Buletin Keamanan Android—Juni 2016

Diterbitkan 06 Juni 2016 | Diperbarui 08 Juni 2016

Buletin Keamanan Android berisi detail kerentanan keamanan yang memengaruhi perangkat Android. Bersamaan dengan buletin, kami telah merilis pembaruan keamanan untuk perangkat Nexus melalui pembaruan over-the-air (OTA). Gambar firmware Nexus juga telah dirilis ke situs Pengembang Google . Tingkat Patch Keamanan 01 Juni 2016 atau lebih baru mengatasi masalah ini. Lihat dokumentasi Nexus untuk mempelajari cara memeriksa tingkat patch keamanan.

Mitra diberi tahu tentang masalah yang dijelaskan dalam buletin pada 02 Mei 2016 atau sebelumnya. Jika berlaku, patch kode sumber untuk masalah ini telah dirilis ke repositori Android Open Source Project (AOSP).

Masalah paling parah adalah kerentanan keamanan Kritis yang dapat mengaktifkan eksekusi kode jarak jauh pada perangkat yang terpengaruh melalui beberapa metode seperti email, penelusuran web, dan MMS saat memproses file media. Penilaian tingkat keparahan didasarkan pada efek eksploitasi kerentanan yang mungkin terjadi pada perangkat yang terpengaruh, dengan asumsi platform dan mitigasi layanan dinonaktifkan untuk tujuan pengembangan atau jika berhasil dilewati.

Kami tidak memiliki laporan tentang eksploitasi atau penyalahgunaan pelanggan aktif atas masalah yang baru dilaporkan ini. Lihat bagian Mitigasi Layanan Android dan Google untuk detail tentang perlindungan platform keamanan Android dan perlindungan layanan seperti SafetyNet, yang meningkatkan keamanan platform Android.

Kami mendorong semua pelanggan untuk menerima pembaruan ini ke perangkat mereka.

Mitigasi Layanan Android dan Google

Ini adalah ringkasan mitigasi yang disediakan oleh platform keamanan Android dan perlindungan layanan, seperti SafetyNet. Kemampuan ini mengurangi kemungkinan kerentanan keamanan berhasil dieksploitasi di Android.

  • Eksploitasi untuk banyak masalah di Android menjadi lebih sulit dengan peningkatan versi platform Android yang lebih baru. Kami mendorong semua pengguna untuk memperbarui ke versi Android terbaru jika memungkinkan.
  • Tim Keamanan Android secara aktif memantau penyalahgunaan dengan Verify Apps dan SafetyNet , yang dirancang untuk memperingatkan pengguna tentang Aplikasi yang Berpotensi Berbahaya . Verifikasi Aplikasi diaktifkan secara default pada perangkat dengan Layanan Seluler Google , dan sangat penting bagi pengguna yang memasang aplikasi dari luar Google Play. Alat rooting perangkat dilarang di Google Play, tetapi Verify Apps memperingatkan pengguna saat mereka mencoba menginstal aplikasi rooting yang terdeteksi—dari mana pun asalnya. Selain itu, Verifikasi Aplikasi berupaya mengidentifikasi dan memblokir pemasangan aplikasi berbahaya yang diketahui yang mengeksploitasi kerentanan eskalasi hak istimewa. Jika aplikasi tersebut telah diinstal, Verify Apps akan memberi tahu pengguna dan mencoba menghapus aplikasi yang terdeteksi.
  • Jika sesuai, aplikasi Google Hangouts dan Messenger tidak secara otomatis meneruskan media ke proses seperti Mediaserver.

Ucapan Terima Kasih

Kami ingin mengucapkan terima kasih kepada para peneliti ini atas kontribusi mereka:

  • Di Shen ( @returnsme ) dari KeenLab ( @keen_lab ), Tencent: CVE-2016-2468
  • Gal Beniamini ( @laginimaineb ): CVE-2016-2476
  • Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) dari IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
  • Hao Chen, Guang Gong, dan Wenlin Yang dari Mobile Safe Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016- 2498
  • Iwo Banas : CVE-2016-2496
  • Jianqiang Zhao( @jianqiangzhao ) dan pjf ( weibo.com/jfpan ) dari IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2490, CVE-2016-2491
  • Lee Campbell dari Google: CVE-2016-2500
  • Maciej Szawłowski dari Tim Keamanan Google: CVE-2016-2474
  • Marco Nelissen dan Max Spector dari Google: CVE-2016-2487
  • Tandai Merek Google Project Zero: CVE-2016-2494
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), dan Xuxian Jiang dari Tim C0RE : CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481 , CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
  • Scott Bauer ( @ScottyBauer1 ): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
  • Vasily Vasilev: CVE-2016-2463
  • Weichao Sun ( @sunblate ) dari Alibaba Inc.: CVE-2016-2495
  • Xiling Gong dari Departemen Platform Keamanan Tencent: CVE-2016-2499
  • Zach Riggle ( @ebeip90 ) dari Tim Keamanan Android: CVE-2016-2493

Detail Kerentanan Keamanan

Di bagian di bawah ini, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku untuk level patch 06-01-01. Ada deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, bug Android terkait, tingkat keparahan, perangkat Nexus yang diperbarui, versi AOSP yang diperbarui (jika berlaku), dan tanggal yang dilaporkan. Jika tersedia, kami akan menautkan perubahan AOSP yang mengatasi masalah tersebut ke ID bug. Ketika beberapa perubahan terkait dengan satu bug, referensi AOSP tambahan ditautkan ke nomor yang mengikuti ID bug.

Kerentanan Eksekusi Kode Jarak Jauh di Mediaserver

Kerentanan eksekusi kode jarak jauh di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan kerusakan memori selama file media dan pemrosesan data. Masalah ini dinilai sebagai Kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks proses Mediaserver. Proses Mediaserver memiliki akses ke aliran audio dan video, serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.

Fungsionalitas yang terpengaruh disediakan sebagai bagian inti dari sistem operasi, dan ada beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media browser.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-2463 27855419 Kritis Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 25 Maret 2016

Kerentanan Eksekusi Kode Jarak Jauh di libwebm

Kerentanan eksekusi kode jarak jauh dengan libwebm dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan kerusakan memori selama file media dan pemrosesan data. Masalah ini dinilai sebagai Kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks proses Mediaserver. Proses Mediaserver memiliki akses ke aliran audio dan video, serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.

Fungsionalitas yang terpengaruh disediakan sebagai bagian inti dari sistem operasi, dan ada beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media browser.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-2464 23167726 [ 2 ] Kritis Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Internal

Peningkatan Kerentanan Hak Istimewa di Driver Video Qualcomm

Peningkatan kerentanan hak istimewa dalam driver video Qualcomm dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2465 27407865* Kritis Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 21 Februari 2016

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Privilege di Qualcomm Sound Driver

Peningkatan kerentanan hak istimewa di driver suara Qualcomm dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2466 27947307* Kritis Nexus 6 27 Februari 2016
CVE-2016-2467 28029010* Kritis Nexus 5 13 Maret 2014

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Hak Istimewa di Driver GPU Qualcomm

Peningkatan kerentanan hak istimewa pada driver Qualcomm GPU dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2468 27475454* Kritis Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 2 Maret 2016
CVE-2016-2062 27364029* Kritis Nexus 5X, Nexus 6P 6 Maret 2016

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Privilege di Driver Wi-Fi Qualcomm

Peningkatan kerentanan hak istimewa pada driver Qualcomm Wi-Fi dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2474 27424603* Kritis Nexus 5X Google Internal

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Hak Istimewa di Driver Wi-Fi Broadcom

Peningkatan kerentanan hak istimewa di driver Broadcom Wi-Fi dapat mengaktifkan aplikasi jahat lokal untuk memanggil panggilan sistem yang mengubah pengaturan dan perilaku perangkat tanpa hak istimewa untuk melakukannya. Masalah ini dinilai sebagai Tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang lebih tinggi.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2475 26425765* Tinggi Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C 6 Januari 2016

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Privilege di Qualcomm Sound Driver

Peningkatan kerentanan hak istimewa pada driver suara Qualcomm dapat memungkinkan aplikasi jahat untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena pertama-tama memerlukan kompromi layanan yang dapat memanggil pengemudi.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2066 26876409* Tinggi Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 29 Januari 2016
CVE-2016-2469 27531992* Tinggi Nexus 5, Nexus 6, Nexus 6P 4 Maret 2016

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Privilege di Mediaserver

Peningkatan kerentanan hak istimewa di Mediaserver dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks aplikasi sistem yang ditingkatkan. Masalah ini dinilai sebagai Tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang lebih tinggi, seperti hak istimewa Signature atau SignatureOrSystem , yang tidak dapat diakses oleh aplikasi pihak ketiga.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-2476 27207275 [ 2 ] [ 3 ] [ 4 ] Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 Februari 2016
CVE-2016-2477 27251096 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 Februari 2016
CVE-2016-2478 27475409 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 Maret 2016
CVE-2016-2479 27532282 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 Maret 2016
CVE-2016-2480 27532721 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 Maret 2016
CVE-2016-2481 27532497 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 Maret 2016
CVE-2016-2482 27661749 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 Maret 2016
CVE-2016-2483 27662502 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 Maret 2016
CVE-2016-2484 27793163 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 Maret 2016
CVE-2016-2485 27793367 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 Maret 2016
CVE-2016-2486 27793371 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 Maret 2016
CVE-2016-2487 27833616 [ 2 ] [ 3 ] Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Internal

Peningkatan Kerentanan Hak Istimewa di Driver Kamera Qualcomm

Peningkatan kerentanan hak istimewa pada driver kamera Qualcomm dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena pertama-tama memerlukan kompromi layanan yang dapat memanggil pengemudi.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2061 27207747* Tinggi Nexus 5X, Nexus 6P 15 Februari 2016
CVE-2016-2488 27600832* Tinggi Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) Google Internal

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Hak Istimewa di Driver Video Qualcomm

Peningkatan kerentanan hak istimewa dalam driver video Qualcomm dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena pertama-tama memerlukan kompromi layanan yang dapat memanggil pengemudi.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2489 27407629* Tinggi Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 21 Februari 2016

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Privilege di Driver Kamera NVIDIA

Peningkatan kerentanan hak istimewa pada driver kamera NVIDIA dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena pertama-tama memerlukan kompromi layanan untuk memanggil pengemudi.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2490 27533373* Tinggi Nexus 9 6 Maret 2016
CVE-2016-2491 27556408* Tinggi Nexus 9 8 Maret 2016

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Privilege di Driver Wi-Fi Qualcomm

Peningkatan kerentanan hak istimewa pada driver Qualcomm Wi-Fi dapat memungkinkan aplikasi jahat untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena pertama-tama memerlukan kompromi layanan yang dapat memanggil pengemudi.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2470 27662174* Tinggi Nexus 7 (2013) 13 Maret 2016
CVE-2016-2471 27773913* Tinggi Nexus 7 (2013) 19 Maret 2016
CVE-2016-2472 27776888* Tinggi Nexus 7 (2013) 20 Maret 2016
CVE-2016-2473 27777501* Tinggi Nexus 7 (2013) 20 Maret 2016

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Hak Istimewa di Driver Manajemen Daya MediaTek

Peningkatan hak istimewa dalam driver manajemen daya MediaTek dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama memerlukan kompromi perangkat dan elevasi ke root untuk memanggil driver.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2492 28085410* Tinggi Android One 7 April 2016

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan Kerentanan Privilege di Lapisan Emulasi Kartu SD

Peningkatan kerentanan hak istimewa di lapisan emulasi ruang pengguna Kartu SD dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks aplikasi sistem yang ditingkatkan. Masalah ini dinilai sebagai Tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang lebih tinggi, seperti hak istimewa Signature atau SignatureOrSystem , yang tidak dapat diakses oleh aplikasi pihak ketiga.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-2494 28085658 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 April 2016

Peningkatan Kerentanan Hak Istimewa di Driver Wi-Fi Broadcom

Peningkatan kerentanan hak istimewa di driver Broadcom Wi-Fi dapat mengaktifkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena pertama-tama memerlukan kompromi layanan untuk memanggil pengemudi.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2493 26571522* Tinggi Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Player, Pixel C Google Internal

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Kerentanan Remote Denial of Service di Mediaserver

Kerentanan penolakan layanan jarak jauh di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan perangkat hang atau reboot. Masalah ini dinilai Tinggi karena kemungkinan penolakan layanan jarak jauh.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-2495 28076789 [ 2 ] Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 April 2016

Peningkatan Kerentanan Hak Istimewa dalam Kerangka UI

Peningkatan kerentanan hak istimewa di jendela dialog izin Framework UI dapat memungkinkan penyerang mendapatkan akses ke file yang tidak sah di penyimpanan pribadi. Masalah ini dinilai sebagai Sedang karena dapat digunakan untuk mendapatkan izin " berbahaya " secara tidak semestinya.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-2496 26677796 [ 2 ] [ 3 ] Sedang Semua Nexus 6.0, 6.1 26 Mei 2015

Kerentanan Pengungkapan Informasi di Driver Wi-Fi Qualcomm

Pengungkapan informasi di driver Qualcomm Wi-Fi dapat memungkinkan aplikasi jahat lokal untuk mengakses data di luar tingkat izinnya. Masalah ini dinilai sebagai Sedang karena pertama-tama memerlukan kompromi layanan yang dapat memanggil pengemudi.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2498 27777162* Sedang Nexus 7 (2013) 20 Maret 2016

* Patch untuk masalah ini tidak ada di AOSP. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Kerentanan Pengungkapan Informasi di Mediaserver

Kerentanan pengungkapan informasi di Mediaserver dapat memungkinkan aplikasi mengakses informasi sensitif. Masalah ini dinilai sebagai Sedang karena dapat digunakan untuk mengakses data tanpa izin.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-2499 27855172 Sedang Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 Maret 2016

Kerentanan Pengungkapan Informasi di Manajer Aktivitas

Kerentanan pengungkapan informasi dalam komponen Pengelola Aktivitas dapat memungkinkan aplikasi mengakses informasi sensitif. Masalah ini dinilai Sedang karena dapat digunakan untuk mengakses data tanpa izin.

CVE bug Android Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-2500 19285814 Sedang Semua Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 Google Internal

Pertanyaan dan Jawaban Umum

Bagian ini menjawab pertanyaan umum yang mungkin muncul setelah membaca buletin ini.

1. Bagaimana cara menentukan apakah perangkat saya diperbarui untuk mengatasi masalah ini?

Tingkat Patch Keamanan 01 Juni 2016 atau lebih baru mengatasi masalah ini (lihat dokumentasi Nexus untuk petunjuk tentang cara memeriksa tingkat patch keamanan). Produsen perangkat yang menyertakan pembaruan ini harus menyetel level string patch ke: [ro.build.version.security_patch]:[2016-06-01]

2. Bagaimana cara menentukan perangkat Nexus mana yang terpengaruh oleh setiap masalah?

Di bagian Detail Kerentanan Keamanan , setiap tabel memiliki kolom perangkat Nexus yang diperbarui yang mencakup berbagai perangkat Nexus yang terpengaruh yang diperbarui untuk setiap masalah. Kolom ini memiliki beberapa opsi:

  • Semua perangkat Nexus : Jika masalah memengaruhi semua perangkat Nexus, tabel akan memiliki "Semua Nexus" di kolom Perangkat Nexus yang Diperbarui . “Semua Nexus” merangkum perangkat yang didukung berikut: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, dan Pixel C.
  • Beberapa perangkat Nexus : Jika masalah tidak memengaruhi semua perangkat Nexus, perangkat Nexus yang terpengaruh akan dicantumkan di kolom Perangkat Nexus yang Diperbarui .
  • Tidak ada perangkat Nexus : Jika tidak ada perangkat Nexus yang terpengaruh oleh masalah tersebut, tabel akan memiliki "Tidak Ada" di kolom Perangkat Nexus yang Diperbarui .

Revisi

  • 06 Juni 2016: Buletin diterbitkan.
  • 07 Juni 2016:
    • Buletin direvisi untuk menyertakan tautan AOSP.
    • CVE-2016-2496 dihapus dari buletin.
  • 08 Juni 2016: CVE-2016-2496 ditambahkan kembali ke buletin.