O Google tem o compromisso de promover a igualdade racial para as comunidades negras. Saiba como.

Boletim de segurança do Nexus—abril de 2016

Publicado em 04 de abril de 2016 | Atualizado em 19 de dezembro de 2016

Lançamos uma atualização de segurança para dispositivos Nexus por meio de uma atualização over-the-air (OTA) como parte de nosso processo de lançamento mensal do Boletim de segurança do Android. As imagens de firmware do Nexus também foram lançadas no site do Google Developer . Os níveis de patch de segurança de 02 de abril de 2016 ou posterior abordam esses problemas (consulte a documentação do Nexus para obter instruções sobre como verificar o nível de patch de segurança).

Os parceiros foram notificados sobre os problemas descritos no boletim em 16 de março de 2016 ou antes. Quando aplicável, os patches de código-fonte para esses problemas foram lançados no repositório do Android Open Source Project (AOSP).

O mais grave desses problemas é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como email, navegação na Web e MMS ao processar arquivos de mídia. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, supondo que as atenuações da plataforma e do serviço estejam desabilitadas para fins de desenvolvimento ou se forem ignoradas com êxito.

O Android Security Advisory 2016-03-18 discutiu anteriormente o uso do CVE-2015-1805 por um aplicativo de root. CVE-2015-1805 é resolvido nesta atualização. Não houve relatos de exploração ativa de clientes ou abuso de outros problemas relatados recentemente. Consulte a seção Mitigações para obter mais detalhes sobre as proteções da plataforma de segurança Android e as proteções de serviço, como SafetyNet, que melhoram a segurança da plataforma Android.

Mitigações

Este é um resumo das mitigações fornecidas pela plataforma de segurança Android e proteções de serviço, como SafetyNet. Esses recursos reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.

  • A exploração de muitos problemas no Android é dificultada pelos aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
  • A equipe de segurança do Android está monitorando ativamente o abuso com o Verify Apps e o SafetyNet, que avisará o usuário sobre aplicativos potencialmente nocivos detectados prestes a serem instalados. As ferramentas de root do dispositivo são proibidas no Google Play. Para proteger os usuários que instalam aplicativos de fora do Google Play, o Verify Apps é ativado por padrão e avisará os usuários sobre aplicativos de root conhecidos. O Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará removê-lo.
  • Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam mídia automaticamente para processos como servidor de mídia.

Reconhecimentos

A equipe de segurança do Android gostaria de agradecer a esses pesquisadores por suas contribuições:

A equipe de segurança do Android também agradece a Yuan-Tsung Lo , Wenke Dou , Chiachih Wu ( @chiachih_wu ) e Xuxian Jiang da equipe C0RE e Zimperium por sua contribuição ao CVE-2015-1805.

Detalhes da vulnerabilidade de segurança

As seções abaixo contêm detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2016-04-02. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, bug associado, gravidade, versões afetadas e data relatada. Quando disponível, vincularemos o commit do AOSP que abordou o problema ao ID do bug. Quando várias alterações estão relacionadas a um único bug, as referências AOSP adicionais são vinculadas a números após o ID do bug.

Vulnerabilidade de execução remota de código no DHCPCD

Uma vulnerabilidade no serviço Dynamic Host Configuration Protocol pode permitir que um invasor cause corrupção de memória, o que pode levar à execução remota de código. Esse problema é classificado como gravidade crítica devido à possibilidade de execução remota de código no contexto do cliente DHCP. O serviço DHCP tem acesso a privilégios que aplicativos de terceiros normalmente não podem acessar.

CVE Bugs com links AOSP Gravidade Versões atualizadas Data do relatório
CVE-2014-6060 ANDROID-15268738 Crítico 4.4.4 30 de julho de 2014
CVE-2014-6060 ANDROID-16677003 Crítico 4.4.4 30 de julho de 2014
CVE-2016-1503 ANDROID-26461634 Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 4 de janeiro de 2016

Vulnerabilidade de execução remota de código no codec de mídia

Durante o processamento de arquivos de mídia e dados de um arquivo especialmente criado, as vulnerabilidades em um codec de mídia usado pelo mediaserver podem permitir que um invasor cause corrupção de memória e execução remota de código como o processo do mediaserver.

A funcionalidade afetada é fornecida como parte central do sistema operacional, e existem vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia do navegador.

Esse problema é classificado como gravidade crítica devido à possibilidade de execução remota de código no contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não poderiam acessar.

CVE Incomodar Gravidade Versões atualizadas Data do relatório
CVE-2016-0834 ANDROID-26220548* Crítico 6.0, 6.0.1 16 de dezembro de 2015

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de execução remota de código no Mediaserver

Durante o processamento de arquivos de mídia e dados de um arquivo especialmente criado, as vulnerabilidades no servidor de mídia podem permitir que um invasor cause corrupção de memória e execução remota de código como o processo do servidor de mídia.

A funcionalidade afetada é fornecida como parte central do sistema operacional, e existem vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia do navegador.

Esse problema é classificado como gravidade crítica devido à possibilidade de execução remota de código no contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não poderiam acessar.

CVE Bugs com links AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-0835 ANDROID-26070014 [ 2 ] Crítico 6.0, 6.0.1 6 de dezembro de 2015
CVE-2016-0836 ANDROID-25812590 Crítico 6.0, 6.0.1 19 de novembro de 2015
CVE-2016-0837 ANDROID-27208621 Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 de fevereiro de 2016
CVE-2016-0838 ANDROID-26366256 [ 2 ] Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Interno do Google
CVE-2016-0839 ANDROID-25753245 Crítico 6.0, 6.0.1 Interno do Google
CVE-2016-0840 ANDROID-26399350 Crítico 6.0, 6.0.1 Interno do Google
CVE-2016-0841 ANDROID-26040840 Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Interno do Google

Vulnerabilidade de execução remota de código em libstagefright

Durante o processamento de arquivos de mídia e dados de um arquivo especialmente criado, vulnerabilidades no libstagefright podem permitir que um invasor cause corrupção de memória e execução remota de código como o processo do servidor de mídia.

A funcionalidade afetada é fornecida como parte central do sistema operacional, e existem vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia do navegador.

Este problema é classificado como de gravidade Crítica devido à possibilidade de execução remota de código no contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não poderiam acessar.

CVE Bug com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-0842 ANDROID-25818142 Crítico 6.0, 6.0.1 23 de novembro de 2015

Vulnerabilidade de elevação de privilégios no kernel

Uma vulnerabilidade de elevação de privilégio no kernel pode permitir que um aplicativo mal-intencionado local execute código arbitrário no kernel. Esse problema é classificado como de gravidade Crítica devido à possibilidade de um comprometimento local permanente do dispositivo, e o dispositivo possivelmente precisaria ser reparado com a atualização do sistema operacional. Esse problema foi descrito no Aviso de segurança do Android 2016-03-18 .

CVE Incomodar Gravidade Versões atualizadas Data do relatório
CVE-2015-1805 ANDROID-27275324* Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19 de fevereiro de 2016

* O patch no AOSP está disponível para versões específicas do kernel: 3.14 , 3.10 e 3.4 .

Vulnerabilidade de elevação de privilégios no módulo de desempenho da Qualcomm

Uma vulnerabilidade de elevação de privilégio no componente gerenciador de eventos de desempenho para processadores ARM da Qualcomm pode permitir que um aplicativo malicioso local execute código arbitrário no kernel. Esse problema é classificado como de gravidade Crítica devido à possibilidade de um comprometimento local permanente do dispositivo, e o dispositivo possivelmente precisaria ser reparado com a atualização do sistema operacional.

CVE Incomodar Gravidade Versões atualizadas Data do relatório
CVE-2016-0843 ANDROID-25801197* Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19 de novembro de 2015

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégio no componente RF da Qualcomm

Há uma vulnerabilidade no driver Qualcomm RF que pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como de gravidade Crítica devido à possibilidade de um comprometimento local permanente do dispositivo, e o dispositivo possivelmente precisaria ser reparado com a atualização do sistema operacional.

CVE Bug com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-0844 ANDROID-26324307 * Crítico 6.0, 6.0.1 25 de dezembro de 2015

* Um patch adicional para este problema está localizado no Linux upstream .

Vulnerabilidade de elevação de privilégios no kernel

Uma vulnerabilidade de elevação de privilégio no kernel comum pode permitir que um aplicativo mal-intencionado local execute código arbitrário no kernel. Esse problema é classificado como de gravidade Crítica devido à possibilidade de um comprometimento local permanente do dispositivo e o dispositivo possivelmente precisaria ser reparado com a atualização do sistema operacional.

CVE Bug com links AOSP Gravidade Versões atualizadas Data do relatório
CVE-2014-9322 ANDROID-26927260 [ 2 ] [ 3 ]
[ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ]
Crítico 6.0, 6.0.1 25 de dezembro de 2015

Vulnerabilidade de elevação de privilégios na interface nativa do IMemory

Uma vulnerabilidade de elevação de privilégio na IMemory Native Interface pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.

CVE Bug com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-0846 ANDROID-26877992 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 de janeiro de 2016

Elevação da Vulnerabilidade de Privilégios no Componente de Telecomunicações

Uma vulnerabilidade de elevação de privilégio no componente Telecom pode permitir que um invasor faça com que as chamadas pareçam vir de qualquer número arbitrário. Esse problema é classificado como de alta gravidade porque pode ser usado para obter acesso local a recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.

CVE Bug com links AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-0847 ANDROID-26864502 [ 2 ] Alto 5.0.2, 5.1.1, 6.0, 6.0.1 Interno do Google

Vulnerabilidade de elevação de privilégios no gerenciador de downloads

Uma vulnerabilidade de elevação de privilégio no Download Manager pode permitir que um invasor obtenha acesso a arquivos não autorizados em armazenamento privado. Esse problema é classificado como de alta gravidade porque pode ser usado para obter acesso local a recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.

CVE Bug com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-0848 ANDROID-26211054 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 de dezembro de 2015

Elevação da Vulnerabilidade de Privilégios no Procedimento de Recuperação

Uma vulnerabilidade de elevação de privilégio no Procedimento de Recuperação pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.

CVE Bug com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-0849 ANDROID-26960931 Alto 5.0.2, 5.1.1, 6.0, 6.0.1 3 de fevereiro de 2016

Elevação da vulnerabilidade de privilégio no Bluetooth

Uma vulnerabilidade de elevação de privilégio no Bluetooth pode permitir que um dispositivo não confiável seja emparelhado com o telefone durante o processo de emparelhamento inicial. Isso pode levar ao acesso não autorizado dos recursos do dispositivo, como a conexão com a Internet. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados que não são acessíveis a dispositivos não confiáveis.

CVE Bug com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-0850 ANDROID-26551752 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 13 de janeiro de 2016

Elevação da vulnerabilidade de privilégio no driver háptico da Texas Instruments

Há uma vulnerabilidade de elevação de privilégio em um driver de kernel háptico da Texas Instruments que pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Normalmente, um bug de execução de código do kernel como esse seria classificado como Crítico, mas como primeiro requer o comprometimento de um serviço que pode chamar o driver, ele é classificado como de alta gravidade.

CVE Incomodar Gravidade Versões atualizadas Data do relatório
CVE-2016-2409 ANDROID-25981545* Alto 6.0, 6.0.1 25 de dezembro de 2015

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios no driver do kernel de vídeo da Qualcomm

Há uma vulnerabilidade de elevação de privilégio em um driver de kernel de vídeo da Qualcomm que pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Normalmente, uma vulnerabilidade de execução de código do kernel seria classificada como Crítica, mas, como exige primeiro o comprometimento de um serviço que pode chamar o driver, ela é classificada como de alta gravidade.

CVE Incomodar Gravidade Versões atualizadas Data do relatório
CVE-2016-2410 ANDROID-26291677* Alto 6.0, 6.0.1 21 de dezembro de 2015

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios no componente Qualcomm Power Management

Há uma vulnerabilidade de elevação de privilégio em um driver de kernel do Qualcomm Power Management que pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Normalmente, um bug de execução de código do kernel como esse seria classificado como Crítico, mas como exige primeiro o comprometimento do dispositivo e a elevação para root, ele é classificado como de alta gravidade.

CVE Incomodar Gravidade Versões atualizadas Data do relatório
CVE-2016-2411 ANDROID-26866053* Alto 6.0, 6.0.1 28 de janeiro de 2016

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégio em System_server

Uma vulnerabilidade de elevação de privilégio no System_server pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.

CVE Bug com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-2412 ANDROID-26593930 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 15 de janeiro de 2016

Vulnerabilidade de elevação de privilégios no Mediaserver

Uma vulnerabilidade de elevação de privilégio no mediaserver pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.

CVE Bug com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-2413 ANDROID-26403627 Alto 5.0.2, 5.1.1, 6.0, 6.0.1 5 de janeiro de 2016

Vulnerabilidade de negação de serviço no Minikin

Uma vulnerabilidade de negação de serviço na biblioteca Minikin pode permitir que um invasor local bloqueie temporariamente o acesso a um dispositivo afetado. Um invasor pode fazer com que uma fonte não confiável seja carregada e causar um estouro no componente Minikin, o que leva a uma falha. Isso é classificado como gravidade alta porque a negação de serviço levaria a um loop de reinicialização contínuo.

CVE Bug com links AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-2414 ANDROID-26413177 [ 2 ] Alto 5.0.2, 5.1.1, 6.0, 6.0.1 3 de novembro de 2015

Vulnerabilidade de divulgação de informações no Exchange ActiveSync

Uma vulnerabilidade de divulgação de informações no Exchange ActiveSync pode permitir que um aplicativo mal-intencionado local obtenha acesso às informações privadas de um usuário. Esse problema é classificado como de alta gravidade porque permite acesso remoto a dados protegidos.

CVE Bug com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-2415 ANDROID-26488455 Alto 5.0.2, 5.1.1, 6.0, 6.0.1 11 de janeiro de 2016

Vulnerabilidade de divulgação de informações no Mediaserver

Uma vulnerabilidade de divulgação de informações no Mediaserver pode permitir um desvio das medidas de segurança em vigor para aumentar a dificuldade dos invasores explorarem a plataforma. Esses problemas são classificados como de alta gravidade porque também podem ser usados ​​para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a aplicativos de terceiros.

CVE Bugs com links AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-2416 ANDROID-27046057 [ 2 ] Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 de fevereiro de 2016
CVE-2016-2417 ANDROID-26914474 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 1º de fevereiro de 2016
CVE-2016-2418 ANDROID-26324358 Alto 6.0, 6.0.1 24 de dezembro de 2015
CVE-2016-2419 ANDROID-26323455 Alto 6.0, 6.0.1 24 de dezembro de 2015

Vulnerabilidade de elevação de privilégio no componente depurado

Uma vulnerabilidade de elevação de privilégio no componente Depurado pode permitir que um aplicativo mal-intencionado local execute código arbitrário que pode levar a um comprometimento permanente do dispositivo. Como resultado, o dispositivo possivelmente precisaria ser reparado por re-flash do sistema operacional. Normalmente, um bug de execução de código como esse seria classificado como Crítico, mas, como permite uma elevação de privilégio do sistema para o root apenas na versão 4.4.4 do Android, ele é classificado como Moderado. Nas versões do Android 5.0 e superiores, as regras do SELinux impedem que aplicativos de terceiros alcancem o código afetado.

CVE Bug com links AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-2420 ANDROID-26403620 [ 2 ] Moderado 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 de janeiro de 2016

Vulnerabilidade de Elevação de Privilégios no Assistente de Configuração

Uma vulnerabilidade no Assistente de configuração pode permitir que um invasor ignore a proteção de redefinição de fábrica e obtenha acesso ao dispositivo. Isso é classificado como gravidade moderada porque potencialmente permite que alguém com acesso físico a um dispositivo ignore a proteção de redefinição de fábrica, o que permitiria que um invasor redefinisse um dispositivo com êxito, apagando todos os dados.

CVE Incomodar Gravidade Versões atualizadas Data do relatório
CVE-2016-2421 ANDROID-26154410* Moderado 5.1.1, 6.0, 6.0.1 Interno do Google

* O patch para este problema não está no AOSP. A atualização está contida na versão binária mais recente para dispositivos Nexus disponível no site do Google Developer .

Elevação de vulnerabilidade de privilégio em Wi-Fi

Uma vulnerabilidade de elevação de privilégio em Wi-Fi pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como gravidade moderada porque pode ser usado para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.

CVE Bug com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-2422 ANDROID-26324357 Moderado 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 23 de dezembro de 2015

Vulnerabilidade de Elevação de Privilégios em Telefonia

Uma vulnerabilidade na telefonia pode permitir que um invasor ignore a proteção de redefinição de fábrica e obtenha acesso ao dispositivo. Isso é classificado como gravidade moderada porque potencialmente permite que alguém com acesso físico a um dispositivo ignore a proteção de redefinição de fábrica, o que permitiria que um invasor redefinisse um dispositivo com êxito, apagando todos os dados.

CVE Bug com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-2423 ANDROID-26303187 Moderado 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Interno do Google

Vulnerabilidade de negação de serviço no SyncStorageEngine

Uma vulnerabilidade de negação de serviço no SyncStorageEngine pode permitir que um aplicativo mal-intencionado local cause um loop de reinicialização. Esse problema é classificado como gravidade moderada porque pode ser usado para causar uma negação de serviço temporária local que possivelmente precisaria ser corrigida por meio de uma redefinição de fábrica.

CVE Bug com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-2424 ANDROID-26513719 Moderado 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Interno do Google

Vulnerabilidade de divulgação de informações no correio AOSP

Uma vulnerabilidade de divulgação de informações no AOSP Mail pode permitir que um aplicativo mal-intencionado local obtenha acesso às informações privadas de um usuário. Esse problema é classificado como gravidade moderada porque pode ser usado para obter permissões "perigosas" de forma inadequada.

CVE Bugs com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-2425 ANDROID-26989185 Moderado 4.4.4, 5.1.1, 6.0, 6.0.1 29 de janeiro de 2016
CVE-2016-2425 ANDROID-7154234* Moderado 5.0.2 29 de janeiro de 2016

* O patch para este problema não está no AOSP. A atualização está contida na versão binária mais recente para dispositivos Nexus disponível no site do Google Developer .

Vulnerabilidade de divulgação de informações na estrutura

Uma vulnerabilidade de divulgação de informações no componente Framework pode permitir que um aplicativo acesse informações confidenciais. Esse problema é classificado como gravidade moderada porque pode ser usado para acessar dados de forma inadequada sem permissão.

CVE Bug com link AOSP Gravidade Versões atualizadas Data do relatório
CVE-2016-2426 ANDROID-26094635 Moderado 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 8 de dezembro de 2015

Perguntas e respostas comuns

Esta seção revisa as respostas para perguntas comuns que podem ocorrer após a leitura deste boletim.

1. Como determino se meu dispositivo está atualizado para resolver esses problemas?

Os níveis de patch de segurança de 2 de abril de 2016 ou posterior abordam esses problemas (consulte a documentação do Nexus para obter instruções sobre como verificar o nível de patch de segurança). Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da string de patch para: [ro.build.version.security_patch]:[2016-04-02]

2. Por que este patch de segurança é de nível 2 de abril de 2016?

O Nível de Patch de Segurança para a atualização de segurança mensal é normalmente definido como o primeiro do mês. Para abril, um nível de patch de segurança de 1º de abril de 2016 indica que todos os problemas descritos neste boletim, com exceção do CVE-2015-1805, conforme descrito no Android Security Advisory 2016-03-18 , foram resolvidos. Um nível de patch de segurança de 2 de abril de 2016 indica que todos os problemas descritos neste boletim, incluindo o CVE-2015-1805, conforme descrito no Aviso de segurança do Android 2016-03-18 , foram resolvidos.

Revisões

  • 04 de abril de 2016: Boletim publicado.
  • 06 de abril de 2016: Boletim revisado para incluir links AOSP.
  • 07 de abril de 2016: Boletim revisado para incluir um link AOSP adicional.
  • 11 de julho de 2016: Descrição atualizada do CVE-2016-2427.
  • 01 de agosto de 2016: Descrição atualizada do CVE-2016-2427
  • 19 de dezembro de 2016: atualizado para remover o CVE-2016-2427, que foi revertido.