Бюллетень по безопасности Nexus – апрель 2016 г.

Опубликовано 4 апреля 2016 г. | Обновлено 19 декабря 2016 г.

К выходу ежемесячного бюллетеня по безопасности Android мы выпустили автоматическое обновление системы безопасности для устройств Nexus и опубликовали образы прошивок Nexus на сайте для разработчиков. Перечисленные проблемы устранены в исправлении от 2 апреля 2016 года или более новом. О том, как узнать дату последнего обновления системы безопасности, рассказывается в документации Nexus.

Мы сообщили партнерам об уязвимостях 16 марта 2016 года или ранее. Исправления проблем загружены в хранилище Android Open Source Project (AOSP).

Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS). Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

Узнать больше о том, как уязвимость CVE-2015-1805 используется рутинг-приложением, можно из Примечания по безопасности Android от 18 марта 2016 г. В этом обновлении она устранена. У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android.

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

  • В новых версиях Android использование многих уязвимостей затрудняется, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг-приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже установлено, система уведомит об этом пользователя и попытается удалить приложение.
  • Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

Команда безопасности Android также благодарит тех, кто предоставил информацию об уязвимости CVE-2015-1805: Юань-Цун Ло, Венькэ Доу, Чиачи У (@chiachih_wu) и Сюйсянь Цзяна из C0RE Team, а также Zimperium.

Описание уязвимостей

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2016-04-02: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми версиями и датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на сообщение в AOSP, связанное с идентификатором ошибки, и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода через dhcpcd

Уязвимость в сервисе DHCP позволяет злоумышленнику нарушить целостность информации в памяти и удаленно выполнить код. Из-за этого ей присвоен критический уровень. У сервиса DHCP есть доступ к привилегиям, закрытым для сторонних приложений.

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2014-6060 ANDROID-15268738 Критический 4.4.4 30 июля 2014 г.
CVE-2014-6060 ANDROID-16677003 Критический 4.4.4 30 июля 2014 г.
CVE-2016-1503 ANDROID-26461634 Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 4 января 2016 г.

Удаленное выполнение кода через медиакодек

При обработке медиафайлов и данных в специально созданном файле злоумышленник может воспользоваться уязвимостью медиакодека для mediaserver, нарушить целостность информации в памяти и удаленно выполнить код как процесс mediaserver.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE Ошибка Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0834 ANDROID-26220548* Критический 6.0, 6.0.1 16 декабря 2015 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Удаленное выполнение кода через mediaserver

При обработке медиафайлов и данных в специально созданном файле злоумышленник может воспользоваться уязвимостью mediaserver, нарушить целостность информации в памяти и удаленно выполнить код как процесс mediaserver.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0835 ANDROID-26070014 [2] Критический 6.0, 6.0.1 6 декабря 2015 г.
CVE-2016-0836 ANDROID-25812590 Критический 6.0, 6.0.1 19 ноября 2015 г.
CVE-2016-0837 ANDROID-27208621 Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 февраля 2016 г.
CVE-2016-0838 ANDROID-26366256 [2] Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google
CVE-2016-0839 ANDROID-25753245 Критический 6.0, 6.0.1 Доступно только сотрудникам Google
CVE-2016-0840 ANDROID-26399350 Критический 6.0, 6.0.1 Доступно только сотрудникам Google
CVE-2016-0841 ANDROID-26040840 Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google

Удаленное выполнение кода через libstagefright

При обработке медиафайлов и данных в специально созданном файле злоумышленник может воспользоваться уязвимостью libstagefright, нарушить целостность информации в памяти и удаленно выполнить код как процесс mediaserver.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE Ошибка со ссылкой на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0842 ANDROID-25818142 Критический 6.0, 6.0.1 23 ноября 2015 г.

Повышение привилегий через ядро

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень, поскольку из-за нее нарушается работа системы безопасности. Для устранения проблемы нужно переустановить ОС. Узнайте больше об этой уязвимости в Примечании по безопасности Android от 18 марта 2016 г.

CVE Ошибка Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2015-1805 ANDROID-27275324* Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19 февраля 2016 г.

*Исправление опубликовано в AOSP для следующих версий ядра: 3.14, 3.10 и 3.4.

Повышение привилегий через модуль производительности процессора Qualcomm

Уязвимость обнаружена в диспетчере событий производительности для ARM-процессоров Qualcomm. Она позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Уязвимости присвоен критический уровень, поскольку из-за нее нарушается работа системы безопасности. Для устранения проблемы нужно переустановить ОС.

CVE Ошибка Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0843 ANDROID-25801197* Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19 ноября 2015 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через RF-компонент процессора Qualcomm

Уязвимость RF-драйвера Qualcomm позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен критический уровень, поскольку из-за нее нарушается работа системы безопасности. Для устранения уязвимости нужно переустановить ОС.

CVE Ошибка со ссылкой на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0844 ANDROID-26324307* Критический 6.0, 6.0.1 25 декабря 2015 г.

*Дополнительное исправление опубликовано в сообществе Linux.

Повышение привилегий через ядро

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Уязвимости присвоен критический уровень, поскольку из-за нее нарушается работа системы безопасности. Для устранения проблемы нужно переустановить ОС.

CVE Ошибка со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2014-9322 ANDROID-26927260 [2] [3]
[4] [5] [6] [7] [8] [9] [10] [11]
Критический 6.0, 6.0.1 25 декабря 2015 г.

Повышение привилегий через IMemory Native Interface

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибка со ссылкой на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0846 ANDROID-26877992 Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 января 2016 г.

Повышение привилегий через компонент Telecom

Уязвимость позволяет злоумышленнику совершать вызовы, меняя номер звонящего на произвольный. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибка со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0847 ANDROID-26864502 [2] Высокий 5.0.2, 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google

Повышение привилегий через диспетчер загрузки

Уязвимость обнаружена в диспетчере загрузки. Она позволяет получить доступ к неавторизованным файлам в личном хранилище. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибка со ссылкой на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0848 ANDROID-26211054 Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 декабря 2015 г.

Повышение привилегий во время процесса восстановления

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибка со ссылкой на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0849 ANDROID-26960931 Высокий 5.0.2, 5.1.1, 6.0, 6.0.1 3 февраля 2016 г.

Повышение привилегий через Bluetooth

Уязвимость обнаружена в Bluetooth. Она позволяет ненадежному устройству подсоединиться к телефону во время первоначальной процедуры подключения. Это дает злоумышленнику неавторизованный доступ к ресурсам устройства, например к интернет-подключению. Уязвимости присвоен высокий уровень серьезности, поскольку она позволяет получить возможности, недоступные ненадежным устройствам.

CVE Ошибка со ссылкой на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-0850 ANDROID-26551752 Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 13 января 2016 г.

Повышение привилегий через драйвер виброотклика Texas Instruments

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень, но в этом случае уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер, поэтому уровень был снижен до высокого.

CVE Ошибка Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-2409 ANDROID-25981545* Высокий 6.0, 6.0.1 25 декабря 2015 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через видеодрайвер ядра Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень, но в этом случае уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер, поэтому уровень был снижен до высокого.

CVE Ошибка Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-2410 ANDROID-26291677* Высокий 6.0, 6.0.1 21 декабря 2015 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через компонент управления питанием Qualcomm

Уязвимость обнаружена в драйвере управления питанием ядра Qualcomm. Она позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень, но в этом случае уязвимость требует сначала нарушить защиту устройства и получить root-права, поэтому уровень был снижен до высокого.

CVE Ошибка Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-2411 ANDROID-26866053* Высокий 6.0, 6.0.1 28 января 2016 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через system_server

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибка со ссылкой на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-2412 ANDROID-26593930 Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 15 января 2016 г.

Повышение привилегий через mediaserver

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибка со ссылкой на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-2413 ANDROID-26403627 Высокий 5.0.2, 5.1.1, 6.0, 6.0.1 5 января 2016 г.

Отказ в обслуживании в Minikin

Уязвимость в библиотеке Minikin позволяет локальному взломщику временно заблокировать доступ к пораженному устройству. Злоумышленник может инициировать загрузку ненадежного шрифта, что вызовет переполнение Minikin и сбой в работе устройства. Уязвимости присвоен высокий уровень серьезности, поскольку из-за отказа в обслуживании начинается бесконечная цепочка перезагрузок устройства.

CVE Ошибка со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-2414 ANDROID-26413177 [2] Высокий 5.0.2, 5.1.1, 6.0, 6.0.1 3 ноября 2015 г.

Раскрытие информации через Exchange ActiveSync

Уязвимость позволяет локальному вредоносному ПО получить удаленный доступ к конфиденциальным данным пользователя. Из-за этого ей присвоен высокий уровень серьезности.

CVE Ошибка со ссылкой на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-2415 ANDROID-26488455 Высокий 5.0.2, 5.1.1, 6.0, 6.0.1 11 января 2016 г.

Раскрытие информации через mediaserver

Уязвимость позволяет обойти защиту, предотвращающую атаки на платформу, и раскрыть конфиденциальную информацию. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно также получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-2416 ANDROID-27046057 [2] Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 февраля 2016 г.
CVE-2016-2417 ANDROID-26914474 Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 1 февраля 2016 г.
CVE-2016-2418 ANDROID-26324358 Высокий 6.0, 6.0.1 24 декабря 2015 г.
CVE-2016-2419 ANDROID-26323455 Высокий 6.0, 6.0.1 24 декабря 2015 г.

Повышение привилегий через компонент Debuggerd

Уязвимость компонента Debuggerd позволяет локальному вредоносному ПО выполнять произвольный код на устройстве. Из-за этого нарушается работа системы безопасности. Для устранения проблемы нужно переустановить ОС. Как правило, таким ошибкам присваивают критический уровень, но в этом случае уязвимость присутствует только в версии Android 4.4.4, поэтому уровень был снижен до среднего. В Android 5.0 и более поздних версиях правила SELinux не позволяют сторонним приложениям оперировать с кодом.

CVE Ошибка со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-2420 ANDROID-26403620 [2] Средний 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 января 2016 г.

Повышение привилегий через мастер настройки

Уязвимость позволяет злоумышленнику, в руки которого попало устройство, получить доступ к настройкам и выполнить их сброс. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно обойти защиту от сброса.

CVE Ошибка Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-2421 ANDROID-26154410* Средний 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через Wi-Fi

Уязвимость Wi-Fi позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибка со ссылкой на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-2422 ANDROID-26324357 Средний 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 23 декабря 2015 г.

Повышение привилегий через телефонную связь

Уязвимость позволяет злоумышленнику, в руки которого попало устройство, получить доступ к настройкам и выполнить их сброс. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно обойти защиту от сброса.

CVE Ошибка со ссылкой на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-2423 ANDROID-26303187 Средний 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google

Отказ в обслуживании в SyncStorageEngine

Уязвимость позволяет локальному вредоносному ПО вызвать бесконечную цепочку перезагрузок устройства. Уязвимости присвоен средний уровень серьезности, поскольку из-за нее может произойти отказ в обслуживании. Для устранения проблемы нужно сбросить настройки устройства.

CVE Ошибка со ссылкой на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-2424 ANDROID-26513719 Средний 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google

Раскрытие информации через почтовый клиент AOSP

Уязвимость позволяет локальному вредоносному ПО получить доступ к конфиденциальным данным пользователя. Ей присвоен средний уровень серьезности, поскольку с ее помощью можно получить разрешения уровня dangerous (опасные).

CVE Ошибки со ссылками на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-2425 ANDROID-26989185 Средний 4.4.4, 5.1.1, 6.0, 6.0.1 29 января 2016 г.
CVE-2016-2425 ANDROID-7154234* Средний 5.0.2 29 января 2016 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Раскрытие информации через Framework

Уязвимость компонента Framework позволяет ПО получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний уровень серьезности.

CVE Ошибка со ссылкой на AOSP Уровень серьезности Версии, получившие обновление системы безопасности Дата сообщения об ошибке
CVE-2016-2426 ANDROID-26094635 Средний 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 8 декабря 2015 г.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Перечисленные проблемы устранены в исправлении от 2 апреля 2016 года или более новом. О том, как узнать дату последнего обновления системы безопасности, рассказывается в документации Nexus. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2016-04-02].

2. Почему 2 апреля 2016 года вышло дополнительное исправление?

Обычно исправления в системе безопасности появляются 1-го числа каждого месяца. В апреле такое исправление включало в себя решение всех проблем, описанных в этом бюллетене, за исключением уязвимости CVE-2015-1805. Узнать о ней больше можно в Примечании по безопасности Android от 18 марта 2016 года. В исправлении от 2 апреля 2016 года все описанные выше уязвимости, включая CVE-2015-1805, устранены.

Версии

  • 4 апреля 2016 года. Бюллетень опубликован.
  • 6 апреля 2016 года. Добавлены ссылки на AOSP.
  • 7 апреля 2016 года. Добавлена дополнительная ссылка на AOSP.
  • 11 июля 2016 года. Обновлено описание CVE-2016-2427.
  • 1 августа 2016 года. Обновлено описание CVE-2016-2427.
  • 19 декабря 2016 года. Удалены сведения об уязвимости CVE-2016-2427, поскольку она была добавлена по ошибке.