Biuletyn dotyczący bezpieczeństwa Androida — czerwiec 2016 r

Opublikowano 06 czerwca 2016 | Zaktualizowano 8 czerwca 2016 r

Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Wraz z biuletynem opublikowaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA). Obrazy oprogramowania sprzętowego Nexusa zostały także udostępnione w witrynie Google Developer . Poziomy poprawek zabezpieczeń z 1 czerwca 2016 r. lub nowsze rozwiązują te problemy. Zapoznaj się z dokumentacją Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń.

Partnerzy zostali powiadomieni o problemach opisanych w biuletynie w dniu 02 maja 2016 roku lub wcześniej. W stosownych przypadkach w repozytorium Android Open Source Project (AOSP) udostępniono poprawki kodu źródłowego rozwiązujące te problemy.

Najpoważniejszym problemem jest krytyczna luka w zabezpieczeniach, która może umożliwić zdalne wykonanie kodu na zagrożonym urządzeniu przy użyciu wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług są wyłączone na potrzeby programowania lub jeśli pomyślnie je ominiesz.

Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu klientów lub nadużyciach w związku z nowo zgłoszonymi problemami. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Ograniczenia dotyczące usług Android i Google.

Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Ograniczenia dotyczące usług Android i Google

To jest podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.

  • Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
  • Zespół ds. bezpieczeństwa systemu Android aktywnie monitoruje nadużycia za pomocą aplikacji Verify Apps i SafetyNet , których zadaniem jest ostrzeganie użytkowników o potencjalnie szkodliwych aplikacjach . Opcja Weryfikuj aplikacje jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale funkcja Verify Apps ostrzega użytkowników, gdy próbują zainstalować wykrytą aplikację do rootowania – niezależnie od tego, skąd ona pochodzi. Ponadto funkcja Verify Apps próbuje identyfikować i blokować instalację znanych złośliwych aplikacji wykorzystujących lukę umożliwiającą eskalację uprawnień. Jeżeli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wykrytej aplikacji.
  • W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

  • Di Shen ( @returnsme ) z KeenLab ( @keen_lab ), Tencent: CVE-2016-2468
  • Gal Beniamini ( @laginimaineb ): CVE-2016-2476
  • Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) z IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
  • Hao Chen, Guang Gong i Wenlin Yang z Mobile Safe Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016- 2498
  • Iwo Banas : CVE-2016-2496
  • Jianqiang Zhao( @jianqiangzhao ) i pjf ( weibo.com/jfpan ) z IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2490, CVE-2016-2491
  • Lee Campbell z Google: CVE-2016-2500
  • Maciej Szawłowski z zespołu ds. bezpieczeństwa Google: CVE-2016-2474
  • Marco Nelissen i Max Spector z Google: CVE-2016-2487
  • Oznacz markę Google Project Zero: CVE-2016-2494
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481 , CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
  • Scott Bauer ( @ScottyBauer1 ): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
  • Wasilij Wasilew: CVE-2016-2463
  • Weichao Sun ( @sunblate ) z Alibaba Inc.: CVE-2016-2495
  • Xiling Gong z Działu Platformy Bezpieczeństwa Tencent: CVE-2016-2499
  • Zach Riggle ( @ebeip90 ) z zespołu ds. bezpieczeństwa Androida: CVE-2016-2493

Szczegóły luki w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2016-06-01. Znajduje się tam opis problemu, uzasadnienie wagi oraz tabela zawierająca CVE, powiązany błąd Androida, wagę, zaktualizowane urządzenia Nexus, zaktualizowane wersje AOSP (w stosownych przypadkach) i datę zgłoszenia. Jeśli będzie to możliwe, połączymy zmianę AOSP, która rozwiązała problem, z identyfikatorem błędu. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia AOSP są powiązane z liczbami następującymi po identyfikatorze błędu.

Luka w zabezpieczeniach serwera multimediów umożliwiająca zdalne wykonanie kodu

Luka w zabezpieczeniach programu Mediaserver umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku spowodowanie uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu Mediaservera. Proces Mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie mają dostępu aplikacje innych firm.

Funkcja, której to dotyczy, jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności wiadomości MMS i odtwarzania multimediów w przeglądarce.

CVE Błędy Androida Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-2463 27855419 Krytyczny Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 25 marca 2016 r

Luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu w libwebm

Luki w zabezpieczeniach libwebm umożliwiające zdalne wykonanie kodu mogą umożliwić osobie atakującej użycie specjalnie spreparowanego pliku spowodowanie uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu Mediaservera. Proces Mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie mają dostępu aplikacje innych firm.

Funkcja, której to dotyczy, jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności wiadomości MMS i odtwarzania multimediów w przeglądarce.

CVE Błędy Androida Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-2464 23167726 [ 2 ] Krytyczny Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku wideo Qualcomm

Luka w sterowniku wideo Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Błędy Androida Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-2465 27407865* Krytyczny Nexusa 5, Nexusa 5X, Nexusa 6, Nexusa 6P 21 lutego 2016 r

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku dźwięku Qualcomm

Luka w sterowniku dźwięku Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Błędy Androida Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-2466 27947307* Krytyczny Nexusa 6 27 lutego 2016 r
CVE-2016-2467 28029010* Krytyczny Nexus 5 13 marca 2014

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku procesora graficznego Qualcomm

Luka w zabezpieczeniach sterownika procesora graficznego Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Błędy Androida Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-2468 27475454* Krytyczny Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 2 marca 2016 r
CVE-2016-2062 27364029* Krytyczny Nexusa 5X, Nexusa 6P 6 marca 2016 r

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku Wi-Fi Qualcomm

Luka w zabezpieczeniach sterownika Qualcomm Wi-Fi umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Błędy Androida Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-2474 27424603* Krytyczny Nexusa 5X Wewnętrzne Google

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku Wi-Fi Broadcom

Luka w zabezpieczeniach sterownika Broadcom Wi-Fi umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wywoływanie wywołań systemowych zmieniających ustawienia i zachowanie urządzenia bez odpowiednich uprawnień. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do podwyższonych możliwości.

CVE Błędy Androida Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-2475 26425765* Wysoki Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C 6 stycznia 2016 r

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku dźwięku Qualcomm

Luka w sterowniku dźwięku Qualcomm umożliwiająca podniesienie uprawnień może umożliwić złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia usługi, która może nawiązać połączenie ze sterownikiem.

CVE Błędy Androida Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-2066 26876409* Wysoki Nexusa 5, Nexusa 5X, Nexusa 6, Nexusa 6P 29 stycznia 2016 r
CVE-2016-2469 27531992* Wysoki Nexusa 5, Nexusa 6, Nexusa 6P 4 marca 2016 r

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w serwerze multimediów

Luka w zabezpieczeniach programu Mediaserver umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.

CVE Błędy Androida Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-2476 27207275 [ 2 ] [ 3 ] [ 4 ] Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 lutego 2016 r
CVE-2016-2477 27251096 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 lutego 2016 r
CVE-2016-2478 27475409 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 marca 2016 r
CVE-2016-2479 27532282 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 marca 2016 r
CVE-2016-2480 27532721 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 marca 2016 r
CVE-2016-2481 27532497 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 marca 2016 r
CVE-2016-2482 27661749 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 marca 2016 r
CVE-2016-2483 27662502 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 marca 2016 r
CVE-2016-2484 27793163 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 marca 2016 r
CVE-2016-2485 27793367 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 marca 2016 r
CVE-2016-2486 27793371 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 marca 2016 r
CVE-2016-2487 27833616 [ 2 ] [ 3 ] Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku aparatu Qualcomm

Luka w zabezpieczeniach sterownika aparatu Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia usługi, która może nawiązać połączenie ze sterownikiem.

CVE Błędy Androida Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-2061 27207747* Wysoki Nexusa 5X, Nexusa 6P 15 lutego 2016 r
CVE-2016-2488 27600832* Wysoki Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) Wewnętrzne Google

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku wideo Qualcomm

Luka w sterowniku wideo Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia usługi, która może nawiązać połączenie ze sterownikiem.

CVE Błędy Androida Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-2489 27407629* Wysoki Nexusa 5, Nexusa 5X, Nexusa 6, Nexusa 6P 21 lutego 2016 r

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku kamery NVIDIA

Luka w zabezpieczeniach sterownika kamery NVIDIA umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia bezpieczeństwa usługi, aby zadzwonić do kierowcy.

CVE Błędy Androida Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-2490 27533373* Wysoki Nexusa 9 6 marca 2016 r
CVE-2016-2491 27556408* Wysoki Nexusa 9 8 marca 2016 r

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku Wi-Fi Qualcomm

Luka w zabezpieczeniach sterownika Qualcomm Wi-Fi umożliwiająca podniesienie uprawnień może umożliwić złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia usługi, która może nawiązać połączenie ze sterownikiem.

CVE Błędy Androida Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-2470 27662174* Wysoki Nexus 7 (2013) 13 marca 2016 r
CVE-2016-2471 27773913* Wysoki Nexus 7 (2013) 19 marca 2016 r
CVE-2016-2472 27776888* Wysoki Nexus 7 (2013) 20 marca 2016 r
CVE-2016-2473 27777501* Wysoki Nexus 7 (2013) 20 marca 2016 r

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku zarządzania energią MediaTek

Podniesienie uprawnień w sterowniku zarządzania energią MediaTek może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ wymaga najpierw złamania zabezpieczeń urządzenia i podniesienia uprawnień do konta root w celu wywołania sterownika.

CVE Błędy Androida Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-2492 28085410* Wysoki Android Jeden 7 kwietnia 2016 r

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach związanej z podniesieniem uprawnień w warstwie emulacji karty SD

Luka umożliwiająca podniesienie uprawnień w warstwie emulacji przestrzeni użytkownika karty SD może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.

CVE Błędy Androida Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-2494 28085658 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 kwietnia 2016 r

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku Wi-Fi Broadcom

Luka w zabezpieczeniach sterownika Wi-Fi Broadcom umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia bezpieczeństwa usługi, aby zadzwonić do kierowcy.

CVE Błędy Androida Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-2493 26571522* Wysoki Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Player, Pixel C Wewnętrzne Google

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach serwera multimediów umożliwiająca zdalną odmowę usługi

Luka w zabezpieczeniach serwera Mediaserver umożliwiająca zdalną odmowę usługi może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku w celu spowodowania zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnej odmowy usługi.

CVE Błędy Androida Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-2495 28076789 [ 2 ] Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 kwietnia 2016 r

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w interfejsie użytkownika Framework

Luka umożliwiająca podniesienie uprawnień w oknie dialogowym uprawnień interfejsu użytkownika Framework może umożliwić osobie atakującej uzyskanie dostępu do nieautoryzowanych plików w prywatnej pamięci. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do niewłaściwego uzyskania „ niebezpiecznych ” uprawnień.

CVE Błędy Androida Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-2496 26677796 [ 2 ] [ 3 ] Umiarkowany Cały Nexus 6.0, 6.1 26 maja 2015 r

Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w sterowniku Qualcomm Wi-Fi

Ujawnienie informacji w sterowniku Wi-Fi Qualcomm może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia usługi, która może nawiązać połączenie ze kierowcą.

CVE Błędy Androida Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-2498 27777162* Umiarkowany Nexus 7 (2013) 20 marca 2016 r

* Łatka rozwiązująca ten problem nie jest dostępna w AOSP. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach serwera multimediów umożliwiająca ujawnienie informacji

Luka w zabezpieczeniach Mediaservera umożliwiająca ujawnienie informacji może umożliwić aplikacji dostęp do poufnych informacji. Ten problem został oceniony jako umiarkowany, ponieważ można go wykorzystać do uzyskania dostępu do danych bez pozwolenia.

CVE Błędy Androida Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-2499 27855172 Umiarkowany Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 marca 2016 r

Luka w zabezpieczeniach Menedżera aktywności umożliwiająca ujawnienie informacji

Luka w komponencie Menedżera aktywności umożliwiająca ujawnienie informacji może umożliwić aplikacji dostęp do poufnych informacji. Ten problem ma ocenę umiarkowaną, ponieważ można go wykorzystać do uzyskania dostępu do danych bez pozwolenia.

CVE Błędy Androida Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-2500 19285814 Umiarkowany Cały Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

Często zadawane pytania i odpowiedzi

W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Poziomy poprawek zabezpieczeń z 1 czerwca 2016 r. lub nowsze rozwiązują te problemy (instrukcje dotyczące sprawdzania poziomu poprawek zabezpieczeń można znaleźć w dokumentacji Nexusa ). Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[2016-06-01]

2. Jak ustalić, których urządzeń Nexus dotyczy dany problem?

W sekcji Szczegóły luki w zabezpieczeniach każda tabela zawiera kolumnę Zaktualizowane urządzenia Nexus, która obejmuje zakres urządzeń Nexus, których dotyczy problem, zaktualizowanych w przypadku każdego problemu. Ta kolumna ma kilka opcji:

  • Wszystkie urządzenia Nexus : jeśli problem dotyczy wszystkich urządzeń Nexus, w kolumnie Zaktualizowane urządzenia Nexus w tabeli będzie widoczna informacja „Wszystkie Nexusy”. „Wszystkie Nexusy” obejmują następujące obsługiwane urządzenia : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player i Pixel C.
  • Niektóre urządzenia Nexus : jeśli problem nie dotyczy wszystkich urządzeń Nexus, dotknięte urządzenia Nexus zostaną wyświetlone w kolumnie Zaktualizowane urządzenia Nexus .
  • Brak urządzeń Nexus : jeśli problem nie dotyczy żadnego urządzenia Nexus, w kolumnie Zaktualizowane urządzenia Nexus w tabeli będzie widoczna informacja „Brak”.

Wersje

  • 06 czerwca 2016: Biuletyn opublikowany.
  • 07 czerwca 2016:
    • Biuletyn zmieniony w celu uwzględnienia łączy AOSP.
    • CVE-2016-2496 usunięto z biuletynu.
  • 8 czerwca 2016 r.: CVE-2016-2496 ponownie dodano do biuletynu.