Google berkomitmen untuk mendorong terwujudnya keadilan ras bagi komunitas Kulit Hitam. Lihat caranya.

Buletin Keamanan Android—Mei 2016

Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Diterbitkan 02 Mei 2016 | Diperbarui 04 Mei 2016

Buletin Keamanan Android berisi detail kerentanan keamanan yang memengaruhi perangkat Android. Bersamaan dengan buletin, kami telah merilis pembaruan keamanan untuk perangkat Nexus melalui pembaruan over-the-air (OTA). Gambar firmware Nexus juga telah dirilis ke situs Pengembang Google . Tingkat Patch Keamanan 01 Mei 2016 atau lebih baru mengatasi masalah ini (lihat dokumentasi Nexus untuk petunjuk tentang cara memeriksa tingkat patch keamanan).

Mitra diberi tahu tentang masalah yang dijelaskan dalam buletin pada 04 April 2016 atau sebelumnya. Jika berlaku, patch kode sumber untuk masalah ini telah dirilis ke repositori Android Open Source Project (AOSP).

Yang paling parah dari masalah ini adalah kerentanan keamanan Kritis yang dapat mengaktifkan eksekusi kode jarak jauh pada perangkat yang terpengaruh melalui beberapa metode seperti email, penelusuran web, dan MMS saat memproses file media. Penilaian tingkat keparahan didasarkan pada efek eksploitasi kerentanan yang mungkin terjadi pada perangkat yang terpengaruh, dengan asumsi platform dan mitigasi layanan dinonaktifkan untuk tujuan pengembangan atau jika berhasil dilewati.

Kami tidak memiliki laporan tentang eksploitasi atau penyalahgunaan pelanggan aktif atas masalah yang baru dilaporkan ini. Lihat bagian Mitigasi Layanan Android dan Google untuk detail tentang perlindungan platform keamanan Android dan perlindungan layanan seperti SafetyNet, yang meningkatkan keamanan platform Android.

Kami mendorong semua pelanggan untuk menerima pembaruan ini ke perangkat mereka.

Pengumuman

  • Untuk mencerminkan fokus yang lebih luas, kami mengganti nama buletin ini (dan semua yang mengikuti seri ini) menjadi Buletin Keamanan Android. Buletin ini mencakup kerentanan yang lebih luas yang dapat memengaruhi perangkat Android, meskipun tidak memengaruhi perangkat Nexus.
  • Kami memperbarui peringkat keparahan Keamanan Android . Perubahan ini adalah hasil dari data yang dikumpulkan selama enam bulan terakhir tentang kerentanan keamanan yang dilaporkan dan bertujuan untuk menyelaraskan tingkat keparahan lebih dekat dengan dampak dunia nyata bagi pengguna.

Mitigasi Layanan Android dan Google

Ini adalah ringkasan mitigasi yang disediakan oleh platform keamanan Android dan perlindungan layanan seperti SafetyNet. Kemampuan ini mengurangi kemungkinan kerentanan keamanan berhasil dieksploitasi di Android.

  • Eksploitasi untuk banyak masalah di Android menjadi lebih sulit dengan peningkatan versi platform Android yang lebih baru. Kami mendorong semua pengguna untuk memperbarui ke versi Android terbaru jika memungkinkan.
  • Tim Keamanan Android secara aktif memantau penyalahgunaan dengan Verify Apps dan SafetyNet , yang dirancang untuk memperingatkan pengguna tentang Aplikasi yang Berpotensi Berbahaya . Verifikasi Aplikasi diaktifkan secara default pada perangkat dengan Layanan Seluler Google , dan sangat penting bagi pengguna yang memasang aplikasi dari luar Google Play. Alat rooting perangkat dilarang di Google Play, tetapi Verify Apps memperingatkan pengguna saat mereka mencoba menginstal aplikasi rooting yang terdeteksi—dari mana pun asalnya. Selain itu, Verifikasi Aplikasi berupaya mengidentifikasi dan memblokir pemasangan aplikasi berbahaya yang diketahui yang mengeksploitasi kerentanan eskalasi hak istimewa. Jika aplikasi tersebut telah diinstal, Verify Apps akan memberi tahu pengguna dan mencoba menghapus aplikasi yang terdeteksi.
  • Jika sesuai, aplikasi Google Hangouts dan Messenger tidak secara otomatis meneruskan media ke proses seperti server media.

Ucapan Terima Kasih

Kami ingin mengucapkan terima kasih kepada para peneliti ini atas kontribusi mereka:

  • Abhishek Arya, Oliver Chang, dan Martin Barbella dari Tim Keamanan Google Chrome: CVE-2016-2454
  • Andy Tyler ( @ticarpi ) dari e2e-assure : CVE-2016-2457
  • Chiachih Wu ( @chiachih_wu ) dan Xuxian Jiang dari Tim C0RE : CVE-2016-2441, CVE-2016-2442
  • Dzmitry Lukyanenka ( www.linkedin.com/in/dzima ): CVE-2016-2458
  • Gal Beniamini: CVE-2016-2431
  • Hao Chen dari Tim Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2016-2456
  • Jake Valletta dari Mandiant, sebuah perusahaan FireEye: CVE-2016-2060
  • Jianqiang Zhao ( @jianqiangzhao ) dan pjf ( weibo.com/jfpan ) dari IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, CVE-2016-2442, CVE-2016-2444, CVE-2016-2445, CVE-2016-2446
  • Imre Rad dari Search-Lab Ltd. : CVE-2016-4477
  • Jeremy C. Joslin dari Google: CVE-2016-2461
  • Kenny Root dari Google: CVE-2016-2462
  • Marco Grassi ( @marcograss ) dari KeenLab ( @keen_lab ), Tencent: CVE-2016-2443
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2016-2440
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), dan Xuxian Jiang dari Tim C0RE : CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451, CVE-2016-2452
  • Peter Pi ( @heisecode ) dari Trend Micro: CVE-2016-2459, CVE-2016-2460
  • Weichao Sun ( @sunblate ) dari Alibaba Inc.: CVE-2016-2428, CVE-2016-2429
  • Yuan-Tsung Lo , Lubo Zhang , Chiachih Wu ( @chiachih_wu ), dan Xuxian Jiang dari Tim C0RE : CVE-2016-2437
  • Yulong Zhang dan Tao (Lenx) Wei dari Baidu X-Lab: CVE-2016-2439
  • Zach Riggle ( @ebeip90 ) dari Tim Keamanan Android: CVE-2016-2430

Detail Kerentanan Keamanan

Di bagian di bawah ini, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku untuk level patch 05-01-2016. Ada deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, bug terkait, tingkat keparahan, perangkat Nexus yang diperbarui, versi AOSP yang diperbarui (jika berlaku), dan tanggal yang dilaporkan. Jika tersedia, kami akan menautkan perubahan AOSP yang mengatasi masalah tersebut ke ID bug. Ketika beberapa perubahan terkait dengan satu bug, referensi AOSP tambahan ditautkan ke nomor yang mengikuti ID bug.

Kerentanan Eksekusi Kode Jarak Jauh di Mediaserver

Selama file media dan pemrosesan data dari file yang dibuat khusus, kerentanan di server media dapat memungkinkan penyerang menyebabkan kerusakan memori dan eksekusi kode jarak jauh sebagai proses server media.

Fungsionalitas yang terpengaruh disediakan sebagai bagian inti dari sistem operasi dan ada beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media browser.

Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks layanan server media. Layanan server media memiliki akses ke aliran audio dan video, serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-2428 26751339 Kritis Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 Januari 2016
CVE-2016-2429 27211885 Kritis Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 Februari 2016

Peningkatan Kerentanan Privilege di Debuggerd

Peningkatan kerentanan hak istimewa dalam debugger Android terintegrasi dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks debugger Android. Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-2430 27299236 Kritis Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 Februari 2016

Peningkatan Kerentanan Hak Istimewa di Qualcomm TrustZone

Peningkatan kerentanan hak istimewa dalam komponen Qualcomm TrustZone dapat memungkinkan aplikasi berbahaya lokal yang aman untuk mengeksekusi kode arbitrer dalam konteks kernel TrustZone. Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2431 24968809* Kritis Nexus 5, Nexus 6, Nexus 7 (2013), Android One 15 Oktober 2015
CVE-2016-2432 25913059* Kritis Nexus 6, Android One 28 November 2015

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Privilege di Driver Wi-Fi Qualcomm

Peningkatan kerentanan hak istimewa pada driver Qualcomm Wi-Fi dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan eskalasi hak istimewa lokal dan eksekusi kode arbitrer yang mengarah ke kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2015-0569 26754117* Kritis Nexus 5X, Nexus 7 (2013) 23 Januari 2016
CVE-2015-0570 26764809* Kritis Nexus 5X, Nexus 7 (2013) 25 Januari 2016

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Privilege di NVIDIA Video Driver

Peningkatan kerentanan hak istimewa dalam driver video NVIDIA dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2434 27251090* Kritis Nexus 9 17 Februari 2016
CVE-2016-2435 27297988* Kritis Nexus 9 20 Februari 2016
CVE-2016-2436 27299111* Kritis Nexus 9 22 Februari 2016
CVE-2016-2437 27436822* Kritis Nexus 9 1 Maret 2016

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Privilege di Kernel

Peningkatan kerentanan hak istimewa di kernel dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan eskalasi hak istimewa lokal dan eksekusi kode arbitrer yang mengarah ke kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat. Masalah ini dijelaskan di Android Security Advisory 2016-03-18 .

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2015-1805 27275324* Kritis Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9 19 Februari 2016

* Patch di AOSP tersedia untuk versi kernel tertentu: 3.14 , 3.10 , dan 3.4 .

Kerentanan Eksekusi Kode Jarak Jauh di Kernel

Kerentanan eksekusi kode jarak jauh dalam subsistem audio dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Biasanya bug eksekusi kode kernel seperti ini akan dinilai Kritis, tetapi karena pertama-tama memerlukan kompromi layanan istimewa untuk memanggil subsistem audio, itu dinilai Tingkat keparahan tinggi.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2438 26636060* Tinggi Nexus 9 Google Internal

* Patch untuk masalah ini tersedia di Linux upstream .

Kerentanan Pengungkapan Informasi di Pengontrol Tethering Qualcomm

Kerentanan pengungkapan informasi di pengontrol Qualcomm Tethering dapat memungkinkan aplikasi jahat lokal mengakses informasi pengenal pribadi tanpa hak istimewa untuk melakukannya. Masalah ini dinilai sebagai tingkat keparahan tinggi karena dapat digunakan untuk mendapatkan kemampuan yang lebih tinggi, seperti hak istimewa izin Signature atau SignatureOrSystem , yang tidak dapat diakses oleh aplikasi pihak ketiga.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2060 27942588* Tinggi Tidak ada 23 Maret 2016

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan harus terkandung dalam driver terbaru dari perangkat yang terpengaruh.

Kerentanan Eksekusi Kode Jarak Jauh di Bluetooth

Selama pemasangan perangkat Bluetooth, kerentanan di Bluetooth dapat memungkinkan penyerang proksimal untuk mengeksekusi kode arbitrer selama proses pemasangan. Masalah ini dinilai sebagai Tingkat keparahan tinggi karena kemungkinan eksekusi kode jarak jauh selama inisialisasi perangkat Bluetooth.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-2439 27411268 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 Februari 2016

Peningkatan Kerentanan Privilege di Binder

Peningkatan kerentanan hak istimewa di Binder dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks proses aplikasi lain. Saat mengosongkan memori, kerentanan di Binder dapat memungkinkan penyerang menyebabkan eksekusi kode lokal. Masalah ini dinilai sebagai tingkat keparahan tinggi karena kemungkinan eksekusi kode lokal selama proses memori bebas di Binder.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-2440 27252896 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 18 Februari 2016

Peningkatan Kerentanan Privilege di Qualcomm Buspm Driver

Peningkatan kerentanan hak istimewa pada driver buspm Qualcomm dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Biasanya bug eksekusi kode kernel seperti ini akan dinilai Kritis, tetapi karena pertama-tama memerlukan kompromi layanan yang dapat memanggil driver, itu dinilai sebagai tingkat keparahan Tinggi.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2441 26354602* Tinggi Nexus 5X, Nexus 6, Nexus 6P 30 Desember 2015
CVE-2016-2442 26494907* Tinggi Nexus 5X, Nexus 6, Nexus 6P 30 Desember 2015

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Hak Istimewa di Driver MDP Qualcomm

Peningkatan kerentanan hak istimewa pada driver Qualcomm MDP dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Biasanya bug eksekusi kode kernel seperti ini akan dinilai Kritis, tetapi karena pertama-tama memerlukan kompromi layanan yang dapat memanggil driver, itu dinilai sebagai tingkat keparahan Tinggi.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2443 26404525* Tinggi Nexus 5, Nexus 7 (2013) 5 Januari 2016

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Privilege di Driver Wi-Fi Qualcomm

Peningkatan kerentanan hak istimewa dalam komponen Qualcomm Wi-Fi dapat memungkinkan aplikasi jahat lokal untuk memanggil panggilan sistem yang mengubah pengaturan dan perilaku perangkat tanpa hak istimewa untuk melakukannya. Masalah ini dinilai sebagai tingkat keparahan tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang lebih tinggi, seperti hak istimewa izin Signature atau SignatureOrSystem , yang tidak dapat diakses oleh aplikasi pihak ketiga.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2015-0571 26763920* Tinggi Nexus 5X, Nexus 7 (2013) 25 Januari 2016

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Privilege di NVIDIA Video Driver

Peningkatan kerentanan hak istimewa di driver media NVIDIA dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Biasanya bug eksekusi kode kernel seperti ini akan dinilai Kritis, tetapi karena pertama-tama memerlukan kompromi layanan hak istimewa tinggi untuk memanggil driver, itu dinilai Tingkat keparahan tinggi.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2444 27208332* Tinggi Nexus 9 16 Februari 2016
CVE-2016-2445 27253079* Tinggi Nexus 9 17 Februari 2016
CVE-2016-2446 27441354* Tinggi Nexus 9 1 Maret 2016

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Privilege di Wi-Fi

Peningkatan kerentanan hak istimewa di Wi-Fi dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks aplikasi sistem yang ditingkatkan. Masalah ini dinilai sebagai tingkat keparahan tinggi karena juga dapat digunakan untuk mendapatkan kemampuan yang lebih tinggi, seperti hak istimewa izin Signature atau SignatureOrSystem , yang tidak dapat diakses oleh aplikasi pihak ketiga.

Catatan :Nomor CVE telah diperbarui, sesuai permintaan MITER, dari CVE-2016-2447 ke CVE-2016-4477.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-4477 27371366 [ 2 ] Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 Februari 2016

Peningkatan Kerentanan Privilege di Mediaserver

Peningkatan kerentanan hak istimewa di server media dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks aplikasi sistem yang ditingkatkan. Masalah ini dinilai sebagai tingkat keparahan tinggi karena dapat digunakan untuk mendapatkan kemampuan yang lebih tinggi, seperti hak istimewa izin Signature atau SignatureOrSystem , yang tidak dapat diakses oleh aplikasi pihak ketiga.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-2448 27533704 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 Maret 2016
CVE-2016-2449 27568958 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9 Maret 2016
CVE-2016-2450 27569635 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9 Maret 2016
CVE-2016-2451 27597103 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 Maret 2016
CVE-2016-2452 27662364 [ 2 ] [ 3 ] Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 Maret 2016

Peningkatan Kerentanan Hak Istimewa di Driver Wi-Fi MediaTek

Peningkatan kerentanan hak istimewa di driver Wi-Fi MediaTek dapat mengaktifkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Biasanya bug eksekusi kode kernel seperti ini akan dinilai Kritis, tetapi karena pertama-tama memerlukan kompromi layanan yang dapat memanggil driver, itu dinilai sebagai tingkat keparahan Tinggi.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2453 27549705* Tinggi Android One 8 Maret 2016

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Kerentanan Remote Denial of Service di Qualcomm Hardware Codec

Selama file media dan pemrosesan data dari file yang dibuat khusus, kerentanan penolakan layanan jarak jauh dalam codec video perangkat keras Qualcomm dapat memungkinkan penyerang jarak jauh memblokir akses ke perangkat yang terpengaruh dengan menyebabkan perangkat melakukan boot ulang. Ini dinilai sebagai tingkat keparahan tinggi karena kemungkinan penolakan layanan jarak jauh.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2454 26221024* Tinggi Nexus 5 16 Desember 2015

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Privilege di Conscrypt

Peningkatan kerentanan hak istimewa di Conscrypt dapat memungkinkan aplikasi lokal untuk percaya bahwa pesan diautentikasi padahal sebenarnya tidak. Masalah ini dinilai sebagai tingkat keparahan Sedang karena memerlukan langkah terkoordinasi di beberapa perangkat.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-2461 27324690 [ 2 ] Sedang Semua Nexus 6.0, 6.0.1 Google Internal
CVE-2016-2462 27371173 Sedang Semua Nexus 6.0, 6.0.1 Google Internal

Peningkatan Kerentanan Privilege di OpenSSL & BoringSSL

Peningkatan kerentanan hak istimewa di OpenSSL dan BoringSSL dapat memungkinkan aplikasi jahat lokal untuk mengakses data di luar tingkat izinnya. Biasanya ini akan dinilai Tinggi, tetapi karena memerlukan konfigurasi manual yang tidak umum, ini dinilai sebagai tingkat keparahan Sedang.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-0705 27449871 Sedang Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 Februari 2016

Peningkatan Kerentanan Hak Istimewa di Driver Wi-Fi MediaTek

Peningkatan kerentanan hak istimewa di driver Wi-Fi MediaTek dapat memungkinkan aplikasi jahat lokal menyebabkan penolakan layanan. Biasanya peningkatan bug hak istimewa seperti ini akan dinilai Tinggi, tetapi karena memerlukan kompromi layanan sistem terlebih dahulu, itu dinilai sebagai tingkat keparahan Sedang.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2456 27275187* Sedang Android One 19 Februari 2016

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Privilege di Wi-Fi

Peningkatan kerentanan hak istimewa di Wi-Fi dapat memungkinkan akun tamu untuk mengubah pengaturan Wi-Fi yang bertahan untuk pengguna utama. Masalah ini dinilai sebagai tingkat keparahan Sedang karena memungkinkan akses lokal ke kemampuan " berbahaya " tanpa izin.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-2457 27411179 Sedang Semua Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 29 Februari 2016

Kerentanan Pengungkapan Informasi di AOSP Mail

Kerentanan pengungkapan informasi di AOSP Mail dapat memungkinkan aplikasi jahat lokal untuk mendapatkan akses ke informasi pribadi pengguna. Masalah ini dinilai tingkat keparahan Sedang karena dapat digunakan untuk mengakses data secara tidak benar tanpa izin.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-2458 27335139 [ 2 ] Sedang Semua Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 23 Februari 2016

Kerentanan Pengungkapan Informasi di Mediaserver

Kerentanan pengungkapan informasi di Mediaserver dapat memungkinkan aplikasi mengakses informasi sensitif. Masalah ini dinilai sebagai tingkat keparahan Sedang karena dapat digunakan untuk mengakses data secara tidak benar tanpa izin.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-2459 27556038 Sedang Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 Maret 2016
CVE-2016-2460 27555981 Sedang Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 Maret 2016

Kerentanan Denial of Service di Kernel

Kerentanan penolakan layanan di kernel dapat memungkinkan aplikasi berbahaya lokal menyebabkan perangkat melakukan boot ulang. Masalah ini dinilai sebagai tingkat keparahan rendah karena efeknya adalah penolakan layanan sementara.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-0774 27721803* Rendah Semua Nexus 17 Maret 2016

* Patch untuk masalah ini tersedia di Linux upstream .

Pertanyaan dan Jawaban Umum

Bagian ini mengulas jawaban atas pertanyaan umum yang mungkin muncul setelah membaca buletin ini.

1. Bagaimana cara menentukan apakah perangkat saya diperbarui untuk mengatasi masalah ini?

Tingkat Patch Keamanan 01 Mei 2016 atau lebih baru mengatasi masalah ini (lihat dokumentasi Nexus untuk petunjuk tentang cara memeriksa tingkat patch keamanan). Produsen perangkat yang menyertakan pembaruan ini harus menyetel level string patch ke: [ro.build.version.security_patch]:[2016-05-01]

2. Bagaimana cara menentukan perangkat Nexus mana yang terpengaruh oleh setiap masalah?

Di bagian Detail Kerentanan Keamanan , setiap tabel memiliki kolom perangkat Nexus yang diperbarui yang mencakup berbagai perangkat Nexus yang terpengaruh yang diperbarui untuk setiap masalah. Kolom ini memiliki beberapa opsi:

  • Semua perangkat Nexus : Jika masalah memengaruhi semua perangkat Nexus, tabel akan memiliki Semua Nexus di kolom Perangkat Nexus yang Diperbarui . Semua Nexus merangkum perangkat yang didukung berikut: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, dan Pixel C.
  • Beberapa perangkat Nexus : Jika masalah tidak memengaruhi semua perangkat Nexus, perangkat Nexus yang terpengaruh akan dicantumkan di kolom Perangkat Nexus yang Diperbarui .
  • Tidak ada perangkat Nexus : Jika tidak ada perangkat Nexus yang terpengaruh oleh masalah tersebut, tabel akan memiliki "Tidak Ada" di kolom Perangkat Nexus yang Diperbarui .

3. Mengapa CVE-2015-1805 disertakan dalam buletin ini?

CVE-2015-1805 disertakan dalam buletin ini karena Android Security Advisory—2018-03-18 diterbitkan sangat dekat dengan rilis buletin April. Karena batas waktu yang ketat, produsen perangkat diberi opsi untuk mengirimkan perbaikan dari Buletin Keamanan Nexus—April 2016 , tanpa perbaikan untuk CVE-2015-1805, jika mereka menggunakan Tingkat Patch Keamanan 01 April 2016. Ini disertakan lagi dalam buletin ini karena harus diperbaiki untuk menggunakan Tingkat Patch Keamanan 01 Mei 2016.

Revisi

  • 02 Mei 2016: Buletin diterbitkan.
  • 04 Mei 2016:
    • Buletin direvisi untuk menyertakan tautan AOSP.
    • Daftar semua perangkat Nexus yang diperbarui untuk menyertakan Nexus Player dan Pixel C.
    • CVE-2016-2447 diperbarui ke CVE-2016-4477, per permintaan MITER.