Бюллетень по безопасности Android – июнь 2016 г.

Опубликовано 6 июня 2016 г. | Обновлено 8 июня 2016 г.

В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Nexus и опубликовали образы прошивок Nexus на сайте для разработчиков. Перечисленные проблемы устранены в исправлении от 1 июня 2016 года или более новом. О том, как узнать дату последнего обновления системы безопасности, рассказывается в документации Nexus.

Мы сообщили партнерам об уязвимостях 2 мая 2016 года или ранее. Исправления проблем загружены в хранилище Android Open Source Project (AOSP).

Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS).

Обнаруженные уязвимости не эксплуатировались. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android.

Мы рекомендуем всем пользователям установить перечисленные в разделе обновления.

Перечень уязвимостей

В таблице ниже перечислены уязвимости, их идентификаторы (CVE) и уровни серьезности, а также указано, затрагивает ли проблема устройства Nexus. Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

Уязвимость CVE Уровень серьезности Затрагивает устройства Nexus?
Удаленное выполнение кода через mediaserver CVE-2016-2463 Критический Да
Удаленное выполнение кода через libwebm CVE-2016-2464 Критический Да
Повышение привилегий через видеодрайвер Qualcomm CVE-2016-2465 Критический Да
Повышение привилегий через аудиодрайвер Qualcomm CVE-2016-2466
CVE-2016-2467
Критический Да
Повышение привилегий через драйвер Qualcomm для графического процессора CVE-2016-2468
CVE-2016-2062
Критический Да
Повышение привилегий через Wi-Fi-драйвер Qualcomm CVE-2016-2474 Критический Да
Повышение привилегий через Wi-Fi-драйвер Broadcom CVE-2016-2475 Высокий Да
Повышение привилегий через аудиодрайвер Qualcomm CVE-2016-2066
CVE-2016-2469
Высокий Да
Повышение привилегий через mediaserver CVE-2016-2476
CVE-2016-2477
CVE-2016-2478
CVE-2016-2479
CVE-2016-2480
CVE-2016-2481
CVE-2016-2482
CVE-2016-2483
CVE-2016-2484
CVE-2016-2485
CVE-2016-2486
CVE-2016-2487
Высокий Да
Повышение привилегий через драйвер Qualcomm для камеры CVE-2016-2061
CVE-2016-2488
Высокий Да
Повышение привилегий через видеодрайвер Qualcomm CVE-2016-2489 Высокий Да
Повышение привилегий через драйвер NVIDIA для камеры CVE-2016-2490
CVE-2016-2491
Высокий Да
Повышение привилегий через Wi-Fi-драйвер Qualcomm CVE-2016-2470
CVE-2016-2471
CVE-2016-2472
CVE-2016-2473
Высокий Да
Повышение привилегий через драйвер управления питанием MediaTek CVE-2016-2492 Высокий Да
Повышение привилегий через уровень эмуляции SD-карты CVE-2016-2494 Высокий Да
Повышение привилегий через Wi-Fi-драйвер Broadcom CVE-2016-2493 Высокий Да
Удаленный отказ в обслуживании в mediaserver CVE-2016-2495 Высокий Да
Повышение привилегий через интерфейс Framework CVE-2016-2496 Средний Да
Раскрытие информации через Wi-Fi-драйвер Qualcomm CVE-2016-2498 Средний Да
Раскрытие информации через mediaserver CVE-2016-2499 Средний Да
Раскрытие информации через диспетчер активности CVE-2016-2500 Средний Да

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

  • Использование многих уязвимостей затрудняется в новых версиях Android, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Проверка приложений включена по умолчанию на всех устройствах с мобильными сервисами Google. Она особенно важна, если пользователь устанавливает ПО из сторонних источников. Хотя в Google Play инструменты для рутинга запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
  • Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

  • Ди Шэнь (@returnsme) из KeenLab (@keen_lab), Tencent: CVE-2016-2468
  • Гэл Бениамини (@laginimaineb): CVE-2016-2476
  • Гэнцзя Чэнь (@chengjia4574) и pjf (weibo.com/jfpan) из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
  • Хао Чэнь, Гуан Гун и Вэньлинь Ян из Mobile Safe Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016-2498
  • Иво Банаш: CVE-2016-2496
  • Цзяньцян Чжао (@jianqiangzhao) и pjf (weibo.com/jfpan) из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2490, CVE-2016-2491
  • Ли Кэмпбелл из Google: CVE-2016-2500
  • Мачей Шавловски из команды безопасности Google: CVE-2016-2474
  • Марко Нелиссен и Макс Спектор из Google: CVE-2016-2487
  • Марк Бренд из Google Project Zero: CVE-2016-2494
  • Минцзянь Чжоу (@Mingjian_Zhou), Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481, CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
  • Скотт Бауэр (@ScottyBauer1): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
  • Василий Васильев: CVE-2016-2463
  • Вэйчао Сунь (@sunblate) из Alibaba Inc.: CVE-2016-2495
  • Силин Гун из отдела безопасности платформы Tencent: CVE-2016-2499
  • Зак Риггл (@ebeip90) из команды безопасности Android: CVE-2016-2493

Описание уязвимостей

В этом разделе вы найдете подробную информацию обо всех перечисленных выше уязвимостях: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку Android, уровнем серьезности, уязвимыми устройствами Nexus и версиями AOSP (при наличии) и датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на сообщение в AOSP, связанное с идентификатором ошибки, и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода через mediaserver

Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2463 27855419 Критический Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 25 марта 2016 г.

Удаленное выполнение кода через libwebm

Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2464 23167726 [2] Критический Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google

Повышение привилегий через видеодрайвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2465 27407865* Критический Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 21 февраля 2016 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через аудиодрайвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2466 27947307* Критический Nexus 6 27 февраля 2016 г.
CVE-2016-2467 28029010* Критический Nexus 5 13 марта 2014 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через драйвер Qualcomm для графического процессора

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2468 27475454* Критический Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 2 марта 2016 г.
CVE-2016-2062 27364029* Критический Nexus 5X, Nexus 6P 6 марта 2016 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через Wi-Fi-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2474 27424603* Критический Nexus 5X Доступно только сотрудникам Google

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через Wi-Fi-драйвер Broadcom

Уязвимость позволяет локальному вредоносному ПО выполнять несанкционированные системные вызовы для изменения настроек и работы устройства. Проблеме присвоен высокий уровень серьезности, поскольку она позволяет получить дополнительные привилегии на устройстве.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2475 26425765* Высокий Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C 6 января 2016 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через аудиодрайвер Qualcomm

Уязвимость позволяет вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2066 26876409* Высокий Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 29 января 2016 г.
CVE-2016-2469 27531992* Высокий Nexus 5, Nexus 6, Nexus 6P 4 марта 2016 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через mediaserver

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2476 27207275 [2] [3] [4] Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 февраля 2016 г.
CVE-2016-2477 27251096 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 февраля 2016 г.
CVE-2016-2478 27475409 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 марта 2016 г.
CVE-2016-2479 27532282 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 марта 2016 г.
CVE-2016-2480 27532721 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 марта 2016 г.
CVE-2016-2481 27532497 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 марта 2016 г.
CVE-2016-2482 27661749 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 марта 2016 г.
CVE-2016-2483 27662502 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 марта 2016 г.
CVE-2016-2484 27793163 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 марта 2016 г.
CVE-2016-2485 27793367 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 марта 2016 г.
CVE-2016-2486 27793371 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 марта 2016 г.
CVE-2016-2487 27833616 [2] [3] Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google

Повышение привилегий через драйвер Qualcomm для камеры

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2061 27207747* Высокий Nexus 5X, Nexus 6P 15 февраля 2016 г.
CVE-2016-2488 27600832* Высокий Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) Доступно только сотрудникам Google

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через видеодрайвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2489 27407629* Высокий Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 21 февраля 2016 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через драйвер NVIDIA для камеры

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2490 27533373* Высокий Nexus 9 6 марта 2016 г.
CVE-2016-2491 27556408* Высокий Nexus 9 8 марта 2016 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через Wi-Fi-драйвер Qualcomm

Уязвимость позволяет вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2470 27662174* Высокий Nexus 7 (2013) 13 марта 2016 г.
CVE-2016-2471 27773913* Высокий Nexus 7 (2013) 19 марта 2016 г.
CVE-2016-2472 27776888* Высокий Nexus 7 (2013) 20 марта 2016 г.
CVE-2016-2473 27777501* Высокий Nexus 7 (2013) 20 марта 2016 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через драйвер управления питанием MediaTek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту устройства и получить получить root-права для вызова драйвера.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2492 28085410* Высокий Android One 7 апреля 2016 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через уровень эмуляции SD-карты

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2494 28085658 Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 апреля 2016 г.

Повышение привилегий через Wi-Fi-драйвер Broadcom

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2493 26571522* Высокий Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Player, Pixel C Доступно только сотрудникам Google

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Удаленный отказ в обслуживании в mediaserver

Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2495 28076789 [2] Высокий Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 апреля 2016 г.

Повышение привилегий через интерфейс Framework

Уязвимость обнаружена в окне предоставления доступа из интерфейса Framework. Она позволяет получить неавторизованный доступ к файлам в личном хранилище. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно получить разрешения уровня dangerous (опасные).

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2496 26677796 [2] [3] Средний Все устройства 6.0, 6.1 26 мая 2015 г.

Раскрытие информации через Wi-Fi-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Дата сообщения об ошибке
CVE-2016-2498 27777162* Средний Nexus 7 (2013) 20 марта 2016 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Раскрытие информации через mediaserver

Уязвимость позволяет ПО получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний уровень серьезности.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2499 27855172 Средний Все устройства 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 марта 2016 г.

Раскрытие информации через диспетчер активности

Уязвимость в компоненте диспетчера активности позволяет ПО получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний уровень серьезности.

CVE Ошибки Android Уровень серьезности Обновленные устройства Nexus Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2500 19285814 Средний Все устройства 5.0.2, 5.1.1, 6.0, 6.0.1 Доступно только сотрудникам Google

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Перечисленные проблемы устранены в исправлении от 1 июня 2016 года или более новом. О том, как узнать дату последнего обновления системы безопасности, рассказывается в документации Nexus. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2016-06-01].

2. Как определить, на каких устройствах Nexus присутствует уязвимость?

В каждой таблице из раздела Описание уязвимостей есть столбец "Обновленные устройства Nexus". В нем указано, на каких устройствах присутствует уязвимость.

  • Все устройства. Проблема возникает на следующих поддерживаемых устройствах Nexus: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player и Pixel C.
  • Некоторые устройства. Перечислены устройства, на которых присутствует уязвимость.
  • Нет. Проблема не возникает ни на одном устройстве Nexus.

Версии

  • 6 июня 2016 года. Бюллетень опубликован.
  • 7 июня 2016 года.
    • Добавлены ссылки на AOSP.
    • Информация об уязвимости CVE-2016-2496 удалена из бюллетеня.
  • 8 июня 2016 года. Информация об уязвимости CVE-2016-2496 снова добавлена в бюллетень.