE-2016-6686, CVE-2016-6681 , CVE-2016-6682, CVE-2016-3930
  • Joshua Drake @jduck ): CVE-2016-3920
  • Maciej Szawłowski z zespołu ds. bezpieczeństwa Google: CVE-2016-3905
  • Oznacz markę Google Project Zero: CVE-2016-6689
  • Michał Bednarski : CVE-2016-3914, CVE-2016-6674, CVE-2016-3911, CVE-2016-3912
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-3933, CVE-2016-3932
  • Badania nad cyberbezpieczeństwem Nightwatch ( @nightwatchcyber ): CVE-2016-5348
  • Roee Hay, badacz IBM Security X-Force: CVE-2016-6678
  • Samuel Tan z Google: CVE-2016-3925
  • Scott Bauer ( @ScottyBauer1 ): CVE-2016-3936, CVE-2016-3928, CVE-2016-3902, CVE-2016-3937, CVE-2016-6696
  • Seven Shen ( @lingtongshen ) z zespołu badawczego Trend Micro Mobile Threat Research Team: CVE-2016-6685, CVE-2016-6683, CVE-2016-6680, CVE-2016-6679, CVE-2016-3903, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695
  • Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-3909
  • Wenlin Yang i Guang Gong (龚广) ( @oldfresher ) z Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-3918
  • Wish Wu (吴潍浠) ( @wish_wu) z Trend Micro Inc .: CVE-2016-3924, CVE-2016-3915, CVE-2016-3916, CVE-2016-3910
  • Yong Shi z zespołu Eagleye, SCC, Huawei: CVE-2016-3938
  • Zhanpeng Zhao (行之) ( @0xr0ot ) z Laboratorium Badań nad Bezpieczeństwem, Cheetah Mobile : CVE-2016-3908

Poziom poprawki zabezpieczeń z dnia 2016-10-01 — szczegóły dotyczące luki w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki z dnia 2016-10-01. Znajduje się tam opis problemu, uzasadnienie wagi oraz tabela zawierająca CVE, powiązane odniesienia, wagę, zaktualizowane urządzenia Nexus, zaktualizowane wersje AOSP (w stosownych przypadkach) i datę zgłoszenia. Jeśli będzie to możliwe, połączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.

Zwiększenie luki w zabezpieczeniach ServiceManager

Podniesienie uprawnień w menedżerze usług ServiceManager może umożliwić lokalnej złośliwej aplikacji zarejestrowanie dowolnych usług, które normalnie byłyby świadczone przez proces uprzywilejowany, taki jak serwer_systemowy. Ten problem został sklasyfikowany jako bardzo poważny ze względu na możliwość podszywania się pod usługę.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3900 A-29431260 [ 2 ] Wysoki Cały Nexus 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 15 czerwca 2016 r

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w usłudze ustawień blokady

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w usłudze ustawień blokady może umożliwić lokalnej złośliwej aplikacji wyczyszczenie kodu PIN lub hasła urządzenia. Ten problem ma ocenę Wysoki, ponieważ stanowi lokalne obejście wymagań dotyczących interakcji użytkownika w przypadku jakichkolwiek modyfikacji ustawień zabezpieczeń przez programistów lub zabezpieczeń.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3908 A-30003944 Wysoki Cały Nexus 6.0, 6.0.1, 7.0 6 lipca 2016 r

Zwiększenie luki w zabezpieczeniach serwera multimediów

Luka w zabezpieczeniach programu Mediaserver umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3909 A-30033990 [ 2 ] Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 8 lipca 2016 r
CVE-2016-3910 A-30148546 Wysoki Cały Nexus 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 13 lipca 2016 r
CVE-2016-3913 A-30204103 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 18 lipca 2016 r

Podniesienie poziomu podatności na uprawnienia w procesie Zygote

Podniesienie uprawnień w procesie Zygote może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3911 A-30143607 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 12 lipca 2016 r

Zwiększenie luki w zabezpieczeniach w interfejsach API platformy

Luka w zabezpieczeniach interfejsów API platformy umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3912 A-30202481 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 17 lipca 2016 r

Zwiększenie luki w zabezpieczeniach w zakresie uprawnień w telefonii

Luka umożliwiająca podniesienie uprawnień w komponencie Telefonia może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3914 A-30481342 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 28 lipca 2016 r

Zwiększenie luki w zabezpieczeniach usługi Camera

Luka w zabezpieczeniach usługi Camera umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3915 A-30591838 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 1 sierpnia 2016 r
CVE-2016-3916 A-30741779 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 2 sierpnia 2016 r

Zwiększenie luki w uprawnieniach podczas logowania odciskiem palca

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień podczas logowania za pomocą odcisku palca może umożliwić właścicielowi złośliwego urządzenia zalogowanie się na urządzeniu jako inne konto użytkownika. Ten problem ma ocenę Wysoki ze względu na możliwość obejścia ekranu blokady.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3917 A-30744668 Wysoki Cały Nexus 6.0.1, 7.0 5 sierpnia 2016 r

Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w poczcie AOSP

Luka w zabezpieczeniach poczty AOSP umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji ominięcie zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do danych bez pozwolenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3918 A-30745403 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 5 sierpnia 2016 r

Luka w zabezpieczeniach typu „odmowa usługi” w sieci Wi-Fi

Luka w zabezpieczeniach Wi-Fi umożliwiająca odmowę usługi może umożliwić lokalnemu atakującemu utworzenie hotspotu i spowodować ponowne uruchomienie urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość tymczasowej zdalnej odmowy usługi.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3882 A-29464811 Wysoki Cały Nexus 6.0, 6.0.1, 7.0 17 czerwca 2016 r

Luka w zabezpieczeniach typu „odmowa usługi” w systemie GPS

Luka w komponencie GPS umożliwiająca odmowę usługi może umożliwić zdalnemu atakującemu spowodowanie zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość tymczasowej zdalnej odmowy usługi.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-5348 A-29555864 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 20 czerwca 2016 r

Luka w zabezpieczeniach typu „odmowa usługi” w serwerze multimediów

Luka w zabezpieczeniach programu Mediaserver umożliwiająca odmowę usługi może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku w celu spowodowania zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnej odmowy usługi.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3920 A-30744884 Wysoki Cały Nexus 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 5 sierpnia 2016 r

Zwiększenie luki w zabezpieczeniach związanej z podniesieniem uprawnień w programie Framework Listener

Luka umożliwiająca podniesienie uprawnień w programie Framework Listener może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3921 A-29831647 Umiarkowany Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 25 czerwca 2016 r

Zwiększenie luki w zabezpieczeniach w zakresie uprawnień w telefonii

Luka w zabezpieczeniach telefonii umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3922 A-30202619 Umiarkowany Cały Nexus 6.0, 6.0.1, 7.0 17 lipca 2016 r

Zwiększenie luki w zabezpieczeniach usług dostępności

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w usługach dostępności może umożliwić lokalnej złośliwej aplikacji generowanie nieoczekiwanych zdarzeń dotykowych na urządzeniu, które mogą spowodować, że aplikacje zaakceptują okna dialogowe uprawnień bez wyraźnej zgody użytkownika. Ten problem został oceniony jako umiarkowany, ponieważ stanowi lokalne obejście wymagań dotyczących interakcji użytkownika, które normalnie wymagałyby albo inicjacji użytkownika, albo jego zgody.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3923 A-30647115 Umiarkowany Cały Nexus 7,0 Wewnętrzne Google

Luka umożliwiająca ujawnienie informacji w Mediaserverze

Luka w zabezpieczeniach Mediaservera umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez pozwolenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3924 A-30204301 Umiarkowany Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 18 lipca 2016 r

Luka w zabezpieczeniach typu „odmowa usługi” w sieci Wi-Fi

Luka w zabezpieczeniach usługi Wi-Fi umożliwiająca odmowę usługi może umożliwić lokalnej złośliwej aplikacji uniemożliwienie połączeń Wi-Fi. Ten problem został oceniony jako umiarkowany ze względu na możliwość odmowy usługi funkcjonalności aplikacji.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3925 A-30230534 Umiarkowany Cały Nexus 6.0, 6.0.1, 7.0 Wewnętrzne Google

Poziom poprawki zabezpieczeń z dnia 2016-10-05 — szczegóły dotyczące luki w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki z dnia 2016-10-05. Znajduje się tam opis problemu, uzasadnienie wagi oraz tabela zawierająca CVE, powiązane odniesienia, wagę, zaktualizowane urządzenia Nexus, zaktualizowane wersje AOSP (w stosownych przypadkach) i datę zgłoszenia. Jeśli będzie to możliwe, połączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w dekoderze jądra ASN.1

Luka w zabezpieczeniach dekodera ASN.1 jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-0758 A-29814470
Jądro nadrzędne
Krytyczny Nexusa 5X, Nexusa 6P 12 maja 2016 r

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w podsystemie sieciowym jądra

Luka w podsystemie sieciowym jądra umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej zdalne wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-7117 A-30515201
Jądro nadrzędne
Krytyczny Cały Nexus Wewnętrzne Google

Zwiększenie luki w zabezpieczeniach sterownika wideo MediaTek

Luka w sterowniku wideo MediaTek umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3928 A-30019362*
M-ALPS02829384
Krytyczny Nic 6 lipca 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika pamięci współdzielonej jądra

Luka w sterowniku pamięci współdzielonej jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-5340 A-30652312
QC-CR#1008948
Krytyczny Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 26 lipca 2016 r

Luki w komponentach Qualcomm

Poniższa tabela zawiera luki w zabezpieczeniach komponentów Qualcomm i zostały opisane bardziej szczegółowo w biuletynach bezpieczeństwa Qualcomm AMSS z marca 2016 r. i Qualcomm AMSS z kwietnia 2016 r.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3926 A-28823953* Krytyczny Nexusa 5, Nexusa 5X, Nexusa 6, Nexusa 6P Wewnętrzne Qualcomma
CVE-2016-3927 A-28823244* Krytyczny Nexusa 5X, Nexusa 6P Wewnętrzne Qualcomma
CVE-2016-3929 A-28823675* Wysoki Nexusa 5X, Nexusa 6P Wewnętrzne Qualcomma

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach w komponencie sieciowym Qualcomm

Luka umożliwiająca podniesienie uprawnień w komponencie sieciowym Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-2059 A-27045580
QC-CR#974577
Wysoki Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 4 lutego 2016 r

Zwiększenie luki w zabezpieczeniach sterownika testowego NVIDIA MMC

Luka umożliwiająca podniesienie uprawnień w sterowniku testowym NVIDIA MMC może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3930 A-28760138*
N-CVE-2016-3930
Wysoki Nexusa 9 12 maja 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika Qualcomm QSEE Communicator

Luka w zabezpieczeniach sterownika Qualcomm QSEE Communicator umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3931 A-29157595
QC-CR#1036418
Wysoki Nexus 5X, Nexus 6, Nexus 6P, Android One 4 czerwca 2016 r

Zwiększenie luki w zabezpieczeniach serwera multimediów

Luka w zabezpieczeniach programu Mediaserver umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3932 A-29161895
M-ALPS02770870
Wysoki Nic 6 czerwca 2016 r
CVE-2016-3933 A-29421408*
N-CVE-2016-3933
Wysoki Nexusa 9 i Pixela C 14 czerwca 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika kamery Qualcomm

Luka w zabezpieczeniach sterownika aparatu Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3903 A-29513227
QC-CR#1040857
Wysoki Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 20 czerwca 2016 r
CVE-2016-3934 A-30102557
QC-CR#789704
Wysoki Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 12 lipca 2016 r

Zwiększenie luki w zabezpieczeniach sterownika dźwięku Qualcomm

Luka w sterowniku dźwięku Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2015-8951 A-30142668
QC-CR#948902
QC-CR#948902
Wysoki Nexus 5X, Nexus 6P i Android One 20 czerwca 2016 r

Zwiększenie luki w zabezpieczeniach sterownika silnika kryptograficznego Qualcomm

Luka w zabezpieczeniach sterownika silnika kryptograficznego Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3901 A-29999161
QC-CR#1046434
Wysoki Nexus 5X, Nexus 6, Nexus 6P, Android One 6 lipca 2016 r
CVE-2016-3935 A-29999665
QC-CR#1046507
Wysoki Nexus 5X, Nexus 6, Nexus 6P, Android One 6 lipca 2016 r

Zwiększenie luki w zabezpieczeniach sterownika wideo MediaTek

Luka w sterowniku wideo MediaTek umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3936 A-30019037*
M-ALPS02829568
Wysoki Nic 6 lipca 2016 r
CVE-2016-3937 A-30030994*
M-ALPS02834874
Wysoki Nic 7 lipca 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika wideo Qualcomm

Luka w sterowniku wideo Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3938 A-30019716
QC-CR#1049232
Wysoki Nexus 5X, Nexus 6, Nexus 6P, Android One 7 lipca 2016 r
CVE-2016-3939 A-30874196
QC-CR#1001224
Wysoki Nexus 5X, Nexus 6, Nexus 6P, Android One 15 sierpnia 2016 r

Zwiększenie luki w zabezpieczeniach sterownika ekranu dotykowego Synaptics

Luka w zabezpieczeniach sterownika ekranu dotykowego Synaptics umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3940 A-30141991* Wysoki Nexusa 6P i Androida One 12 lipca 2016 r
CVE-2016-6672 A-30537088* Wysoki Nexusa 5X 31 lipca 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika kamery NVIDIA

Luka w zabezpieczeniach sterownika kamery NVIDIA umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-6673 A-30204201*
N-CVE-2016-6673
Wysoki Nexusa 9 17 lipca 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w serwerze systemowym

Luka umożliwiająca podniesienie uprawnień w serwerze_systemowym może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-6674 A-30445380* Wysoki Cały Nexus 26 lipca 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika Qualcomm Wi-Fi

Luka w zabezpieczeniach sterownika Qualcomm Wi-Fi umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3905 A-28061823
QC-CR#1001449
Wysoki Nexusa 5X Wewnętrzne Google
CVE-2016-6675 A-30873776
QC-CR#1000861
Wysoki Nexusa 5X i Androida One 15 sierpnia 2016 r
CVE-2016-6676 A-30874066
QC-CR#1000853
Wysoki Nexusa 5X i Androida One 15 sierpnia 2016 r
CVE-2016-5342 A-30878283
QC-CR#1032174
Wysoki Android Jeden 15 sierpnia 2016 r

Zwiększenie luki w zabezpieczeniach podsystemu wydajności jądra

Luka w zabezpieczeniach podsystemu wydajności jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2015-8955 A-29508816
Jądro nadrzędne
Wysoki Nexus 5X, Nexus 6P, Pixel C, Android One Wewnętrzne Google

Luka umożliwiająca ujawnienie informacji w podsystemie jądra ION

Luka w podsystemie jądra ION umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez wyraźnej zgody użytkownika.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2015-8950 A-29795245
QC-CR#1041735
Wysoki Nexusa 5, Nexusa 5X, Nexusa 6, Nexusa 6P 12 maja 2016 r

Luka umożliwiająca ujawnienie informacji w sterowniku procesora graficznego NVIDIA

Luka w sterowniku procesora graficznego NVIDIA umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-6677 A-30259955*
N-CVE-2016-6677
Wysoki Nexusa 9 19 lipca 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika znakowego Qualcomm

Luka w zabezpieczeniach sterownika znakowego Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu, a kod zawierający lukę jest obecnie niedostępny.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2015-0572 A-29156684
QC-CR#848489
Umiarkowany Nexusa 5X, Nexusa 6P 28 maja 2016 r

Luka umożliwiająca ujawnienie informacji w sterowniku dźwięku Qualcomm

Luka w sterowniku dźwięku Qualcomm umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3860 A-29323142
QC-CR#1038127
Umiarkowany Nexus 5X, Nexus 6P i Android One 13 czerwca 2016 r

Luka umożliwiająca ujawnienie informacji w sterowniku Motorola USBNet

Luka w sterowniku Motorola USBNet umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-6678 A-29914434* Umiarkowany Nexusa 6 30 czerwca 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka umożliwiająca ujawnienie informacji w komponentach Qualcomm

Luka umożliwiająca ujawnienie informacji w komponentach Qualcomm, w tym w sterowniku dźwięku, sterowniku IPA i sterowniku Wi-Fi, może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-6679 A-29915601
QC-CR#1000913 [ 2 ]
Umiarkowany Nexusa 5X i Androida One 30 czerwca 2016 r
CVE-2016-3902 A-29953313*
QC-CR#1044072
Umiarkowany Nexusa 5X, Nexusa 6P, 2 lipca 2016 r
CVE-2016-6680 A-29982678*
QC-CR#1048052
Umiarkowany Nexusa 5X i Androida One 3 lipca 2016 r
CVE-2016-6681 A-30152182
QC-CR#1049521
Umiarkowany Nexus 5X, Nexus 6P i Android One 14 lipca 2016 r
CVE-2016-6682 A-30152501
QC-CR#1049615
Umiarkowany Nexus 5X, Nexus 6P i Android One 14 lipca 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka umożliwiająca ujawnienie informacji w komponentach jądra

Luka w składnikach jądra, w tym Binder, Sync, Bluetooth i sterownik dźwięku, umożliwiająca ujawnienie informacji, może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-6683 A-30143283* Umiarkowany Cały Nexus 13 lipca 2016 r
CVE-2016-6684 A-30148243* Umiarkowany Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Android One 13 lipca 2016 r
CVE-2015-8956 A-30149612* Umiarkowany Nexusa 5, Nexusa 6P i Androida One 14 lipca 2016 r
CVE-2016-6685 A-30402628* Umiarkowany Nexusa 6P 25 lipca 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka umożliwiająca ujawnienie informacji w profilerze NVIDIA

Luka w profilerze NVIDIA umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-6686 A-30163101*
N-CVE-2016-6686
Umiarkowany Nexusa 9 15 lipca 2016 r
CVE-2016-6687 A-30162222*
N-CVE-2016-6687
Umiarkowany Nexusa 9 15 lipca 2016 r
CVE-2016-6688 A-30593080*
N-CVE-2016-6688
Umiarkowany Nexusa 9 2 sierpnia 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w jądrze umożliwiająca ujawnienie informacji

Luka w zabezpieczeniach programu Binder umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-6689 A-30768347* Umiarkowany Cały Nexus 9 sierpnia 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach typu „odmowa usługi” w podsystemie sieciowym jądra

Luka w zabezpieczeniach podsystemu sieciowego jądra umożliwiająca odmowę usługi może umożliwić osobie atakującej zablokowanie dostępu do połączeń TCP i spowodować tymczasową zdalną odmowę usługi. Ten problem został oceniony jako umiarkowany, ponieważ usługi komórkowe są nadal dostępne, a urządzenia nadal można używać.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-5696 A-30809774
Jądro nadrzędne
Umiarkowany Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One 12 lipca 2016 r

Luka w zabezpieczeniach typu „odmowa usługi” w sterowniku dźwięku jądra

Luka w jądrze umożliwiająca odmowę usługi może pozwolić lokalnej złośliwej aplikacji na spowodowanie ponownego uruchomienia urządzenia. Ten problem ma ocenę Niski, ponieważ jest to tymczasowa odmowa usługi.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-6690 A-28838221* Niski Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus Player 18 maja 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luki w komponentach Qualcomm

Poniższa tabela zawiera listę luk w zabezpieczeniach wpływających na komponenty Qualcomm.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-6691 QC-CR#978452 Wysoki Nic lipiec 2016
CVE-2016-6692 QC-CR#1004933 Wysoki Nic sierpień 2016
CVE-2016-6693 QC-CR#1027585 Wysoki Nic sierpień 2016
CVE-2016-6694 QC-CR#1033525 Wysoki Nic sierpień 2016
CVE-2016-6695 QC-CR#1033540 Wysoki Nic sierpień 2016
CVE-2016-6696 QC-CR#1041130 Wysoki Nic sierpień 2016
CVE-2016-5344 QC-CR#993650 Umiarkowany Nic sierpień 2016
CVE-2016-5343 QC-CR#1010081 Umiarkowany Nic sierpień 2016

Często zadawane pytania i odpowiedzi

W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Poziomy poprawek zabezpieczeń z dnia 2016-10-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem ciągu poprawek zabezpieczeń z dnia 2016-10-01. Poziomy poprawek zabezpieczeń z dnia 2016-10-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem ciągu poprawek zabezpieczeń z dnia 2016-10-05. Instrukcje dotyczące sprawdzania poziomu poprawki zabezpieczeń znajdują się w Centrum pomocy . Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[2016-10-01] lub [ro.build.version.security_patch]:[2016-10-05].

2. Dlaczego ten biuletyn zawiera dwa ciągi dotyczące poziomów poprawek zabezpieczeń?

W tym biuletynie znajdują się dwa poziomy poprawek zabezpieczeń, dzięki czemu partnerzy systemu Android mogą szybciej naprawić podzbiór luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Zachęcamy partnerów korzystających z systemu Android do naprawienia wszystkich problemów opisanych w tym biuletynie i korzystania z najnowszych poziomów poprawek zabezpieczeń.

Urządzenia korzystające z poprawki zabezpieczeń z dnia 5 października 2016 r. lub nowszej muszą zawierać wszystkie odpowiednie poprawki opisane w tym (i poprzednich) biuletynach zabezpieczeń.

Urządzenia korzystające z poziomu poprawki zabezpieczeń z 1 października 2016 r. muszą zawierać wszystkie problemy związane z tym poziomem poprawki zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach zabezpieczeń.

3. Jak ustalić, których urządzeń Nexus dotyczy dany problem?

W sekcjach ze szczegółami dotyczącymi luk w zabezpieczeniach z dnia 2016-10-01 i 2016-10-05 każda tabela zawiera kolumnę Zaktualizowane urządzenia Nexus , która obejmuje zakres urządzeń Nexus, których dotyczy problem, zaktualizowanych pod kątem każdego problemu. Ta kolumna ma kilka opcji:

  • Wszystkie urządzenia Nexus : jeśli problem dotyczy wszystkich urządzeń Nexus, w kolumnie Zaktualizowane urządzenia Nexus w tabeli będzie widoczna informacja „Wszystkie Nexusy”. „Wszystkie Nexusy” obejmują następujące obsługiwane urządzenia : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player i Pixel C.
  • Niektóre urządzenia Nexus : jeśli problem nie dotyczy wszystkich urządzeń Nexus, dotknięte urządzenia Nexus zostaną wyświetlone w kolumnie Zaktualizowane urządzenia Nexus .
  • Brak urządzeń Nexus : jeśli problem nie dotyczy żadnego urządzenia Nexus z systemem Android 7.0, w kolumnie Zaktualizowane urządzenia Nexus w tabeli będzie widoczna informacja „Brak”.

4. Do czego odnoszą się wpisy w kolumnie referencje?

Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna. Te prefiksy są mapowane w następujący sposób:

Prefiks Odniesienie
A- Identyfikator błędu Androida
Kontrola jakości- Numer referencyjny Qualcomma
M- Numer referencyjny MediaTeka
N- Numer referencyjny NVIDIA
B- Numer referencyjny firmy Broadcom

Wersje

  • 03 października 2016: Biuletyn opublikowany.
  • 4 października 2016 r.: Zaktualizowano biuletyn w celu uwzględnienia łączy AOSP i aktualizacji przypisań dla CVE-2016-3920, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695 i CVE-2016-6696.