Google setzt sich dafür ein, die Rassengerechtigkeit für schwarze Gemeinschaften zu fördern. Siehe wie.
Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Android Security Bulletin - Mai 2016

Veröffentlicht am 02. Mai 2016 | Aktualisiert am 04. Mai 2016

Das Android Security Bulletin enthält Details zu Sicherheitslücken, die Android-Geräte betreffen. Neben dem Bulletin haben wir ein Sicherheitsupdate für Nexus-Geräte über ein OTA-Update (Over-the-Air) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht . Sicherheits-Patch-Levels vom 01. Mai 2016 oder höher beheben diese Probleme (Anweisungen zum Überprüfen des Sicherheits-Patch-Levels finden Sie in der Nexus-Dokumentation ).

Die Partner wurden am 04. April 2016 oder früher über die im Bulletin beschriebenen Probleme informiert. Gegebenenfalls wurden Quellcode-Patches für diese Probleme im AOSP-Repository (Android Open Source Project) veröffentlicht.

Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Surfen im Internet und MMS bei der Verarbeitung von Mediendateien ermöglichen kann. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Sicherheitsanfälligkeit möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstminderungen sind für Entwicklungszwecke deaktiviert oder werden erfolgreich umgangen.

Wir haben keine Berichte über die aktive Ausbeutung oder den Missbrauch dieser neu gemeldeten Probleme durch Kunden erhalten. Weitere Informationen zum Schutz der Android-Sicherheitsplattform und zum Schutz von Diensten wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Android- und Google- Dienstminderungen.

Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.

Ankündigungen

  • Um einen breiteren Fokus widerzuspiegeln, haben wir dieses Bulletin (und alle folgenden in der Reihe) in Android Security Bulletin umbenannt. Diese Bulletins umfassen ein breiteres Spektrum von Sicherheitslücken, die Android-Geräte betreffen können, auch wenn sie Nexus-Geräte nicht betreffen.
  • Wir haben die Schweregrade für Android-Sicherheit aktualisiert. Diese Änderungen sind das Ergebnis von Daten, die in den letzten sechs Monaten zu gemeldeten Sicherheitslücken gesammelt wurden, und zielen darauf ab, die Schweregrade enger an die tatsächlichen Auswirkungen auf die Benutzer anzupassen.

Mitigationen für Android- und Google-Dienste

Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform bereitgestellten Maßnahmen und des Schutzes von Diensten wie SafetyNet. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken unter Android erfolgreich ausgenutzt werden können.

  • Die Nutzung vieler Probleme unter Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht mit Verify Apps und SafetyNet aktiv auf Missbrauch, um Benutzer vor potenziell schädlichen Anwendungen zu warnen. Überprüfen Sie, ob Apps auf Geräten mit Google Mobile Services standardmäßig aktiviert sind. Dies ist besonders wichtig für Benutzer, die Anwendungen von außerhalb von Google Play installieren. Geräte-Rooting-Tools sind in Google Play verboten. Verify Apps warnt Benutzer jedoch, wenn sie versuchen, eine erkannte Rooting-Anwendung zu installieren - unabhängig davon, woher sie stammt. Darüber hinaus versucht Verify Apps, die Installation bekannter schädlicher Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitsanfälligkeit bezüglich der Eskalation von Berechtigungen ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, die erkannte Anwendung zu entfernen.
  • Gegebenenfalls übergeben Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie den Medienserver.

Danksagung

Wir möchten diesen Forschern für ihre Beiträge danken:

  • Abhishek Arya, Oliver Chang und Martin Barbella vom Google Chrome Security Team: CVE-2016-2454
  • Andy Tyler ( @ticarpi ) von e2e-assure : CVE-2016-2457
  • Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team : CVE-2016-2441, CVE-2016-2442
  • Dzmitry Lukyanenka ( www.linkedin.com/in/dzima ): CVE-2016-2458
  • Gal Beniamini: CVE-2016-2431
  • Hao Chen vom Vulpecker-Team, Qihoo 360 Technology Co. Ltd: CVE-2016-2456
  • Jake Valletta von Mandiant, einem FireEye-Unternehmen: CVE-2016-2060
  • Jianqiang Zhao ( @jianqiangzhao ) und pjf ( weibo.com/jfpan ) von IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, CVE-2016-2442, CVE-2016-2444, CVE-2016-2445, CVE-2016-2446
  • Imre Rad von Search-Lab Ltd . : CVE-2016-4477
  • Jeremy C. Joslin von Google: CVE-2016-2461
  • Kenny Root von Google: CVE-2016-2462
  • Marco Grassi ( @marcograss ) von KeenLab ( @keen_lab ), Tencent: CVE-2016-2443
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2016-2440
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team : CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451, CVE-2016-2452
  • Peter Pi ( @heisecode ) von Trend Micro: CVE-2016-2459, CVE-2016-2460
  • Weichao Sun ( @sunblate ) von Alibaba Inc.: CVE-2016-2428, CVE-2016-2429
  • Yuan-Tsung Lo , Lubo Zhang , Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team : CVE-2016-2437
  • Yulong Zhang und Tao (Lenx) Wei vom Baidu X-Lab: CVE-2016-2439
  • Zach Riggle ( @ ebeip90 ) vom Android-Sicherheitsteam: CVE-2016-2430

Details zu Sicherheitslücken

In den folgenden Abschnitten finden Sie Details zu den Sicherheitslücken, die für die Patch-Version 2016-05-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung des Schweregrads und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, aktualisierten Nexus-Geräten, aktualisierten AOSP-Versionen (falls zutreffend) und dem gemeldeten Datum. Wenn verfügbar, verknüpfen wir die AOSP-Änderung, mit der das Problem behoben wurde, mit der Fehler-ID. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern verknüpft, die auf die Fehler-ID folgen.

Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Mediaserver

Während der Verarbeitung von Mediendateien und Daten einer speziell gestalteten Datei kann eine Sicherheitsanfälligkeit im Mediaserver dazu führen, dass ein Angreifer als Mediaserver-Prozess Speicherbeschädigungen und Remotecodeausführung verursacht.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, mit denen sie mit Remote-Inhalten erreicht werden kann, insbesondere mit MMS und der Browser-Wiedergabe von Medien.

Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Dienstes als kritischer Schweregrad eingestuft. Der Mediaserver-Dienst hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-2428 26751339 Kritisch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22. Januar 2016
CVE-2016-2429 27211885 Kritisch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16. Februar 2016

Erhöhung der Sicherheitsanfälligkeit in Debuggerd

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im integrierten Android-Debugger kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Android-Debuggers auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritischer Schweregrad eingestuft, der möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-2430 27299236 Kritisch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22. Februar 2016

Erhöhung der Sicherheitsanfälligkeit in Privcomm TrustZone

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Qualcomm TrustZone-Komponente kann es einer sicheren lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des TrustZone-Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritischer Schweregrad eingestuft, der möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2431 24968809 * Kritisch Nexus 5, Nexus 6, Nexus 7 (2013), Android One 15. Oktober 2015
CVE-2016-2432 25913059 * Kritisch Nexus 6, Android One 28. November 2015

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit für Berechtigungen im Qualcomm Wi-Fi-Treiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Qualcomm Wi-Fi-Treiber kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen Eskalation von Berechtigungen und der Ausführung von willkürlichem Code als kritischer Schweregrad eingestuft, was zur Möglichkeit eines lokalen permanenten Gerätekompromisses führt, der möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2015-0569 26754117 * Kritisch Nexus 5X, Nexus 7 (2013) 23. Januar 2016
CVE-2015-0570 26764809 * Kritisch Nexus 5X, Nexus 7 (2013) 25. Januar 2016

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in NVIDIA-Videotreibern

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im NVIDIA-Grafiktreiber kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritischer Schweregrad eingestuft, der möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2434 27251090 * Kritisch Nexus 9 17. Februar 2016
CVE-2016-2435 27297988 * Kritisch Nexus 9 20. Februar 2016
CVE-2016-2436 27299111 * Kritisch Nexus 9 22. Februar 2016
CVE-2016-2437 27436822 * Kritisch Nexus 9 1. März 2016

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit im Kernel

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Kernel kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen Eskalation von Berechtigungen und der Ausführung von willkürlichem Code als kritischer Schweregrad eingestuft, was zur Möglichkeit eines lokalen permanenten Gerätekompromisses führt, der möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht. Dieses Problem wurde in Android Security Advisory 2016-03-18 beschrieben .

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2015-1805 27275324 * Kritisch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9 19. Februar 2016

* Der Patch in AOSP ist für bestimmte Kernelversionen verfügbar: 3.14 , 3.10 und 3.4 .

Sicherheitsanfälligkeit bezüglich Remotecodeausführung im Kernel

Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung im Audio-Subsystem kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Normalerweise wird ein Kernel-Code-Ausführungsfehler wie dieser als kritisch eingestuft. Da jedoch zunächst ein privilegierter Dienst kompromittiert werden muss, um das Audio-Subsystem aufzurufen, wird er als hoch eingestuft.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2438 26636060 * Hoch Nexus 9 Google Intern

* Der Patch für dieses Problem ist in Linux Upstream verfügbar.

Sicherheitsanfälligkeit in Bezug auf die Offenlegung von Informationen in Qualcomm Tethering Controller

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen im Qualcomm Tethering-Controller kann es einer lokalen böswilligen Anwendung ermöglichen, ohne die entsprechenden Berechtigungen auf personenbezogene Daten zuzugreifen. Dieses Problem wird als hoher Schweregrad eingestuft, da damit erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen erworben werden können, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2060 27942588 * Hoch Keiner 23. März 2016

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update sollte in den neuesten Treibern der betroffenen Geräte enthalten sein.

Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Bluetooth

Während des Pairings eines Bluetooth-Geräts kann eine Sicherheitsanfälligkeit in Bluetooth einem proximalen Angreifer ermöglichen, während des Pairing-Vorgangs beliebigen Code auszuführen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung während der Initialisierung eines Bluetooth-Geräts als hochgradig eingestuft.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-2439 27411268 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28. Februar 2016

Erhöhung der Sicherheitsanfälligkeit in Binder

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in Binder kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Prozesses einer anderen App auszuführen. Während der Speicherfreigabe kann eine Sicherheitsanfälligkeit im Ordner einem Angreifer ermöglichen, die Ausführung von lokalem Code zu verursachen. Dieses Problem wird aufgrund der Möglichkeit der Ausführung von lokalem Code während des Prozesses des freien Speichers im Binder als hochgradig eingestuft.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-2440 27252896 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 18. Februar 2016

Erhöhung der Sicherheitsanfälligkeit für Berechtigungen im Qualcomm Buspm-Treiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Qualcomm-Buspm-Treiber kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Normalerweise wird ein Kernel-Code-Ausführungsfehler wie dieser als kritisch eingestuft. Da jedoch zunächst ein Dienst kompromittiert werden muss, der den Treiber aufrufen kann, wird er als hochgradig eingestuft.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2441 26354602 * Hoch Nexus 5X, Nexus 6, Nexus 6P 30. Dezember 2015
CVE-2016-2442 26494907 * Hoch Nexus 5X, Nexus 6, Nexus 6P 30. Dezember 2015

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Berechtigungen im Qualcomm MDP-Treiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Qualcomm-MDP-Treiber kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Normalerweise wird ein Kernel-Code-Ausführungsfehler wie dieser als kritisch eingestuft. Da jedoch zunächst ein Dienst kompromittiert werden muss, der den Treiber aufrufen kann, wird er als hochgradig eingestuft.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2443 26404525 * Hoch Nexus 5, Nexus 7 (2013) 5. Januar 2016

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit für Berechtigungen im Qualcomm Wi-Fi-Treiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Qualcomm Wi-Fi-Komponente kann es einer lokalen böswilligen Anwendung ermöglichen, Systemaufrufe aufzurufen, die die Geräteeinstellungen und das Verhalten ändern, ohne die entsprechenden Berechtigungen zu haben. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden kann, um lokalen Zugriff auf erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2015-0571 26763920 * Hoch Nexus 5X, Nexus 7 (2013) 25. Januar 2016

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in NVIDIA-Videotreibern

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im NVIDIA-Medientreiber kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Normalerweise wird ein Kernel-Code-Ausführungsfehler wie dieser als kritisch eingestuft. Da jedoch zunächst ein Dienst mit hohen Berechtigungen kompromittiert werden muss, um den Treiber aufzurufen, wird er als hoch eingestuft.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2444 27208332 * Hoch Nexus 9 16. Februar 2016
CVE-2016-2445 27253079 * Hoch Nexus 9 17. Februar 2016
CVE-2016-2446 27441354 * Hoch Nexus 9 1. März 2016

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Wi-Fi

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in Wi-Fi kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext einer Anwendung mit erhöhtem System auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da es auch verwendet werden kann, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.

Hinweis : Die CVE-Nummer wurde gemäß MITRE-Anforderung von CVE-2016-2447 auf CVE-2016-4477 aktualisiert.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-4477 27371366 [ 2 ] Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24. Februar 2016

Erhöhung der Sicherheitsanfälligkeit in Mediaserver

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in Mediaserver kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext einer Anwendung mit erhöhtem System auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da damit erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen erworben werden können, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-2448 27533704 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7. März 2016
CVE-2016-2449 27568958 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9. März 2016
CVE-2016-2450 27569635 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9. März 2016
CVE-2016-2451 27597103 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10. März 2016
CVE-2016-2452 27662364 [ 2 ] [ 3 ] Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14. März 2016

Erhöhung der Sicherheitsanfälligkeit in Bezug auf Berechtigungen im MediaTek Wi-Fi-Treiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im MediaTek Wi-Fi-Treiber kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Normalerweise wird ein Kernel-Code-Ausführungsfehler wie dieser als kritisch eingestuft. Da jedoch zunächst ein Dienst kompromittiert werden muss, der den Treiber aufrufen kann, wird er als hochgradig eingestuft.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2453 27549705 * Hoch Android One 8. März 2016

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Remote-Denial-of-Service-Sicherheitsanfälligkeit im Qualcomm-Hardware-Codec

Während der Verarbeitung von Mediendateien und Daten einer speziell gestalteten Datei kann eine Remote-Denial-of-Service-Sicherheitsanfälligkeit im Qualcomm-Hardware-Videocodec einem Remoteangreifer ermöglichen, den Zugriff auf ein betroffenes Gerät zu blockieren, indem ein Neustart des Geräts verursacht wird. Dies wird aufgrund der Möglichkeit eines Remote-Denial-of-Service als hoher Schweregrad eingestuft.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2454 26221024 * Hoch Nexus 5 16. Dezember 2015

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Conscrypt

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in Conscrypt kann es einer lokalen Anwendung ermöglichen, zu glauben, dass eine Nachricht authentifiziert wurde, wenn dies nicht der Fall war. Dieses Problem wird als mittelschwer eingestuft, da koordinierte Schritte auf mehreren Geräten erforderlich sind.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-2461 27324690 [ 2 ] Mäßig Alles Nexus 6.0, 6.0.1 Google Intern
CVE-2016-2462 27371173 Mäßig Alles Nexus 6.0, 6.0.1 Google Intern

Erhöhung der Sicherheitsanfälligkeit in OpenSSL & BoringSSL

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in OpenSSL und BoringSSL kann es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Normalerweise wird dies als hoch eingestuft. Da jedoch eine ungewöhnliche manuelle Konfiguration erforderlich ist, wird es als mittelschwer eingestuft.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-0705 27449871 Mäßig Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7. Februar 2016

Erhöhung der Sicherheitsanfälligkeit in Bezug auf Berechtigungen im MediaTek Wi-Fi-Treiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im MediaTek Wi-Fi-Treiber kann es einer lokalen bösartigen Anwendung ermöglichen, einen Denial-of-Service zu verursachen. Normalerweise wird ein solcher Fehler zum Erhöhen von Berechtigungen als hoch eingestuft. Da jedoch zuerst ein Systemdienst kompromittiert werden muss, wird er als mittelschwer eingestuft.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2456 27275187 * Mäßig Android One 19. Februar 2016

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Wi-Fi

Durch eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in Wi-Fi kann ein Gastkonto die Wi-Fi-Einstellungen ändern, die für den primären Benutzer bestehen bleiben. Dieses Problem wird als mittelschwer eingestuft, da es den lokalen Zugriff auf " gefährliche " Funktionen ohne Erlaubnis ermöglicht.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-2457 27411179 Mäßig Alles Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 29. Februar 2016

Sicherheitslücke bei der Offenlegung von Informationen in AOSP Mail

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in AOSP Mail kann es einer lokalen bösartigen Anwendung ermöglichen, auf die privaten Informationen des Benutzers zuzugreifen. Dieses Problem wird als mittelschwer eingestuft, da es verwendet werden kann, um ohne Erlaubnis nicht ordnungsgemäß auf Daten zuzugreifen.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-2458 27335139 [ 2 ] Mäßig Alles Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 23. Februar 2016

Sicherheitslücke bei der Offenlegung von Informationen in Mediaserver

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in Mediaserver kann es einer Anwendung ermöglichen, auf vertrauliche Informationen zuzugreifen. Dieses Problem wird als mittelschwer eingestuft, da es verwendet werden kann, um ohne Erlaubnis nicht ordnungsgemäß auf Daten zuzugreifen.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-2459 27556038 Mäßig Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7. März 2016
CVE-2016-2460 27555981 Mäßig Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7. März 2016

Denial-of-Service-Sicherheitsanfälligkeit im Kernel

Eine Denial-of-Service-Sicherheitsanfälligkeit im Kernel kann dazu führen, dass eine lokale schädliche Anwendung einen Neustart des Geräts verursacht. Dieses Problem wird als niedriger Schweregrad eingestuft, da es sich um einen vorübergehenden Denial-of-Service handelt.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-0774 27721803 * Niedrig Alles Nexus 17. März 2016

* Der Patch für dieses Problem ist in Linux Upstream verfügbar.

Häufige Fragen und Antworten

In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Bulletins auftreten können.

1. Wie stelle ich fest, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?

Sicherheits-Patch-Levels vom 01. Mai 2016 oder höher beheben diese Probleme (Anweisungen zum Überprüfen des Sicherheits-Patch-Levels finden Sie in der Nexus-Dokumentation ). Gerätehersteller, die diese Updates enthalten, sollten die Patch-Zeichenfolge auf Folgendes einstellen: [ro.build.version.security_patch]: [2016-05-01]

2. Wie bestimme ich, welche Nexus-Geräte von den einzelnen Problemen betroffen sind?

Im Abschnitt Details zur Sicherheitsanfälligkeit enthält jede Tabelle eine Spalte "Aktualisierte Nexus-Geräte", die den Bereich der betroffenen Nexus-Geräte abdeckt, die für jedes Problem aktualisiert wurden. Diese Spalte enthält einige Optionen:

  • Alle Nexus-Geräte : Wenn ein Problem alle Nexus-Geräte betrifft, enthält die Tabelle in der Spalte Aktualisierte Nexus-Geräte Alle Nexus-Geräte . Alle Nexus- Geräte enthalten die folgenden unterstützten Geräte : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player und Pixel C.
  • Einige Nexus-Geräte : Wenn ein Problem nicht alle Nexus-Geräte betrifft, werden die betroffenen Nexus-Geräte in der Spalte Aktualisierte Nexus-Geräte aufgelistet.
  • Keine Nexus-Geräte : Wenn keine Nexus-Geräte von dem Problem betroffen sind, wird in der Spalte " Aktualisierte Nexus-Geräte " in der Tabelle "Keine" angezeigt .

3. Warum ist CVE-2015-1805 in diesem Bulletin enthalten?

CVE-2015-1805 ist in diesem Bulletin enthalten, da das Android Security Advisory (2016-03-18) sehr kurz vor der Veröffentlichung des April-Bulletins veröffentlicht wurde. Aufgrund des engen Zeitplans hatten Gerätehersteller die Möglichkeit, Korrekturen aus dem Nexus Security Bulletin (April 2016 ) ohne die Korrektur für CVE-2015-1805 zu versenden, wenn sie die Sicherheits-Patch-Stufe vom 01. April 2016 verwendeten. Es ist wieder in diesem Bulletin enthalten, da es behoben werden muss, um die Sicherheits-Patch-Stufe vom 01. Mai 2016 verwenden zu können.

Überarbeitungen

  • 02. Mai 2016: Bulletin veröffentlicht.
  • 04. Mai 2016:
    • Bulletin überarbeitet, um AOSP-Links aufzunehmen.
    • Liste aller Nexus-Geräte, die mit Nexus Player und Pixel C aktualisiert wurden.
    • CVE-2016-2447 auf MITE-Anfrage auf CVE-2016-4477 aktualisiert.