Google setzt sich dafür ein, die Rassengerechtigkeit für schwarze Gemeinschaften zu fördern. Siehe wie.
Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Android Security Bulletin - Juni 2016

Veröffentlicht am 06. Juni 2016 | Aktualisiert am 08. Juni 2016

Das Android Security Bulletin enthält Details zu Sicherheitslücken, die Android-Geräte betreffen. Neben dem Bulletin haben wir ein Sicherheitsupdate für Nexus-Geräte über ein OTA-Update (Over-the-Air) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht . Sicherheits-Patch-Levels vom 01. Juni 2016 oder höher beheben diese Probleme. In der Nexus-Dokumentation erfahren Sie, wie Sie die Sicherheits-Patch-Stufe überprüfen.

Die Partner wurden am 02. Mai 2016 oder früher über die im Bulletin beschriebenen Probleme informiert. Gegebenenfalls wurden Quellcode-Patches für diese Probleme im AOSP-Repository (Android Open Source Project) veröffentlicht.

Das schwerwiegendste Problem ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Surfen im Internet und MMS bei der Verarbeitung von Mediendateien ermöglichen kann. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Sicherheitsanfälligkeit möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstminderungen sind für Entwicklungszwecke deaktiviert oder werden erfolgreich umgangen.

Wir haben keine Berichte über die aktive Ausbeutung oder den Missbrauch dieser neu gemeldeten Probleme durch Kunden erhalten. Weitere Informationen zum Schutz der Android-Sicherheitsplattform und zum Schutz von Diensten wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Android- und Google- Dienstminderungen.

Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.

Mitigationen für Android- und Google-Dienste

Dies ist eine Zusammenfassung der Maßnahmen, die von der Android-Sicherheitsplattform und dem Schutz von Diensten wie SafetyNet bereitgestellt werden. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken unter Android erfolgreich ausgenutzt werden können.

  • Die Nutzung vieler Probleme unter Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht mit Verify Apps und SafetyNet aktiv auf Missbrauch, um Benutzer vor potenziell schädlichen Anwendungen zu warnen. Überprüfen Sie, ob Apps auf Geräten mit Google Mobile Services standardmäßig aktiviert sind. Dies ist besonders wichtig für Benutzer, die Anwendungen von außerhalb von Google Play installieren. Geräte-Rooting-Tools sind in Google Play verboten. Verify Apps warnt Benutzer jedoch, wenn sie versuchen, eine erkannte Rooting-Anwendung zu installieren - unabhängig davon, woher sie stammt. Darüber hinaus versucht Verify Apps, die Installation bekannter schädlicher Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitsanfälligkeit bezüglich der Eskalation von Berechtigungen ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, die erkannte Anwendung zu entfernen.
  • Gegebenenfalls übergeben Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie Mediaserver.

Danksagung

Wir möchten diesen Forschern für ihre Beiträge danken:

  • Di Shen ( @returnsme ) von KeenLab ( @keen_lab ), Tencent: CVE-2016-2468
  • Gal Beniamini ( @laginimaineb ): CVE-2016-2476
  • Gengjia Chen ( @ chengjia4574 ), pjf ( weibo.com/jfpan ) von IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
  • Hao Chen, Guang Gong und Wenlin Yang vom Mobile Safe Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016- 2498
  • Iwo Banas : CVE-2016-2496
  • Jianqiang Zhao ( @jianqiangzhao ) und pjf ( weibo.com/jfpan ) von IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2490, CVE-2016-2491
  • Lee Campbell von Google: CVE-2016-2500
  • Maciej Szawłowski vom Google-Sicherheitsteam: CVE-2016-2474
  • Marco Nelissen und Max Spector von Google: CVE-2016-2487
  • Mark Brand von Google Project Zero: CVE-2016-2494
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team : CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481 , CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
  • Scott Bauer ( @ ScottyBauer1 ): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
  • Vasily Vasilev: CVE-2016-2463
  • Weichao Sun ( @sunblate ) von Alibaba Inc.: CVE-2016-2495
  • Xiling Gong von der Abteilung Tencent Security Platform: CVE-2016-2499
  • Zach Riggle ( @ ebeip90 ) vom Android-Sicherheitsteam: CVE-2016-2493

Details zu Sicherheitslücken

In den folgenden Abschnitten finden Sie Details zu den Sicherheitslücken, die für die Patch-Version 2016-06-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung des Schweregrads und eine Tabelle mit dem CVE, dem zugehörigen Android-Fehler, dem Schweregrad, aktualisierten Nexus-Geräten, aktualisierten AOSP-Versionen (falls zutreffend) und dem gemeldeten Datum. Wenn verfügbar, verknüpfen wir die AOSP-Änderung, mit der das Problem behoben wurde, mit der Fehler-ID. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern verknüpft, die auf die Fehler-ID folgen.

Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Mediaserver

Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Mediaserver kann es einem Angreifer ermöglichen, mithilfe einer speziell gestalteten Datei Speicherbeschädigungen während der Verarbeitung von Mediendateien und Daten zu verursachen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Prozesses als kritisch eingestuft. Der Mediaserver-Prozess hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, mit denen sie mit Remote-Inhalten erreicht werden kann, insbesondere mit MMS und der Browser-Wiedergabe von Medien.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-2463 27855419 Kritisch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 25. März 2016

Sicherheitslücken bei der Remotecodeausführung in libwebm

Sicherheitslücken bei der Remotecodeausführung mit libwebm können es einem Angreifer ermöglichen, mithilfe einer speziell gestalteten Datei Speicherbeschädigungen während der Verarbeitung von Mediendateien und Daten zu verursachen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Prozesses als kritisch eingestuft. Der Mediaserver-Prozess hat Zugriff auf Audio- und Videostreams sowie auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, mit denen sie mit Remote-Inhalten erreicht werden kann, insbesondere mit MMS und der Browser-Wiedergabe von Medien.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-2464 23167726 [ 2 ] Kritisch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Intern

Erhöhung der Sicherheitsanfälligkeit in Qualcomm Video Driver

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Qualcomm-Videotreiber kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritisch eingestuft, der möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2465 27407865 * Kritisch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 21. Februar 2016

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Qualcomm Sound Driver

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Qualcomm-Soundtreiber kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritisch eingestuft, der möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2466 27947307 * Kritisch Nexus 6 27. Februar 2016
CVE-2016-2467 28029010 * Kritisch Nexus 5 13. März 2014

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit für Berechtigungen im Qualcomm GPU-Treiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Qualcomm-GPU-Treiber kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritisch eingestuft, der möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2468 27475454 * Kritisch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 2. März 2016
CVE-2016-2062 27364029 * Kritisch Nexus 5X, Nexus 6P 6. März 2016

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit für Berechtigungen im Qualcomm Wi-Fi-Treiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Qualcomm Wi-Fi-Treiber kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritisch eingestuft, der möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2474 27424603 * Kritisch Nexus 5X Google Intern

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Broadcom Wi-Fi-Treibern

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Broadcom Wi-Fi-Treiber kann es einer lokalen böswilligen Anwendung ermöglichen, Systemaufrufe aufzurufen, bei denen die Geräteeinstellungen und das Verhalten ohne die entsprechenden Berechtigungen geändert werden. Dieses Problem wird als hoch eingestuft, da es verwendet werden kann, um lokalen Zugriff auf erweiterte Funktionen zu erhalten.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2475 26425765 * Hoch Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C. 6. Januar 2016

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Qualcomm Sound Driver

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Qualcomm-Soundtreiber kann es einer böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein Dienst kompromittiert werden muss, der den Treiber anrufen kann.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2066 26876409 * Hoch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 29. Januar 2016
CVE-2016-2469 27531992 * Hoch Nexus 5, Nexus 6, Nexus 6P 4. März 2016

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Mediaserver

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in Mediaserver kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext einer Anwendung mit erhöhtem System auszuführen. Dieses Problem wird als "Hoch" eingestuft, da es verwendet werden kann, um lokalen Zugriff auf erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-2476 27207275 [ 2 ] [ 3 ] [ 4 ] Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11. Februar 2016
CVE-2016-2477 27251096 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17. Februar 2016
CVE-2016-2478 27475409 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3. März 2016
CVE-2016-2479 27532282 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6. März 2016
CVE-2016-2480 27532721 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6. März 2016
CVE-2016-2481 27532497 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6. März 2016
CVE-2016-2482 27661749 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14. März 2016
CVE-2016-2483 27662502 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14. März 2016
CVE-2016-2484 27793163 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22. März 2016
CVE-2016-2485 27793367 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22. März 2016
CVE-2016-2486 27793371 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22. März 2016
CVE-2016-2487 27833616 [ 2 ] [ 3 ] Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Intern

Erhöhung der Sicherheitsanfälligkeit für Berechtigungen im Qualcomm-Kameratreiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Qualcomm-Kameratreiber könnte es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein Dienst kompromittiert werden muss, der den Treiber anrufen kann.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2061 27207747 * Hoch Nexus 5X, Nexus 6P 15. Februar 2016
CVE-2016-2488 27600832 * Hoch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) Google Intern

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Qualcomm Video Driver

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Qualcomm-Grafiktreiber kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein Dienst kompromittiert werden muss, der den Treiber anrufen kann.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2489 27407629 * Hoch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 21. Februar 2016

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in NVIDIA-Kameratreibern

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im NVIDIA-Kameratreiber könnte es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein Dienst kompromittiert werden muss, um den Treiber anzurufen.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2490 27533373 * Hoch Nexus 9 6. März 2016
CVE-2016-2491 27556408 * Hoch Nexus 9 8. März 2016

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit für Berechtigungen im Qualcomm Wi-Fi-Treiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Qualcomm Wi-Fi-Treiber kann es einer böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein Dienst kompromittiert werden muss, der den Treiber anrufen kann.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2470 27662174 * Hoch Nexus 7 (2013) 13. März 2016
CVE-2016-2471 27773913 * Hoch Nexus 7 (2013) 19. März 2016
CVE-2016-2472 27776888 * Hoch Nexus 7 (2013) 20. März 2016
CVE-2016-2473 27777501 * Hoch Nexus 7 (2013) 20. März 2016

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Bezug auf Berechtigungen im MediaTek Power Management-Treiber

Eine Erhöhung der Berechtigungen im MediaTek-Energieverwaltungstreiber kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst das Gerät kompromittiert und eine Root-Erhöhung erforderlich ist, um den Treiber aufzurufen.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2492 28085410 * Hoch Android One 7. April 2016

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Bezug auf Berechtigungen in der SD-Kartenemulationsschicht

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Emulationsschicht des SD-Karten-Benutzerbereichs kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext einer Anwendung mit erhöhtem System auszuführen. Dieses Problem wird als hoch eingestuft, da es verwendet werden kann, um lokalen Zugriff auf erweiterte Funktionen wie Signatur- oder SignatureOrSystem- Berechtigungen zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-2494 28085658 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7. April 2016

Erhöhung der Sicherheitsanfälligkeit in Broadcom Wi-Fi-Treibern

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Broadcom Wi-Fi-Treiber kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein Dienst kompromittiert werden muss, um den Treiber anzurufen.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2493 26571522 * Hoch Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Player, Pixel C. Google Intern

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Remote-Denial-of-Service-Sicherheitsanfälligkeit in Mediaserver

Eine Remote-Denial-of-Service-Sicherheitsanfälligkeit in Mediaserver kann es einem Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um ein Gerät hängen zu lassen oder neu zu starten. Dieses Problem wird aufgrund der Möglichkeit eines Remote-Denial-of-Service als hoch eingestuft.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-2495 28076789 [ 2 ] Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6. April 2016

Erhöhung der Sicherheitsanfälligkeit in Bezug auf Berechtigungen in der Framework-Benutzeroberfläche

Durch eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Berechtigungsdialogfenster der Framework-Benutzeroberfläche kann ein Angreifer auf nicht autorisierte Dateien im privaten Speicher zugreifen. Dieses Problem wird als mittel eingestuft, da es verwendet werden kann, um " gefährliche " Berechtigungen zu erhalten.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-2496 26677796 [ 2 ] [ 3 ] Mäßig Alles Nexus 6.0, 6.1 26. Mai 2015

Sicherheitslücke bei der Offenlegung von Informationen im Qualcomm Wi-Fi-Treiber

Eine Offenlegung von Informationen im Qualcomm Wi-Fi-Treiber kann es einer lokalen böswilligen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als mittel eingestuft, da zunächst ein Dienst kompromittiert werden muss, der den Treiber anrufen kann.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2498 27777162 * Mäßig Nexus 7 (2013) 20. März 2016

* Der Patch für dieses Problem befindet sich nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bei der Offenlegung von Informationen in Mediaserver

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in Mediaserver kann es einer Anwendung ermöglichen, auf vertrauliche Informationen zuzugreifen. Dieses Problem wird als mittel eingestuft, da es verwendet werden kann, um ohne Erlaubnis auf Daten zuzugreifen.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-2499 27855172 Mäßig Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24. März 2016

Sicherheitslücke bei der Offenlegung von Informationen in Activity Manager

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in der Activity Manager-Komponente kann einer Anwendung den Zugriff auf vertrauliche Informationen ermöglichen. Dieses Problem wird als mittel eingestuft, da es verwendet werden kann, um ohne Erlaubnis auf Daten zuzugreifen.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-2500 19285814 Mäßig Alles Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 Google Intern

Häufige Fragen und Antworten

Dieser Abschnitt beantwortet häufig gestellte Fragen, die nach dem Lesen dieses Bulletins auftreten können.

1. Wie stelle ich fest, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?

Sicherheits-Patch-Levels vom 01. Juni 2016 oder höher beheben diese Probleme (Anweisungen zum Überprüfen des Sicherheits-Patch-Levels finden Sie in der Nexus-Dokumentation ). Gerätehersteller, die diese Updates enthalten, sollten die Patch-Zeichenfolge auf Folgendes festlegen: [ro.build.version.security_patch]: [2016-06-01]

2. Wie bestimme ich, welche Nexus-Geräte von den einzelnen Problemen betroffen sind?

Im Abschnitt Details zur Sicherheitsanfälligkeit enthält jede Tabelle eine Spalte "Aktualisierte Nexus-Geräte", die den Bereich der betroffenen Nexus-Geräte abdeckt, die für jedes Problem aktualisiert wurden. Diese Spalte enthält einige Optionen:

  • Alle Nexus-Geräte : Wenn ein Problem alle Nexus-Geräte betrifft, wird in der Tabelle "Alle Nexus-Geräte " in der Spalte " Aktualisierte Nexus-Geräte" angezeigt. "All Nexus" umfasst die folgenden unterstützten Geräte : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player und Pixel C.
  • Einige Nexus-Geräte : Wenn ein Problem nicht alle Nexus-Geräte betrifft, werden die betroffenen Nexus-Geräte in der Spalte Aktualisierte Nexus-Geräte aufgelistet.
  • Keine Nexus-Geräte : Wenn keine Nexus-Geräte von dem Problem betroffen sind, wird in der Spalte " Aktualisierte Nexus-Geräte " in der Tabelle "Keine" angezeigt .

Überarbeitungen

  • 06. Juni 2016: Bulletin veröffentlicht.
  • 07. Juni 2016:
    • Bulletin überarbeitet, um AOSP-Links aufzunehmen.
    • CVE-2016-2496 aus dem Bulletin entfernt.
  • 08. Juni 2016: CVE-2016-2496 wurde wieder zum Bulletin hinzugefügt.