Google is committed to advancing racial equity for Black communities. See how.
This page was translated by the Cloud Translation API.
Switch to English

ประกาศความปลอดภัยของ Android - พฤษภาคม 2016

เผยแพร่เมื่อ 02 พฤษภาคม 2016 | อัปเดตเมื่อ 04 พฤษภาคม 2559

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android นอกเหนือจากกระดานข่าวเราได้เปิดตัวการอัปเดตความปลอดภัยสำหรับอุปกรณ์ Nexus ผ่านการอัปเดตแบบ over-the-air (OTA) อิมเมจเฟิร์มแวร์ Nexus ได้เผยแพร่ไปยัง ไซต์ Google Developer ระดับแพตช์ความปลอดภัยของวันที่ 1 พฤษภาคม 2016 หรือใหม่กว่าเพื่อแก้ไขปัญหาเหล่านี้ (ดู เอกสาร Nexus สำหรับคำแนะนำเกี่ยวกับวิธีตรวจสอบระดับแพตช์ความปลอดภัย)

พาร์ทเนอร์ได้รับแจ้งเกี่ยวกับปัญหาที่อธิบายไว้ในกระดานข่าวเมื่อวันที่ 4 เมษายน 2016 หรือก่อนหน้านั้น หากเป็นไปได้แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังที่เก็บ Android Open Source Project (AOSP)

ปัญหาที่รุนแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญซึ่งอาจเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบผ่านวิธีการต่างๆเช่นอีเมลการท่องเว็บและ MMS เมื่อประมวลผลไฟล์สื่อ การ ประเมินความรุนแรง จะขึ้นอยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบโดยสมมติว่าแพลตฟอร์มและการลดการให้บริการถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

เราไม่มีรายงานเกี่ยวกับการแสวงหาประโยชน์จากลูกค้าหรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ โปรดดูส่วนการ ลดขนาดบริการของ Android และ Google สำหรับรายละเอียดเกี่ยวกับการ ป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการเช่น SafetyNet ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android

เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน

ประกาศ

  • เพื่อสะท้อนให้เห็นถึงการมุ่งเน้นที่กว้างขึ้นเราได้เปลี่ยนชื่อกระดานข่าวสารนี้ (และทั้งหมดต่อไปนี้ในชุดข้อมูล) เป็นกระดานข่าวความปลอดภัยของ Android กระดานข่าวเหล่านี้ครอบคลุมช่องโหว่ที่กว้างขึ้นซึ่งอาจส่งผลกระทบต่ออุปกรณ์ Android แม้ว่าจะไม่ส่งผลกระทบต่ออุปกรณ์ Nexus ก็ตาม
  • เราอัปเดตการ จัดอันดับความรุนแรงของความ ปลอดภัยของ Android การเปลี่ยนแปลงเหล่านี้เป็นผลมาจากข้อมูลที่รวบรวมในช่วงหกเดือนที่ผ่านมาเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่รายงานและมีเป้าหมายเพื่อจัดระดับความรุนแรงให้ใกล้เคียงกับผลกระทบต่อผู้ใช้ในโลกแห่งความเป็นจริงมากขึ้น

การลดขนาดบริการ Android และ Google

นี่คือบทสรุปของการบรรเทาผลกระทบจาก แพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการเช่น SafetyNet ความสามารถเหล่านี้ช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยอาจถูกใช้ประโยชน์บน Android ได้สำเร็จ

  • การแสวงหาประโยชน์จากปัญหาต่างๆบน Android ทำได้ยากขึ้นโดยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android คอยตรวจสอบการละเมิดด้วย Verify Apps และ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย ตรวจสอบว่าแอปเปิดใช้งานโดยค่าเริ่มต้นบนอุปกรณ์ที่มี บริการ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play ห้ามใช้เครื่องมือรูทอุปกรณ์ใน Google Play แต่ Verify Apps จะเตือนผู้ใช้เมื่อพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบไม่ว่าจะมาจากที่ใดก็ตาม นอกจากนี้ Verify Apps ยังพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายซึ่งเป็นที่รู้จักซึ่งใช้ช่องโหว่ในการเพิ่มสิทธิ์ หากแอปพลิเคชันดังกล่าวได้รับการติดตั้งแล้ว Verify Apps จะแจ้งให้ผู้ใช้ทราบและพยายามลบแอปพลิเคชันที่ตรวจพบ
  • ตามความเหมาะสมแอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งผ่านสื่อไปยังกระบวนการต่างๆเช่นสื่อกลางโดยอัตโนมัติ

กิตติกรรมประกาศ

เราขอขอบคุณนักวิจัยเหล่านี้สำหรับผลงานของพวกเขา:

  • Abhishek Arya, Oliver Chang และ Martin Barbella จากทีมรักษาความปลอดภัยของ Google Chrome: CVE-2016-2454
  • Andy Tyler ( @ticarpi ) จาก e2e-assure : CVE-2016-2457
  • Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2016-2441, CVE-2016-2442
  • Dzmitry Lukyanenka ( www.linkedin.com/in/dzima ): CVE-2016-2458
  • Gal Beniamini: CVE-2016-2431
  • Hao Chen จาก Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2016-2456
  • Jake Valletta จาก Mandiant บริษัท FireEye: CVE-2016-2060
  • Jianqiang Zhao ( @jianqiangzhao ) และ pjf ( weibo.com/jfpan ) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, CVE-2016-2442, CVE-2016-2444, CVE-2016-2445, CVE-2016-2446
  • Imre Rad จาก Search-Lab Ltd. : CVE-2016-4477
  • Jeremy C.Joslin จาก Google: CVE-2016-2461
  • Kenny Root จาก Google: CVE-2016-2462
  • Marco Grassi ( @marcograss ) ของ KeenLab ( @keen_lab ), Tencent: CVE-2016-2443
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2016-2440
  • Mingjian Zhou ( @Mingjian_Zhou ) Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก ทีม C0RE : CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451, CVE-2016-2452
  • Peter Pi ( @heisecode ) จาก Trend Micro: CVE-2016-2459, CVE-2016-2460
  • Weichao Sun ( @sunblate ) จาก Alibaba Inc. : CVE-2016-2428, CVE-2016-2429
  • Yuan-Tsung Lo , Lubo Zhang , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2016-2437
  • Yulong Zhang และ Tao (Lenx) Wei แห่ง Baidu X-Lab: CVE-2016-2439
  • Zach Riggle ( @ ebeip90 ) จากทีมความปลอดภัยของ Android: CVE-2016-2430

รายละเอียดช่องโหว่ด้านความปลอดภัย

ในส่วนด้านล่างนี้เราจะให้รายละเอียดสำหรับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2016-05-01 มีคำอธิบายของปัญหาเหตุผลความรุนแรงและตารางที่มี CVE ข้อบกพร่องที่เกี่ยวข้องความรุนแรงอุปกรณ์ Nexus ที่อัปเดตเวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่ที่รายงาน เมื่อพร้อมใช้งานเราจะเชื่อมโยงการเปลี่ยนแปลง AOSP ที่แก้ไขปัญหากับรหัสข้อบกพร่อง เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องเดียวการอ้างอิง AOSP เพิ่มเติมจะเชื่อมโยงกับตัวเลขตามรหัสข้อบกพร่อง

ช่องโหว่การดำเนินการรหัสระยะไกลใน Mediaserver

ในระหว่างไฟล์สื่อและการประมวลผลข้อมูลของไฟล์ที่สร้างขึ้นมาเป็นพิเศษช่องโหว่ในสื่อกลางอาจเปิดโอกาสให้ผู้โจมตีทำให้หน่วยความจำเสียหายและการเรียกใช้รหัสระยะไกลเป็นกระบวนการไกล่เกลี่ย

ฟังก์ชันการทำงานที่ได้รับผลกระทบจัดให้เป็นส่วนหลักของระบบปฏิบัติการและมีแอปพลิเคชั่นหลายตัวที่อนุญาตให้เข้าถึงเนื้อหาระยะไกลโดยเฉพาะอย่างยิ่ง MMS และการเล่นสื่อบนเบราว์เซอร์

ปัญหานี้ได้รับการจัดอันดับให้เป็นความรุนแรงที่สำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้รหัสระยะไกลภายในบริบทของบริการสื่อกลาง บริการสื่อกลางสามารถเข้าถึงสตรีมเสียงและวิดีโอตลอดจนการเข้าถึงสิทธิพิเศษที่แอปของบุคคลที่สามไม่สามารถเข้าถึงได้ตามปกติ

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-2428 26751339 สำคัญ Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 ม.ค. 2559
CVE-2016-2429 27211885 สำคัญ Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 ก.พ. 2559

การยกระดับช่องโหว่ของสิทธิ์ใน Debuggerd

การเพิ่มช่องโหว่ของสิทธิพิเศษในโปรแกรมแก้ไขจุดบกพร่องของ Android ในตัวอาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยพลการภายในบริบทของโปรแกรมแก้ไขจุดบกพร่องของ Android ปัญหานี้ได้รับการจัดอันดับให้เป็นความรุนแรงที่สำคัญเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรภายในเครื่องจะถูกบุกรุกซึ่งอาจต้องทำการ reflashing ระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-2430 27299236 สำคัญ Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 ก.พ. 2559

การยกระดับช่องโหว่ของสิทธิ์ใน Qualcomm TrustZone

การยกระดับช่องโหว่ของสิทธิพิเศษในคอมโพเนนต์ Qualcomm TrustZone อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล TrustZone ปัญหานี้ได้รับการจัดอันดับให้เป็นความรุนแรงที่สำคัญเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรภายในเครื่องจะถูกบุกรุกซึ่งอาจต้องทำการ reflashing ระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2431 24968809 * สำคัญ Nexus 5, Nexus 6, Nexus 7 (2013), Android One 15 ต.ค. 2558
CVE-2016-2432 25913059 * สำคัญ Nexus 6, Android One 28 พ.ย. 2558

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดร์เวอร์ Qualcomm Wi-Fi

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับให้เป็นระดับความรุนแรงที่สำคัญเนื่องจากความเป็นไปได้ของการเลื่อนระดับสิทธิ์ในพื้นที่และการใช้รหัสโดยอำเภอใจซึ่งนำไปสู่ความเป็นไปได้ของการบุกรุกอุปกรณ์ถาวรในพื้นที่ซึ่งอาจต้องมีการรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2015-0569 26754117 * สำคัญ Nexus 5X, Nexus 7 (2013) 23 ม.ค. 2559
CVE-2015-0570 26764809 * สำคัญ Nexus 5X, Nexus 7 (2013) 25 ม.ค. 2559

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิพิเศษใน NVIDIA Video Driver

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์วิดีโอ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับให้เป็นความรุนแรงที่สำคัญเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรภายในเครื่องจะถูกบุกรุกซึ่งอาจต้องทำการ reflashing ระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2434 27251090 * สำคัญ Nexus 9 17 ก.พ. 2559
CVE-2016-2435 27297988 * สำคัญ Nexus 9 20 ก.พ. 2559
CVE-2016-2436 27299111 * สำคัญ Nexus 9 22 ก.พ. 2559
CVE-2016-2437 27436822 * สำคัญ Nexus 9 1 มี.ค. 2559

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิ์ในเคอร์เนล

การยกระดับช่องโหว่ของสิทธิพิเศษในเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับให้เป็นความรุนแรงที่สำคัญเนื่องจากความเป็นไปได้ที่จะมีการเลื่อนระดับสิทธิ์ในพื้นที่และการใช้รหัสโดยอำเภอใจซึ่งนำไปสู่ความเป็นไปได้ของการบุกรุกอุปกรณ์ถาวรในพื้นที่ซึ่งอาจต้องทำการรีแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์ ปัญหานี้ได้อธิบายไว้ใน คำแนะนำด้านความปลอดภัยของ Android 2016-03-18

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2015-1805 27275324 * สำคัญ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9 19 ก.พ. 2559

* แพทช์ใน AOSP พร้อมใช้งานสำหรับเวอร์ชันเคอร์เนลเฉพาะ: 3.14 , 3.10 และ 3.4

ช่องโหว่การดำเนินการรหัสระยะไกลในเคอร์เนล

ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลในระบบย่อยเสียงอาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล โดยปกติข้อผิดพลาดในการเรียกใช้รหัสเคอร์เนลเช่นนี้จะได้รับการจัดอันดับเป็น Critical แต่เนื่องจากก่อนอื่นต้องมีการประนีประนอมบริการที่มีสิทธิพิเศษเพื่อเรียกระบบย่อยเสียงจึงได้รับการจัดอันดับความรุนแรงสูง

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2438 26636060 * สูง Nexus 9 ภายใน Google

* โปรแกรมแก้ไขสำหรับปัญหานี้มีอยู่ใน อัปสตรีมของ Linux

ช่องโหว่ในการเปิดเผยข้อมูลใน Qualcomm Tethering Controller

ช่องโหว่ในการเปิดเผยข้อมูลในคอนโทรลเลอร์ Qualcomm Tethering อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเข้าถึงข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้โดยไม่ต้องมีสิทธิ์ทำเช่นนั้น ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงสูงเพราะมันสามารถนำมาใช้เพื่อให้ได้รับการยกระดับความสามารถเช่น ลายเซ็น หรือ SignatureOrSystem สิทธิพิเศษสิทธิ์ซึ่งไม่สามารถเข้าถึงแอพลิเคชันของบุคคลที่สาม

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2060 27942588 * สูง ไม่มี 23 มี.ค. 2559

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตควรมีอยู่ในไดรเวอร์ล่าสุดของอุปกรณ์ที่ได้รับผลกระทบ

ช่องโหว่การดำเนินการรหัสระยะไกลในบลูทู ธ

ในระหว่างการจับคู่อุปกรณ์บลูทู ธ ช่องโหว่ในบลูทู ธ อาจทำให้ผู้โจมตีที่อยู่ใกล้สามารถเรียกใช้รหัสโดยพลการในระหว่างกระบวนการจับคู่ ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากความเป็นไปได้ของการเรียกใช้รหัสระยะไกลในระหว่างการเริ่มต้นอุปกรณ์ Bluetooth

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-2439 27411268 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 ก.พ. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษใน Binder

การเพิ่มช่องโหว่ของสิทธิพิเศษใน Binder อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของกระบวนการของแอปอื่น ในขณะที่เพิ่มหน่วยความจำช่องโหว่ใน Binder อาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดภายในเครื่องได้ ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากความเป็นไปได้ของการเรียกใช้รหัสภายในระหว่างกระบวนการหน่วยความจำว่างใน Binder

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-2440 27252896 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 18 ก.พ. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Buspm

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm buspm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล โดยปกติข้อผิดพลาดในการเรียกใช้โค้ดเคอร์เนลเช่นนี้จะได้รับการจัดอันดับเป็น Critical แต่เนื่องจากต้องมีการประนีประนอมกับบริการที่สามารถเรียกไดรเวอร์ได้ก่อนจึงได้รับการจัดอันดับเป็นความรุนแรงสูง

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2441 26354602 * สูง Nexus 5X, Nexus 6, Nexus 6P 30 ธ.ค. 2558
CVE-2016-2442 26494907 * สูง Nexus 5X, Nexus 6, Nexus 6P 30 ธ.ค. 2558

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm MDP

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ Qualcomm MDP อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล โดยปกติข้อผิดพลาดในการเรียกใช้โค้ดเคอร์เนลเช่นนี้จะได้รับการจัดอันดับเป็น Critical แต่เนื่องจากจำเป็นต้องมีการประนีประนอมกับบริการที่สามารถเรียกไดรเวอร์ได้ก่อนจึงได้รับการจัดอันดับเป็นความรุนแรงสูง

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2443 26404525 * สูง Nexus 5, Nexus 7 (2013) 5 ม.ค. 2559

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดร์เวอร์ Qualcomm Wi-Fi

การเพิ่มช่องโหว่ของสิทธิพิเศษในคอมโพเนนต์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้การโทรของระบบเพื่อเปลี่ยนการตั้งค่าและพฤติกรรมของอุปกรณ์โดยไม่มีสิทธิ์ในการทำเช่นนั้น ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงสูงเพราะมันสามารถนำมาใช้เพื่อให้เข้าถึงท้องถิ่นเพื่อความสามารถในการยกระดับเช่น ลายเซ็น หรือ SignatureOrSystem สิทธิพิเศษสิทธิ์ซึ่งไม่สามารถเข้าถึงแอพลิเคชันของบุคคลที่สาม

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2015-0571 26763920 * สูง Nexus 5X, Nexus 7 (2013) 25 ม.ค. 2559

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิ์ใน NVIDIA Video Driver

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์สื่อ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล โดยปกติข้อผิดพลาดในการเรียกใช้โค้ดเคอร์เนลเช่นนี้จะได้รับการจัดอันดับเป็น Critical แต่เนื่องจากก่อนอื่นต้องมีการประนีประนอมบริการที่มีสิทธิ์สูงเพื่อโทรหาไดรเวอร์จึงได้รับการจัดอันดับความรุนแรงสูง

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2444 27208332 * สูง Nexus 9 16 ก.พ. 2559
CVE-2016-2445 27253079 * สูง Nexus 9 17 ก.พ. 2559
CVE-2016-2446 27441354 * สูง Nexus 9 1 มี.ค. 2559

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิ์ใน Wi-Fi

การเพิ่มช่องโหว่ของสิทธิ์ใน Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของแอปพลิเคชันระบบที่ยกระดับ ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงสูงเพราะมันยังสามารถนำมาใช้เพื่อให้ได้รับการยกระดับความสามารถเช่น ลายเซ็น หรือ SignatureOrSystem สิทธิพิเศษสิทธิ์ที่จะไม่สามารถเข้าถึงการใช้งานของบุคคลที่สาม

หมายเหตุ : หมายเลข CVE ได้รับการอัปเดตตามคำขอของ MITER จาก CVE-2016-2447 ถึง CVE-2016-4477

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-4477 27371366 [ 2 ] สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 ก.พ. 2559

การยกระดับช่องโหว่ของสิทธิ์ใน Mediaserver

การเพิ่มช่องโหว่ของสิทธิพิเศษในสื่อกลางอาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของแอปพลิเคชันระบบที่ยกระดับ ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงสูงเพราะมันสามารถนำมาใช้เพื่อให้ได้รับการยกระดับความสามารถเช่น ลายเซ็น หรือ SignatureOrSystem สิทธิพิเศษสิทธิ์ซึ่งไม่สามารถเข้าถึงแอพลิเคชันของบุคคลที่สาม

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-2448 27533704 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 มี.ค. 2559
CVE-2016-2449 27568958 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9 มี.ค. 2559
CVE-2016-2450 27569635 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9 มี.ค. 2559
CVE-2016-2451 27597103 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 มี.ค. 2559
CVE-2016-2452 27662364 [ 2 ] [ 3 ] สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 มี.ค. 2559

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ MediaTek Wi-Fi

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ MediaTek Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล โดยปกติข้อผิดพลาดในการเรียกใช้โค้ดเคอร์เนลเช่นนี้จะได้รับการจัดอันดับเป็น Critical แต่เนื่องจากจำเป็นต้องมีการประนีประนอมกับบริการที่สามารถเรียกไดรเวอร์ได้ก่อนจึงได้รับการจัดอันดับเป็นความรุนแรงสูง

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2453 27549705 * สูง Android One 8 มี.ค. 2559

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

ช่องโหว่การปฏิเสธบริการจากระยะไกลใน Qualcomm Hardware Codec

ระหว่างไฟล์สื่อและการประมวลผลข้อมูลของไฟล์ที่สร้างขึ้นมาเป็นพิเศษช่องโหว่ของการปฏิเสธบริการจากระยะไกลในตัวแปลงรหัสวิดีโอฮาร์ดแวร์ของ Qualcomm อาจทำให้ผู้โจมตีจากระยะไกลสามารถบล็อกการเข้าถึงอุปกรณ์ที่ได้รับผลกระทบได้โดยการรีบูตอุปกรณ์ สิ่งนี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากความเป็นไปได้ของการปฏิเสธการให้บริการจากระยะไกล

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2454 26221024 * สูง Nexus 5 16 ธ.ค. 2558

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิ์ใน Conscrypt

การยกระดับช่องโหว่ของสิทธิ์ใน Conscrypt อาจทำให้แอปพลิเคชันในระบบเชื่อว่าข้อความได้รับการรับรองความถูกต้องเมื่อไม่ได้ ปัญหานี้จัดอยู่ในประเภทความรุนแรงปานกลางเนื่องจากต้องใช้ขั้นตอนที่ประสานกันในอุปกรณ์หลายเครื่อง

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-2461 27324690 [ 2 ] ปานกลาง Nexus ทั้งหมด 6.0, 6.0.1 ภายใน Google
CVE-2016-2462 27371173 ปานกลาง Nexus ทั้งหมด 6.0, 6.0.1 ภายใน Google

การยกระดับช่องโหว่ของสิทธิ์ใน OpenSSL และ BoringSSL

การยกระดับช่องโหว่ของสิทธิ์ใน OpenSSL และ BoringSSL อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ โดยปกติสิ่งนี้จะได้รับการจัดอันดับสูง แต่เนื่องจากต้องมีการกำหนดค่าด้วยตนเองที่ผิดปกติจึงได้รับการจัดประเภทเป็นความรุนแรงปานกลาง

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-0705 27449871 ปานกลาง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 ก.พ. 2559

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ MediaTek Wi-Fi

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ MediaTek Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่ทำให้เกิดการปฏิเสธการให้บริการ โดยปกติการยกระดับข้อผิดพลาดของสิทธิ์เช่นนี้จะได้รับการจัดอันดับสูง แต่เนื่องจากต้องมีการประนีประนอมบริการระบบก่อนจึงได้รับการจัดระดับเป็นความรุนแรงปานกลาง

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2456 27275187 * ปานกลาง Android One 19 ก.พ. 2559

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิ์ใน Wi-Fi

การเพิ่มช่องโหว่ของสิทธิ์ใน Wi-Fi อาจทำให้บัญชีผู้เยี่ยมชมสามารถแก้ไขการตั้งค่า Wi-Fi ที่ยังคงมีอยู่สำหรับผู้ใช้หลัก ปัญหานี้จัดอยู่ในประเภทความรุนแรงปานกลางเนื่องจากทำให้สามารถเข้าถึงความสามารถ " อันตราย " ในพื้นที่โดยไม่ได้รับอนุญาต

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-2457 27411179 ปานกลาง Nexus ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1 29 ก.พ. 2559

ช่องโหว่ในการเปิดเผยข้อมูลใน AOSP Mail

ช่องโหว่ในการเปิดเผยข้อมูลใน AOSP Mail อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเข้าถึงข้อมูลส่วนตัวของผู้ใช้ได้ ปัญหานี้ได้รับการจัดระดับความรุนแรงปานกลางเนื่องจากอาจใช้เพื่อเข้าถึงข้อมูลอย่างไม่เหมาะสมโดยไม่ได้รับอนุญาต

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-2458 27335139 [ 2 ] ปานกลาง Nexus ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1 23 ก.พ. 2559

ช่องโหว่ในการเปิดเผยข้อมูลใน Mediaserver

ช่องโหว่ในการเปิดเผยข้อมูลใน Mediaserver อาจทำให้แอปพลิเคชันเข้าถึงข้อมูลที่ละเอียดอ่อนได้ ปัญหานี้จัดอยู่ในประเภทความรุนแรงปานกลางเนื่องจากอาจใช้เพื่อเข้าถึงข้อมูลอย่างไม่เหมาะสมโดยไม่ได้รับอนุญาต

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-2459 27556038 ปานกลาง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 มี.ค. 2559
CVE-2016-2460 27555981 ปานกลาง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 มี.ค. 2559

ช่องโหว่การปฏิเสธบริการในเคอร์เนล

ช่องโหว่ของการปฏิเสธบริการในเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบทำให้เกิดการรีบูตอุปกรณ์ ปัญหานี้จัดอยู่ในระดับความรุนแรงต่ำเนื่องจากผลกระทบเป็นการปฏิเสธการให้บริการชั่วคราว

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-0774 27721803 * ต่ำ Nexus ทั้งหมด 17 มี.ค. 2559

* โปรแกรมแก้ไขสำหรับปัญหานี้มีอยู่ใน อัปสตรีมของ Linux

คำถามและคำตอบทั่วไป

ส่วนนี้จะทบทวนคำตอบสำหรับคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวสารนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่?

ระดับแพตช์ความปลอดภัยของวันที่ 1 พฤษภาคม 2016 หรือใหม่กว่าเพื่อแก้ไขปัญหาเหล่านี้ (ดู เอกสาร Nexus สำหรับคำแนะนำเกี่ยวกับวิธีตรวจสอบระดับแพตช์ความปลอดภัย) ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงโปรแกรมแก้ไขเป็น: [ro.build.version.security_patch]: [2016-05-01]

2. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ Nexus ใดที่ได้รับผลกระทบจากแต่ละปัญหา

ในส่วน รายละเอียดช่องโหว่ด้านความปลอดภัย แต่ละตารางจะมีคอลัมน์อุปกรณ์ Nexus ที่อัปเดตซึ่งครอบคลุมช่วงของอุปกรณ์ Nexus ที่ได้รับผลกระทบที่อัปเดตสำหรับแต่ละปัญหา คอลัมน์นี้มีสองสามตัวเลือก:

  • อุปกรณ์ Nexus ทั้งหมด : หากปัญหาส่งผลกระทบต่ออุปกรณ์ Nexus ทั้งหมดตารางจะมี Nexus ทั้งหมดในคอลัมน์ อุปกรณ์ Nexus ที่อัปเดต Nexus ทั้งหมดห่อหุ้ม อุปกรณ์ที่รองรับ ต่อไปนี้: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player และ Pixel C
  • อุปกรณ์ Nexus บางรุ่น : หากปัญหาไม่ส่งผลกระทบต่ออุปกรณ์ Nexus ทั้งหมดอุปกรณ์ Nexus ที่ได้รับผลกระทบจะแสดงรายการในคอลัมน์ อุปกรณ์ Nexus ที่อัปเดต
  • ไม่มีอุปกรณ์ Nexus : หากไม่มีอุปกรณ์ Nexus ที่ได้รับผลกระทบจากปัญหาตารางจะมี“ ไม่มี” ในคอลัมน์ อุปกรณ์ Nexus ที่อัปเดต

3. เหตุใดจึงมี CVE-2015-1805 อยู่ในแถลงการณ์นี้

CVE-2015-1805 รวมอยู่ในกระดานข่าวสารนี้เนื่องจาก คำแนะนำด้านความปลอดภัยของ Android - 2016-03-18 ได้รับการเผยแพร่ใกล้เคียงกับการเผยแพร่แถลงการณ์เดือนเมษายน เนื่องจากไทม์ไลน์ที่ จำกัด ผู้ผลิตอุปกรณ์จึงมีตัวเลือกในการจัดส่งการแก้ไขจาก Nexus Security Bulletin - เมษายน 2016 โดยไม่มีการแก้ไขสำหรับ CVE-2015-1805 หากพวกเขาใช้ระดับแพตช์ความปลอดภัยในวันที่ 1 เมษายน 2016 จะรวมอยู่ในกระดานข่าวสารนี้อีกครั้งเนื่องจากต้องได้รับการแก้ไขเพื่อใช้ระดับแพตช์ความปลอดภัยในวันที่ 1 พฤษภาคม 2016

การแก้ไข

  • 02 พฤษภาคม 2559: เผยแพร่แถลงการณ์
  • 04 พฤษภาคม 2559:
    • ปรับปรุงกระดานข่าวสารเพื่อรวมลิงก์ AOSP
    • รายชื่ออุปกรณ์ Nexus ทั้งหมดที่อัปเดตเพื่อรวม Nexus Player และ Pixel C
    • CVE-2016-2447 อัปเดตเป็น CVE-2016-4477 ตามคำขอของ MITER