עלון אבטחה של Nexus—אפריל 2016

פורסם ב-04 באפריל, 2016 | עודכן ב-19 בדצמבר 2016

פרסמנו עדכון אבטחה למכשירי Nexus באמצעות עדכון אויר (OTA) כחלק מתהליך השחרור החודשי של עלון האבטחה של Android. תמונות הקושחה של Nexus שוחררו גם לאתר Google Developer . רמות תיקון האבטחה של 2 באפריל 2016 ואילך מטפלות בבעיות אלה (עיין בתיעוד של Nexus לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה).

שותפים קיבלו הודעה על הבעיות המתוארות בעלון ב-16 במרץ 2016 או קודם לכן. במידת האפשר, תיקוני קוד מקור עבור בעיות אלה שוחררו למאגר Android Open Source Project (AOSP).

החמורה ביותר מבין הבעיות הללו היא פגיעות אבטחה קריטית שעלולה לאפשר ביצוע קוד מרחוק במכשיר מושפע באמצעות מספר שיטות כגון דואר אלקטרוני, גלישה באינטרנט ו-MMS בעת עיבוד קובצי מדיה. הערכת החומרה מבוססת על ההשפעה שאולי תהיה לניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה וההפחתות השירות מושבתות למטרות פיתוח או אם יעקפו בהצלחה.

Android Security Advisory 2016-03-18 דנו בעבר בשימוש ב- CVE-2015-1805 על ידי יישום השתרשות. CVE-2015-1805 נפתר בעדכון זה. לא היו דיווחים על ניצול פעיל של לקוחות או ניצול לרעה של הבעיות האחרות שדווחו לאחרונה. עיין בסעיף ההקלות לפרטים נוספים על הגנות פלטפורמת האבטחה אנדרואיד והגנות שירות כגון SafetyNet, המשפרות את האבטחה של פלטפורמת אנדרואיד.

הקלות

זהו סיכום של ההקלות שמספקות פלטפורמת האבטחה אנדרואיד והגנות שירות כגון SafetyNet. יכולות אלו מפחיתות את הסבירות שניתן יהיה לנצל בהצלחה פרצות אבטחה באנדרואיד.

  • ניצול בעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
  • צוות האבטחה של אנדרואיד עוקב באופן פעיל אחר שימוש לרעה עם Verify Apps ו-SafetyNet, שיזהירו את המשתמש על יישומים שזוהו שעלולים להזיק שעומדים להתקין. כלי השתרשות מכשירים אסורים ב-Google Play. כדי להגן על משתמשים שמתקינים יישומים מחוץ ל-Google Play, Verify Apps מופעל כברירת מחדל והוא יזהיר משתמשים לגבי יישומי השתרשות ידועים. אימות אפליקציות מנסה לזהות ולחסום התקנה של יישומים זדוניים ידועים המנצלים פגיעות של הסלמה של הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע למשתמש וינסה להסיר אפליקציות כאלה.
  • בהתאם, יישומי Google Hangouts ו-Messenger אינם מעבירים מדיה אוטומטית לתהליכים כגון שרת מדיה.

תודות

צוות אבטחת אנדרואיד רוצה להודות לחוקרים אלה על תרומתם:

צוות אבטחת אנדרואיד מודה גם ליואן-טסונג לו , ונקה דו , צ'יאצ'יה וו ( @chiachih_wu ) ו-Xuxian Jiang מ- C0RE Team ו- Zimperium על תרומתם ל-CVE-2015-1805.

פרטי פגיעות אבטחה

הסעיפים להלן מכילים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2016-04-02. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הבאג המשויך, החומרה, הגרסאות המושפעות ותאריך הדיווח. כאשר יהיה זמין, נקשר את ההתחייבות של AOSP שטיפלה בבעיה למזהה הבאג. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות של AOSP מקושרות למספרים בעקבות מזהה הבאג.

פגיעות של ביצוע קוד מרחוק ב-DHCPCD

פגיעות בשירות Dynamic Host Configuration Protocol עלולה לאפשר לתוקף לגרום לפגיעה בזיכרון, מה שעלול להוביל לביצוע קוד מרחוק. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של לקוח DHCP. לשירות DHCP יש גישה להרשאות שאפליקציות צד שלישי לא יכלו לגשת אליהן בדרך כלל.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2014-6060 ANDROID-15268738 קריטי 4.4.4 30 ביולי 2014
CVE-2014-6060 ANDROID-16677003 קריטי 4.4.4 30 ביולי 2014
CVE-2016-1503 ANDROID-26461634 קריטי 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 4 בינואר 2016

פגיעות של ביצוע קוד מרחוק ב-Media Codec

במהלך קובץ מדיה ועיבוד נתונים של קובץ בעל מבנה מיוחד, פגיעויות בקודק מדיה המשמש את שרת המדיה עלולות לאפשר לתוקף לגרום לפגיעה בזיכרון ולביצוע קוד מרחוק כתהליך שרת המדיה.

הפונקציונליות המושפעת מסופקת כחלק מרכזי ממערכת ההפעלה, וישנן מספר יישומים המאפשרים להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת מדיה בדפדפן.

בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של שירות שרת המדיה. לשירות שרת המדיה יש גישה לזרמי אודיו ווידאו, כמו גם גישה להרשאות שאפליקציות צד שלישי לא יכלו לגשת אליהן בדרך כלל.

CVE חרק חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0834 ANDROID-26220548* קריטי 6.0, 6.0.1 16 בדצמבר 2015

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות של ביצוע קוד מרחוק ב-Mediaserver

במהלך קבצי מדיה ועיבוד נתונים של קובץ בעל מבנה מיוחד, פגיעויות בשרת המדיה עלולות לאפשר לתוקף לגרום לפגיעה בזיכרון ולביצוע קוד מרחוק כתהליך שרת המדיה.

הפונקציונליות המושפעת מסופקת כחלק מרכזי ממערכת ההפעלה, וישנן מספר יישומים המאפשרים להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת מדיה בדפדפן.

בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של שירות שרת המדיה. לשירות שרת המדיה יש גישה לזרמי אודיו ווידאו, כמו גם גישה להרשאות שאפליקציות צד שלישי לא יכלו לגשת אליהן בדרך כלל.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0835 ANDROID-26070014 [ 2 ] קריטי 6.0, 6.0.1 6 בדצמבר 2015
CVE-2016-0836 ANDROID-25812590 קריטי 6.0, 6.0.1 19 בנובמבר 2015
CVE-2016-0837 ANDROID-27208621 קריטי 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 בפברואר 2016
CVE-2016-0838 ANDROID-26366256 [ 2 ] קריטי 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google פנימי
CVE-2016-0839 ANDROID-25753245 קריטי 6.0, 6.0.1 Google פנימי
CVE-2016-0840 ANDROID-26399350 קריטי 6.0, 6.0.1 Google פנימי
CVE-2016-0841 ANDROID-26040840 קריטי 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google פנימי

פגיעות של ביצוע קוד מרחוק ב-libstagefright

במהלך קובץ מדיה ועיבוד נתונים של קובץ בעל מבנה מיוחד, נקודות תורפה ב-libstagefright עלולות לאפשר לתוקף לגרום לפגיעה בזיכרון ולביצוע קוד מרחוק כתהליך שרת המדיה.

הפונקציונליות המושפעת מסופקת כחלק מרכזי ממערכת ההפעלה, וישנן מספר יישומים המאפשרים להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת מדיה בדפדפן.

בעיה זו מדורגת כחומרה קריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של שירות שרת המדיה. לשירות שרת המדיה יש גישה לזרמי אודיו ווידאו, כמו גם גישה להרשאות שאפליקציות צד שלישי לא יכלו לגשת אליהן בדרך כלל.

CVE באג עם קישור AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0842 ANDROID-25818142 קריטי 6.0, 6.0.1 23 בנובמבר 2015

פגיעות העלאת הרשאות בליבה

הפגיעות של העלאת הרשאות בקרנל עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בתוך הליבה. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, וייתכן שיהיה צורך לתקן את המכשיר על ידי הבזק מחדש של מערכת ההפעלה. בעיה זו תוארה ב- Android Security Advisory 2016-03-18 .

CVE חרק חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2015-1805 ANDROID-27275324* קריטי 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19 בפברואר 2016

* התיקון ב-AOSP זמין עבור גרסאות ליבה ספציפיות: 3.14 , 3.10 ו -3.4 .

פגיעות העלאת הרשאות במודול הביצועים של קוואלקום

העלאת פגיעות הרשאות ברכיב מנהל אירועי ביצועים עבור מעבדי ARM מ-Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בתוך הליבה. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, וייתכן שיהיה צורך לתקן את המכשיר על ידי הבזק מחדש של מערכת ההפעלה.

CVE חרק חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0843 ANDROID-25801197* קריטי 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19 בנובמבר 2015

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות העלאת הרשאות ברכיב RF של קוואלקום

ישנה פגיעות במנהל ההתקן של Qualcomm RF שעלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, וייתכן שיהיה צורך לתקן את המכשיר על ידי הבזק מחדש של מערכת ההפעלה.

CVE באג עם קישור AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0844 ANDROID-26324307 * קריטי 6.0, 6.0.1 25 בדצמבר 2015

* תיקון נוסף לבעיה זו נמצא ב- Linux במעלה הזרם .

פגיעות העלאת הרשאות בליבה

הפגיעות של העלאת הרשאות בליבה הנפוצה עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בליבה. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר וייתכן שיהיה צורך לתקן את המכשיר על ידי הבזק מחדש של מערכת ההפעלה.

CVE באג עם קישורי AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2014-9322 ANDROID-26927260 [ 2 ] [ 3 ]
[ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ]
קריטי 6.0, 6.0.1 25 בדצמבר 2015

פגיעות העלאת הרשאות בממשק מקורי של IMemory

פגיעות העלאת הרשאות בממשק המקורי של IMemory עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של יישום מערכת מוגבה. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.

CVE באג עם קישור AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0846 ANDROID-26877992 גָבוֹהַ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 בינואר 2016

פגיעות העלאת הרשאות ברכיב טלקום

פגיעות העלאת הרשאות ברכיב הטלקום עלולה לאפשר לתוקף לבצע שיחות שנראות כאילו מגיעות מכל מספר שרירותי. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.

CVE באג עם קישורי AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0847 ANDROID-26864502 [ 2 ] גָבוֹהַ 5.0.2, 5.1.1, 6.0, 6.0.1 Google פנימי

פגיעות העלאת הרשאות במנהל ההורדות

פגיעות העלאת הרשאות במנהל ההורדות עלולה לאפשר לתוקף לקבל גישה לקבצים לא מורשים באחסון פרטי. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.

CVE באג עם קישור AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0848 ANDROID-26211054 גָבוֹהַ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 בדצמבר 2015

פגיעות העלאת הרשאות בהליך השחזור

פגיעות העלאת הרשאות בהליך השחזור עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של יישום מערכת מוגברת. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.

CVE באג עם קישור AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0849 ANDROID-26960931 גָבוֹהַ 5.0.2, 5.1.1, 6.0, 6.0.1 3 בפברואר 2016

פגיעות העלאת הרשאות ב-Bluetooth

פגיעות העלאת הרשאות ב-Bluetooth עלולה לאפשר למכשיר לא מהימן להתאים לטלפון במהלך תהליך ההתאמה הראשוני. הדבר עלול להוביל לגישה בלתי מורשית למשאבי המכשיר, כגון חיבור לאינטרנט. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות גבוהות שאינן נגישות למכשירים לא מהימנים.

CVE באג עם קישור AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-0850 ANDROID-26551752 גָבוֹהַ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 13 בינואר 2016

הפגיעות של העלאת הרשאות ב-Texas Instruments Haptic Driver

קיימת פגיעות של העלאת הרשאות במנהל התקן ליבה הפטית של Texas Instruments שעלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בדרך כלל באג ביצוע קוד ליבה כמו זה ידורג כקריטי, אך מכיוון שהוא מצריך תחילה פגיעה בשירות שיכול לקרוא למנהל ההתקן, הוא מדורג במקום זאת כחומרה גבוהה.

CVE חרק חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-2409 ANDROID-25981545* גָבוֹהַ 6.0, 6.0.1 25 בדצמבר 2015

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות העלאת הרשאות במנהל ההתקן של גרעין הווידאו של קוואלקום

קיימת פגיעות מוגברת של הרשאות במנהל ההתקן של ליבת וידאו של Qualcomm שעלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בדרך כלל פגיעות של ביצוע קוד ליבה תהיה מדורגת קריטית, אך מכיוון שהיא דורשת תחילה פגיעה בשירות שיכול להתקשר למנהל ההתקן, היא מדורגת במקום זאת כחומרה גבוהה.

CVE חרק חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-2410 ANDROID-26291677* גָבוֹהַ 6.0, 6.0.1 21 בדצמבר 2015

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות העלאת הרשאות ברכיב ניהול החשמל של קוואלקום

קיימת פגיעות העלאת הרשאות במנהל התקן ליבה של Qualcomm Power Management שעלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בדרך כלל באג ביצוע קוד ליבה כמו זה ידורג כקריטי, אך מכיוון שהוא מצריך פגיעה תחילה במכשיר והעלאה לשורש, הוא מדורג במקום זאת כחומרה גבוהה.

CVE חרק חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-2411 ANDROID-26866053* גָבוֹהַ 6.0, 6.0.1 28 בינואר 2016

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות העלאת הרשאות ב-System_server

פגיעות של העלאת הרשאות ב-System_server עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של יישום מערכת מוגבה. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.

CVE באג עם קישור AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-2412 ANDROID-26593930 גָבוֹהַ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 15 בינואר 2016

פגיעות העלאת הרשאות ב-Mediaserver

פגיעות העלאת הרשאות בשרת מדיה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של יישום מערכת מוגבה. בעיה זו מדורגת כחומרה גבוהה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.

CVE באג עם קישור AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-2413 ANDROID-26403627 גָבוֹהַ 5.0.2, 5.1.1, 6.0, 6.0.1 5 בינואר 2016

פגיעות מניעת שירות במיניקין

פגיעות של מניעת שירות בספריית Minikin עלולה לאפשר לתוקף מקומי לחסום זמנית גישה למכשיר מושפע. תוקף עלול לגרום לטעינת גופן לא מהימן ולגרום לגלישה ברכיב Minikin, מה שמוביל להתרסקות. זה מדורג כחומרה גבוהה מכיוון שמניעת שירות תוביל ללולאת אתחול מחדש מתמשכת.

CVE באג עם קישורי AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-2414 ANDROID-26413177 [ 2 ] גָבוֹהַ 5.0.2, 5.1.1, 6.0, 6.0.1 3 בנובמבר 2015

פגיעות של חשיפת מידע ב-Exchange ActiveSync

פגיעות של חשיפת מידע ב-Exchange ActiveSync עלולה לאפשר לאפליקציה זדונית מקומית לקבל גישה למידע הפרטי של משתמש. בעיה זו מדורגת כחומרה גבוהה מכיוון שהיא מאפשרת גישה מרחוק לנתונים מוגנים.

CVE באג עם קישור AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-2415 ANDROID-26488455 גָבוֹהַ 5.0.2, 5.1.1, 6.0, 6.0.1 11 בינואר 2016

פגיעות של גילוי מידע ב-Mediaserver

פגיעות של חשיפת מידע ב-Mediaserver עלולה לאפשר עקיפת אמצעי אבטחה על מנת להגביר את הקושי של תוקפים לנצל את הפלטפורמה. בעיות אלו מדורגות כחומרה גבוהה מכיוון שניתן להשתמש בהן גם כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישומי צד שלישי.

CVE באגים עם קישורי AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-2416 ANDROID-27046057 [ 2 ] גָבוֹהַ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 בפברואר 2016
CVE-2016-2417 ANDROID-26914474 גָבוֹהַ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 1 בפברואר 2016
CVE-2016-2418 ANDROID-26324358 גָבוֹהַ 6.0, 6.0.1 24 בדצמבר 2015
CVE-2016-2419 ANDROID-26323455 גָבוֹהַ 6.0, 6.0.1 24 בדצמבר 2015

פגיעות העלאת הרשאות ברכיב Debuggerd

הפגיעות של העלאת הרשאות ברכיב Debuggerd עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי שעלול להוביל לפגיעה קבועה במכשיר. כתוצאה מכך, ייתכן שיהיה צורך לתקן את המכשיר על ידי הבזק מחדש של מערכת ההפעלה. בדרך כלל באג של ביצוע קוד כמו זה ידורג כקריטי, אך מכיוון שהוא מאפשר העלאת הרשאות ממערכת לשורש רק בגרסת אנדרואיד 4.4.4, הוא מדורג כמתון במקום זאת. בגרסאות אנדרואיד 5.0 ומעלה, כללי SELinux מונעים מאפליקציות צד שלישי להגיע לקוד המושפע.

CVE באג עם קישורי AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-2420 ANDROID-26403620 [ 2 ] לְמַתֵן 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 בינואר 2016

פגיעות העלאת הרשאות באשף ההתקנה

פגיעות באשף ההתקנה עלולה לאפשר לתוקף לעקוף את הגנת איפוס היצרן ולקבל גישה למכשיר. זה מדורג כחומרה בינונית מכיוון שהוא עשוי לאפשר למישהו עם גישה פיזית למכשיר לעקוף את הגנת איפוס היצרן, מה שיאפשר לתוקף לאפס בהצלחה מכשיר, ולמחוק את כל הנתונים.

CVE חרק חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-2421 ANDROID-26154410* לְמַתֵן 5.1.1, 6.0, 6.0.1 Google פנימי

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במהדורה הבינארית העדכנית ביותר עבור מכשירי Nexus הזמינה מאתר Google Developer .

פגיעות העלאת הרשאות ב-Wi-Fi

פגיעות העלאת הרשאות ב-Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של יישום מערכת מוגברת. בעיה זו מדורגת כחומרה בינונית מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.

CVE באג עם קישור AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-2422 ANDROID-26324357 לְמַתֵן 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 23 בדצמבר 2015

פגיעות העלאת הרשאות בטלפוניה

פגיעות בטלפוניה עלולה לאפשר לתוקף לעקוף את הגנת איפוס היצרן ולקבל גישה למכשיר. זה מדורג כחומרה בינונית מכיוון שהוא עשוי לאפשר למישהו עם גישה פיזית למכשיר לעקוף את הגנת איפוס היצרן, מה שיאפשר לתוקף לאפס בהצלחה מכשיר, ולמחוק את כל הנתונים.

CVE באג עם קישור AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-2423 ANDROID-26303187 לְמַתֵן 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google פנימי

פגיעות מניעת שירות ב-SyncStorageEngine

פגיעות של מניעת שירות ב-SyncStorageEngine עלולה לאפשר ליישום זדוני מקומי לגרום ללולאת אתחול מחדש. בעיה זו מדורגת כחומרה בינונית מכיוון שהיא עשויה לשמש כדי לגרום למניעת שירות זמנית מקומית, שאולי יהיה צורך לתקן אותה באמצעות איפוס להגדרות היצרן.

CVE באג עם קישור AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-2424 ANDROID-26513719 לְמַתֵן 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google פנימי

פגיעות של חשיפת מידע בדואר AOSP

פגיעות של חשיפת מידע ב-AOSP Mail עלולה לאפשר לאפליקציה זדונית מקומית לקבל גישה למידע הפרטי של משתמש. בעיה זו מדורגת כחומרה בינונית מכיוון שהיא עלולה לשמש כדי לקבל הרשאות "מסוכנות" באופן שגוי.

CVE באגים עם קישור AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-2425 ANDROID-26989185 לְמַתֵן 4.4.4, 5.1.1, 6.0, 6.0.1 29 בינואר 2016
CVE-2016-2425 ANDROID-7154234* לְמַתֵן 5.0.2 29 בינואר 2016

* התיקון לבעיה זו אינו ב-AOSP. העדכון כלול במהדורה הבינארית העדכנית ביותר עבור מכשירי Nexus הזמינה מאתר Google Developer .

פגיעות גילוי מידע במסגרת

פגיעות של חשיפת מידע ברכיב Framework עלולה לאפשר לאפליקציה לגשת למידע רגיש. בעיה זו מדורגת בדרגת חומרה בינונית מכיוון שהיא עשויה לשמש לגישה לא נכונה לנתונים ללא רשות.

CVE באג עם קישור AOSP חוּמרָה גרסאות מעודכנות תאריך דיווח
CVE-2016-2426 ANDROID-26094635 לְמַתֵן 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 8 בדצמבר 2015

שאלות ותשובות נפוצות

חלק זה סוקר תשובות לשאלות נפוצות שעלולות להתרחש לאחר קריאת עלון זה.

1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלו?

רמות תיקון האבטחה מ-2 באפריל 2016 ואילך מטפלות בבעיות אלה (עיין בתיעוד של Nexus לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה). יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל: [ro.build.version.security_patch]:[2016-04-02]

2. מדוע תיקון האבטחה הזה הוא 2 באפריל 2016?

רמת תיקון האבטחה עבור עדכון האבטחה החודשי מוגדרת בדרך כלל לראשון בחודש. עבור אפריל, רמת תיקון אבטחה של 1 באפריל 2016 מציינת שכל הבעיות המתוארות בעלון זה למעט CVE-2015-1805, כמתואר ב- Android Security Advisory 2016-03-18 טופלו. רמת תיקון אבטחה של 2 באפריל 2016 מציינת שכל הבעיות המתוארות בעלון זה כולל CVE-2015-1805, כמתואר ב- Android Security Advisory 2016-03-18 טופלו.

תיקונים

  • 4 באפריל, 2016: פרסום עלון.
  • 6 באפריל 2016: העלון תוקן כך שיכלול קישורי AOSP.
  • 7 באפריל 2016: העלון תוקן כך שיכלול קישור AOSP נוסף.
  • 11 ביולי 2016: תיאור מעודכן של CVE-2016-2427.
  • 1 באוגוסט 2016: תיאור מעודכן של CVE-2016-2427
  • 19 בדצמבר 2016: עודכן להסרת CVE-2016-2427, שהוחזר.