Google is committed to advancing racial equity for Black communities. See how.
This page was translated by the Cloud Translation API.
Switch to English

Boletim de segurança do Nexus - abril de 2016

Publicado em 04 de abril de 2016 | Atualizado em 19 de dezembro de 2016

Lançamos uma atualização de segurança para dispositivos Nexus por meio de uma atualização over-the-air (OTA) como parte de nosso processo de lançamento mensal do boletim de segurança do Android. As imagens do firmware Nexus também foram lançadas no site Google Developer . Os níveis do patch de segurança de 2 de abril de 2016 ou posterior tratam desses problemas (consulte a documentação do Nexus para obter instruções sobre como verificar o nível do patch de segurança).

Os parceiros foram notificados sobre os problemas descritos no boletim em 16 de março de 2016 ou antes. Quando aplicável, os patches de código-fonte para esses problemas foram lançados no repositório Android Open Source Project (AOSP).

O mais grave desses problemas é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como email, navegação na Web e MMS, ao processar arquivos de mídia. A avaliação da gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, assumindo que a plataforma e as atenuações do serviço estão desabilitadas para fins de desenvolvimento ou se contornadas com sucesso.

O Android Security Advisory 2016-03-18 discutiu anteriormente o uso de CVE-2015-1805 por um aplicativo de root . CVE-2015-1805 foi resolvido nesta atualização. Não houve relatos de exploração ativa do cliente ou abuso de outros problemas relatados recentemente. Consulte a seção Mitigações para obter mais detalhes sobre as proteções da plataforma de segurança Android e proteções de serviço, como SafetyNet, que melhoram a segurança da plataforma Android.

Mitigações

Este é um resumo das atenuações fornecidas pela plataforma de segurança Android e proteções de serviço, como SafetyNet. Esses recursos reduzem a probabilidade de que as vulnerabilidades de segurança possam ser exploradas com êxito no Android.

  • A exploração de muitos problemas no Android é dificultada pelos aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
  • A equipe de segurança do Android está monitorando ativamente o abuso com Verify Apps e SafetyNet, que avisará o usuário sobre aplicativos potencialmente perigosos detectados prestes a serem instalados. As ferramentas de rooting do dispositivo são proibidas no Google Play. Para proteger os usuários que instalam aplicativos de fora do Google Play, o Verify Apps é habilitado por padrão e avisará os usuários sobre aplicativos de root conhecidos. O Verify Apps tenta identificar e bloquear a instalação de aplicativos mal-intencionados conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará remover qualquer um desses aplicativos.
  • Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam mídia automaticamente para processos como mediaserver.

Reconhecimentos

A equipe de segurança do Android gostaria de agradecer a esses pesquisadores por suas contribuições:

A equipe de segurança do Android também agradece Yuan-Tsung Lo , Wenke Dou , Chiachih Wu ( @chiachih_wu ) e Xuxian Jiang da equipe C0RE e Zimperium por sua contribuição para o CVE-2015-1805.

Detalhes de vulnerabilidade de segurança

As seções abaixo contêm detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2016-04-02. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, bug associado, gravidade, versões afetadas e data relatada. Quando disponível, vincularemos o commit do AOSP que tratou do problema ao ID do bug. Quando várias alterações estão relacionadas a um único bug, referências adicionais do AOSP são vinculadas a números após a ID do bug.

Vulnerabilidade de execução remota de código em DHCPCD

Uma vulnerabilidade no serviço Dynamic Host Configuration Protocol pode permitir que um invasor cause corrupção de memória, o que pode levar à execução remota de código. Este problema é classificado como gravidade crítica devido à possibilidade de execução remota de código dentro do contexto do cliente DHCP. O serviço DHCP tem acesso a privilégios que aplicativos de terceiros normalmente não poderiam acessar.

CVE Bugs com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2014-6060 ANDROID-15268738 Crítico 4.4.4 30 de julho de 2014
CVE-2014-6060 ANDROID-16677003 Crítico 4.4.4 30 de julho de 2014
CVE-2016-1503 ANDROID-26461634 Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 4 de janeiro de 2016

Vulnerabilidade de execução remota de código no codec de mídia

Durante o processamento de arquivos de mídia e dados de um arquivo especialmente criado, as vulnerabilidades em um codec de mídia usado pelo mediaserver podem permitir que um invasor cause corrupção de memória e execução remota de código como o processo do mediaserver.

A funcionalidade afetada é fornecida como uma parte central do sistema operacional e existem vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador.

Este problema é classificado como gravidade crítica devido à possibilidade de execução remota de código dentro do contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não poderiam acessar.

CVE Erro Gravidade Versões atualizadas Data relatada
CVE-2016-0834 ANDROID-26220548 * Crítico 6.0, 6.0.1 16 de dezembro de 2015

* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

Vulnerabilidade de execução remota de código no Mediaserver

Durante o processamento de arquivos de mídia e dados de um arquivo especialmente criado, as vulnerabilidades no mediaserver podem permitir que um invasor cause corrupção de memória e execução remota de código como o processo do mediaserver.

A funcionalidade afetada é fornecida como uma parte central do sistema operacional e existem vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador.

Este problema é classificado como gravidade crítica devido à possibilidade de execução remota de código dentro do contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não poderiam acessar.

CVE Bugs com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-0835 ANDROID-26070014 [ 2 ] Crítico 6.0, 6.0.1 6 de dezembro de 2015
CVE-2016-0836 ANDROID-25812590 Crítico 6.0, 6.0.1 19 de novembro de 2015
CVE-2016-0837 ANDROID-27208621 Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 de fevereiro de 2016
CVE-2016-0838 ANDROID-26366256 [ 2 ] Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google interno
CVE-2016-0839 ANDROID-25753245 Crítico 6.0, 6.0.1 Google interno
CVE-2016-0840 ANDROID-26399350 Crítico 6.0, 6.0.1 Google interno
CVE-2016-0841 ANDROID-26040840 Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google interno

Vulnerabilidade de execução remota de código em libstagefright

Durante o arquivo de mídia e o processamento de dados de um arquivo especialmente criado, as vulnerabilidades no libstagefright podem permitir que um invasor cause corrupção de memória e execução remota de código como o processo mediaserver.

A funcionalidade afetada é fornecida como uma parte central do sistema operacional e existem vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador.

Este problema é classificado como uma gravidade crítica devido à possibilidade de execução remota de código dentro do contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não poderiam acessar.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-0842 ANDROID-25818142 Crítico 6.0, 6.0.1 23 de novembro de 2015

Vulnerabilidade de elevação de privilégio no kernel

Uma vulnerabilidade de elevação de privilégio no kernel pode permitir que um aplicativo mal-intencionado local execute código arbitrário dentro do kernel. Este problema é classificado como gravidade crítica devido à possibilidade de um comprometimento local permanente do dispositivo, e o dispositivo possivelmente precisaria ser reparado por meio de uma nova atualização do sistema operacional. Esse problema foi descrito no Android Security Advisory 2016-03-18 .

CVE Erro Gravidade Versões atualizadas Data relatada
CVE-2015-1805 ANDROID-27275324 * Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19 de fevereiro de 2016

* O patch no AOSP está disponível para versões específicas do kernel: 3.14 , 3.10 e 3.4 .

Vulnerabilidade de elevação de privilégio no módulo de desempenho Qualcomm

Uma vulnerabilidade de elevação de privilégio no componente gerenciador de eventos de desempenho para processadores ARM da Qualcomm pode permitir que um aplicativo malicioso local execute código arbitrário no kernel. Esse problema é classificado como gravidade crítica devido à possibilidade de comprometimento do dispositivo permanente local, e o dispositivo possivelmente precisaria ser reparado atualizando o sistema operacional.

CVE Erro Gravidade Versões atualizadas Data relatada
CVE-2016-0843 ANDROID-25801197 * Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19 de novembro de 2015

* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

Vulnerabilidade de elevação de privilégio no componente RF da Qualcomm

Existe uma vulnerabilidade no driver Qualcomm RF que pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Esse problema é classificado como gravidade crítica devido à possibilidade de comprometimento do dispositivo permanente local, e o dispositivo possivelmente precisaria ser reparado atualizando o sistema operacional.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-0844 ANDROID-26324307 * Crítico 6.0, 6.0.1 25 de dezembro de 2015

* Um patch adicional para esse problema está localizado no upstream do Linux .

Vulnerabilidade de elevação de privilégio no kernel

Uma vulnerabilidade de elevação de privilégio no kernel comum pode permitir que um aplicativo malicioso local execute código arbitrário no kernel. Esse problema é classificado como gravidade crítica devido à possibilidade de um comprometimento do dispositivo local permanente e o dispositivo possivelmente precisaria ser reparado por meio de um novo flash do sistema operacional.

CVE Bug com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2014-9322 ANDROID-26927260 [ 2 ] [ 3 ]
[ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ]
Crítico 6.0, 6.0.1 25 de dezembro de 2015

Elevação da vulnerabilidade de privilégio na interface nativa do IMemory

Uma vulnerabilidade de elevação de privilégio na Interface Nativa IMemory pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto de um aplicativo de sistema elevado. Este problema é classificada como alta gravidade, pois poderia ser utilizado para obter capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a um aplicativo de terceiros.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-0846 ANDROID-26877992 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 de janeiro de 2016

Elevação da vulnerabilidade de privilégio no componente de telecomunicações

Uma vulnerabilidade de elevação de privilégio no componente Telecom pode permitir que um invasor faça as chamadas parecerem vir de qualquer número arbitrário. Este problema é classificada como alta gravidade, pois poderia ser usado para ganhar acesso local às capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a um aplicativo de terceiros.

CVE Bug com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-0847 ANDROID-26864502 [ 2 ] Alto 5.0.2, 5.1.1, 6.0, 6.0.1 Google interno

Elevação da vulnerabilidade de privilégio no gerenciador de download

Uma vulnerabilidade de elevação de privilégio no Download Manager pode permitir que um invasor obtenha acesso a arquivos não autorizados em armazenamento privado. Este problema é classificada como alta gravidade, pois poderia ser usado para ganhar acesso local às capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a um aplicativo de terceiros.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-0848 ANDROID-26211054 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 de dezembro de 2015

Vulnerabilidade de elevação de privilégio no procedimento de recuperação

Uma vulnerabilidade de elevação de privilégio no procedimento de recuperação pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um aplicativo de sistema elevado. Este problema é classificada como alta gravidade, pois poderia ser utilizado para obter capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a um aplicativo de terceiros.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-0849 ANDROID-26960931 Alto 5.0.2, 5.1.1, 6.0, 6.0.1 3 de fevereiro de 2016

Vulnerabilidade de elevação de privilégio no Bluetooth

Uma vulnerabilidade de elevação de privilégio no Bluetooth pode permitir que um dispositivo não confiável pareie com o telefone durante o processo de pareamento inicial. Isso pode levar ao acesso não autorizado aos recursos do dispositivo, como a conexão com a Internet. Este problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados que não são acessíveis a dispositivos não confiáveis.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-0850 ANDROID-26551752 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 13 de janeiro de 2016

Elevação da vulnerabilidade de privilégio no driver tátil da Texas Instruments

Há uma vulnerabilidade de elevação de privilégio em um driver de kernel tátil da Texas Instruments que pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Normalmente, um bug de execução de código do kernel como este seria classificado como Crítico, mas como primeiro requer o comprometimento de um serviço que pode chamar o driver, ele é classificado como de severidade Alta.

CVE Erro Gravidade Versões atualizadas Data relatada
CVE-2016-2409 ANDROID-25981545 * Alto 6.0, 6.0.1 25 de dezembro de 2015

* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

Vulnerabilidade de elevação de privilégio no driver de kernel de vídeo Qualcomm

Há uma vulnerabilidade de elevação de privilégio em um driver de kernel de vídeo Qualcomm que pode permitir que um aplicativo local malicioso execute código arbitrário dentro do contexto do kernel. Normalmente, uma vulnerabilidade de execução de código do kernel seria classificada como Crítica, mas como exige primeiro o comprometimento de um serviço que pode chamar o driver, ela é classificada como de gravidade Alta.

CVE Erro Gravidade Versões atualizadas Data relatada
CVE-2016-2410 ANDROID-26291677 * Alto 6.0, 6.0.1 21 de dezembro de 2015

* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

Vulnerabilidade de elevação de privilégio no componente Qualcomm Power Management

Há uma vulnerabilidade de elevação de privilégio em um driver de kernel Qualcomm Power Management que pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Normalmente, um bug de execução de código do kernel como este seria classificado como Crítico, mas como requer primeiro o comprometimento do dispositivo e a elevação para a raiz, é classificado como de severidade Alta.

CVE Erro Gravidade Versões atualizadas Data relatada
CVE-2016-2411 ANDROID-26866053 * Alto 6.0, 6.0.1 28 de janeiro de 2016

* O patch para esse problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

Vulnerabilidade de elevação de privilégio em System_server

Uma vulnerabilidade de elevação de privilégio em System_server pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto de um aplicativo de sistema elevado. Este problema é classificada como alta gravidade, pois poderia ser utilizado para obter capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a um aplicativo de terceiros.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-2412 ANDROID-26593930 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 15 de janeiro de 2016

Elevação da vulnerabilidade de privilégio no Mediaserver

Uma vulnerabilidade de elevação de privilégio no mediaserver pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um aplicativo de sistema elevado. Este problema é classificada como alta gravidade, pois poderia ser utilizado para obter capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a um aplicativo de terceiros.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-2413 ANDROID-26403627 Alto 5.0.2, 5.1.1, 6.0, 6.0.1 5 de janeiro de 2016

Vulnerabilidade de negação de serviço no Minikin

Uma vulnerabilidade de negação de serviço na biblioteca Minikin pode permitir que um invasor local bloqueie temporariamente o acesso a um dispositivo afetado. Um invasor pode fazer com que uma fonte não confiável seja carregada e causar um estouro no componente Minikin, o que leva a um travamento. Isso é classificado como gravidade Alta porque a negação de serviço levaria a um loop de reinicialização contínuo.

CVE Bug com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-2414 ANDROID-26413177 [ 2 ] Alto 5.0.2, 5.1.1, 6.0, 6.0.1 3 de novembro de 2015

Vulnerabilidade de divulgação de informações no Exchange ActiveSync

Uma vulnerabilidade de divulgação de informações no Exchange ActiveSync pode permitir que um aplicativo mal-intencionado local obtenha acesso às informações privadas de um usuário. Esse problema é classificado como de alta gravidade porque permite acesso remoto a dados protegidos.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-2415 ANDROID-26488455 Alto 5.0.2, 5.1.1, 6.0, 6.0.1 11 de janeiro de 2016

Vulnerabilidade de divulgação de informações no Mediaserver

Uma vulnerabilidade de divulgação de informações no Mediaserver pode permitir um desvio das medidas de segurança em vigor para aumentar a dificuldade de invasores que exploram a plataforma. Estas questões são classificadas como de alto gravidade, porque eles também poderiam ser usados para obter capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a aplicativos de terceiros.

CVE Bugs com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-2416 ANDROID-27046057 [ 2 ] Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 de fevereiro de 2016
CVE-2016-2417 ANDROID-26914474 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 1 de fevereiro de 2016
CVE-2016-2418 ANDROID-26324358 Alto 6.0, 6.0.1 24 de dezembro de 2015
CVE-2016-2419 ANDROID-26323455 Alto 6.0, 6.0.1 24 de dezembro de 2015

Elevação da vulnerabilidade de privilégio no componente Debuggerd

Uma vulnerabilidade de elevação de privilégio no componente Debuggerd pode permitir que um aplicativo mal-intencionado local execute código arbitrário que pode levar ao comprometimento permanente do dispositivo. Como resultado, o dispositivo possivelmente precisaria ser reparado atualizando o sistema operacional. Normalmente, um bug de execução de código como este seria classificado como Crítico, mas como permite uma elevação de privilégio do sistema para o root apenas na versão 4.4.4 do Android, ele é classificado como Moderado. Nas versões do Android 5.0 e superiores, as regras do SELinux impedem que aplicativos de terceiros alcancem o código afetado.

CVE Bug com links AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-2420 ANDROID-26403620 [ 2 ] Moderado 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 de janeiro de 2016

Vulnerabilidade de elevação de privilégio no assistente de configuração

Uma vulnerabilidade no Assistente de configuração pode permitir que um invasor ignore a proteção contra redefinição de fábrica e obtenha acesso ao dispositivo. Isso é classificado como gravidade moderada porque potencialmente permite que alguém com acesso físico a um dispositivo ignore a proteção contra redefinição de fábrica, o que permitiria a um invasor redefinir um dispositivo com êxito, apagando todos os dados.

CVE Erro Gravidade Versões atualizadas Data relatada
CVE-2016-2421 ANDROID-26154410 * Moderado 5.1.1, 6.0, 6.0.1 Google interno

* O patch para esse problema não está no AOSP. A atualização está contida na versão binária mais recente para dispositivos Nexus disponível no site Google Developer .

Vulnerabilidade de elevação de privilégio em Wi-Fi

Uma vulnerabilidade de elevação de privilégio no Wi-Fi pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é avaliado como gravidade moderada, pois poderia ser utilizado para obter capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a um aplicativo de terceiros.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-2422 ANDROID-26324357 Moderado 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 23 de dezembro de 2015

Vulnerabilidade de elevação de privilégio em telefonia

Uma vulnerabilidade na telefonia pode permitir que um invasor ignore a proteção contra redefinição de fábrica e obtenha acesso ao dispositivo. Isso é classificado como gravidade moderada porque potencialmente permite que alguém com acesso físico a um dispositivo ignore a proteção contra redefinição de fábrica, o que permitiria a um invasor redefinir um dispositivo com êxito, apagando todos os dados.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-2423 ANDROID-26303187 Moderado 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google interno

Vulnerabilidade de negação de serviço em SyncStorageEngine

Uma vulnerabilidade de negação de serviço em SyncStorageEngine pode permitir que um aplicativo malicioso local cause um loop de reinicialização. Esse problema é classificado como gravidade moderada porque pode ser usado para causar uma negação de serviço temporária local que possivelmente precisaria ser corrigida por meio de uma redefinição de fábrica.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-2424 ANDROID-26513719 Moderado 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google interno

Vulnerabilidade de divulgação de informações em AOSP Mail

Uma vulnerabilidade de divulgação de informações no AOSP Mail pode permitir que um aplicativo malicioso local obtenha acesso às informações privadas de um usuário. Este problema é classificado como gravidade moderada porque pode ser usado para obter indevidamente permissões “perigosas”.

CVE Bugs com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-2425 ANDROID-26989185 Moderado 4.4.4, 5.1.1, 6.0, 6.0.1 29 de janeiro de 2016
CVE-2016-2425 ANDROID-7154234 * Moderado 5.0.2 29 de janeiro de 2016

* O patch para esse problema não está no AOSP. A atualização está contida na versão binária mais recente para dispositivos Nexus disponível no site Google Developer .

Vulnerabilidade de divulgação de informações na estrutura

Uma vulnerabilidade de divulgação de informações no componente Framework pode permitir que um aplicativo acesse informações confidenciais. Esse problema é classificado como gravidade moderada porque pode ser usado para acessar dados indevidamente sem permissão.

CVE Bug com link AOSP Gravidade Versões atualizadas Data relatada
CVE-2016-2426 ANDROID-26094635 Moderado 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 8 de dezembro de 2015

Perguntas e respostas comuns

Esta seção analisa as respostas a perguntas comuns que podem ocorrer após a leitura deste boletim.

1. Como posso determinar se meu dispositivo está atualizado para resolver esses problemas?

Os níveis do patch de segurança de 2 de abril de 2016 ou posterior tratam desses problemas (consulte a documentação do Nexus para obter instruções sobre como verificar o nível do patch de segurança). Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da string de patch para: [ro.build.version.security_patch]: [2016-04-02]

2. Por que este patch de segurança é de nível 2 de abril de 2016?

O nível do patch de segurança para a atualização de segurança mensal é normalmente definido para o primeiro dia do mês. Para abril, um nível de patch de segurança de 1º de abril de 2016 indica que todos os problemas descritos neste boletim, com exceção de CVE-2015-1805, conforme descrito no Android Security Advisory 2016-03-18 foram resolvidos. Um nível de patch de segurança de 2 de abril de 2016 indica que todos os problemas descritos neste boletim, incluindo CVE-2015-1805, conforme descrito no Comunicado de segurança do Android 2016-03-18 foram resolvidos.

Revisões

  • 04 de abril de 2016: Boletim publicado.
  • 6 de abril de 2016: Boletim revisado para incluir links AOSP.
  • 7 de abril de 2016: Boletim revisado para incluir um link AOSP adicional.
  • 11 de julho de 2016: descrição atualizada de CVE-2016-2427.
  • 01 de agosto de 2016: Descrição atualizada de CVE-2016-2427
  • 19 de dezembro de 2016: Atualizado para remover CVE-2016-2427, que foi revertido.